据了解,Verizon最新发布的年度《数据泄露调查报告》(DBIR)显示,漏洞利用已成为2025年最常见的数据泄露入口。
此次分析的安全事件总数已增至3.1万起。其中,超过2.2万起被确认为数据泄露事件,几乎是去年12195起确认泄露事件的两倍。
漏洞利用超越凭证滥用,
成为最流行攻击手段
约31%的数据泄露事件源于未修复漏洞被利用。而凭证滥用,也就是去年报告中的首要入侵方式,仅占全部数据泄露事件的13%。
报告还指出,各组织在漏洞修复方面依然面临持续挑战。2025年,全面完成补丁修复的中位时间已增至43天,高于前一年的32天。
各组织需要修复的关键漏洞数量,即报告中定义为被列入KEV名单的漏洞,其中位数较上一年度数据集增加了50%。
AI加剧企业网络风险,
需及早转向设计安全与事前预防
报告还显示,威胁行为者越来越多地利用生成式AI进行目标定位、初始访问,以及恶意软件和工具开发。
据报告,62%的数据泄露事件涉及人为因素。其中,社会工程攻击占全部数据泄露事件的16%;以移动设备为核心的网络钓鱼攻击,其成功率中位数比电子邮件钓鱼攻击高出40%。
报告还显示,“影子AI”,也就是未经授权使用生成式AI服务的行为,仍在困扰企业。数据显示,67%的用户正通过企业设备,使用非企业账号访问AI服务。总体而言,45%的员工已成为AI常规用户,而去年这一比例仅为15%。
