Verizon Business a publié le sien Rapport d’enquête sur la violation des données 2025Le rapport évalue plus de 22 000 incidents de sécurité (y compris les violations des données confirmées par 12 195), constatant que les principales attaques initiales sont des abus d’identification de vactrice (22%) et une exploitation vulgaire (20%).
Les principales conclusions du rapport comprennent:
- La participation des tiers aux violations a doublé, atteignant 30%.
-
Exploitation vulnérable
Avec une augmentation de 34%, avec les dispositifs de périmètre et se concentrer sur les exploits zéro-jours contre VPN. - Les attaques de ransomwares ont augmenté de 34% par rapport à l’année dernière et ont été observées en 44% des violations. Néanmoins, le paiement du montant du milieu du rainure a été réduit.
- Il existe un chevauchement entre l’ingénierie sociale et une utilisation abusive des informations d’identification, mettant l’accent sur le rôle de l’erreur humaine dans les violations.
Ci-dessous, les leaders de la sécurité fournissent une analyse approfondie des résultats du rapport, y compris la discussion pour réduire l’erreur humaine, pour faire face aux risques de ransomware, et plus encore.
Table of Contents
Analyse de 2025 Rapport d’enquête sur les violations de données de Verizon Business
M. Saeed Abbasi, directeur, Religion Research in Quis Threat Research Unit:
Les résultats de 2025 DBIR montrent que l’exploitation des faiblesses en tant que vecteur d’accès anticipé pour les violations a connu une autre année de développement – 20% augmente. Les faiblesses de périphérique de bord ont augmenté d’environ huit fois, tandis que la présence de ransomwares a augmenté de 37%. La participation de tiers aux violations a doublé jusqu’à 30% et les violations inspirées du détective ont considérablement augmenté. De plus, 46% des systèmes compromis avec des références d’entreprise étaient des équipements non gérés, ce qui a souligné l’importance des risques BYOD et une forte gestion des actifs.
L’exploitation des faiblesses en tant que vecteur d’accès initial a considérablement augmenté, 2025 DBIR a analysé 20% des violations des violations des données confirmées par 12 195. Il représente une augmentation de 34% par rapport à l’année précédente et atteint une fréquence d’abus d’identification (22%). Cette tendance exige une attention immédiate des équipes de sécurité, en particulier en tant que dispositifs de bord et VPN 22% des objectifs d’exploitation vulnérables, une augmentation de seulement 3% à huit fois en 2024. Les organisations doivent profiter d’une approche basée sur le risque et hiérarchiser la numérisation et les correctifs de la vulnérabilité pour le système Internet-Fesing. Les données montrent clairement que les attaquants suivent le chemin de la résistance minimale, qui cible les arêtes faibles qui fournissent un accès direct au réseau interne.
Selon le rapport, le temps moyen était de 32 jours pour que les organisations remplissent pleinement les faiblesses du dispositif Edge, tandis que le temps moyen pour exploiter ces faiblesses était nul – ce qui signifie que l’affaiblissement affaibli a été ajouté ou avant leur publication CVE. Ce timing représente une fenêtre importante d’exposition aux lacunes que les organisations doivent travailler pour fermer.
Besoin des équipes de sécurité:
- Appliquer la gestion des actifs aux actifs internes et externes pour collecter une liste complète de vos hôtes, y compris l’EOL
- Déployer les capacités de détection de vulnérabilité complète
- Priorité fondée sur le rite pour les conclusions
- Appliquer le flux de travail de gestion des correctifs automatisés
- Le périphérique de bord priorise les faiblesses
- Envisagez de contrôler le contrôle et la compensation des stratégies d’atténuation alternatives si le correctif immédiat n’est pas possible
Les violations analysées ont augmenté de 37% en présence de ransomwares, qui apparaît dans toutes les violations examinées (supérieures à 32%). Cependant, avec le refus de payer 64% des victimes de l’année précédente, le paiement moyen de la rançon de l’année précédente a diminué de 115 000 $ à 115 000 $. Les petites organisations sont affectées de manière incohérente par les ransomwares. Alors que les grandes tenues éprouvent des ransomwares en 39% des violations, les PME font face à des ransomwares en violations de 88%.
Les organisations devraient appliquer une approche complète de gestion de la vulnérabilité:
- Les ransomwares émergents intègrent le flux d’intelligence danger pour identifier les variantes et la stratégie
- Mécanisme de détection avancé qui détruit une relation de vulnérabilité avec des groupes de ransomware particulièrement connus
- Utilise la priorité basée sur les risques pour supprimer les opérateurs de ransomware exploiter activement les faiblesses
- La prochaine génération de solutions de détection et de réponse (EDR) (EDR) capables de détecter les comportements spécifiques aux ransomwares
- La réaction de l’événement développe un livre de jeu qui aborde les exfis de données et les paysages de récupération forcée dans les attaques de ransomware modernes
L’implication des tiers dans les violations a doublé de 15% à 30%, est rapidement devenue courante avec la réutilisation des diplômes dans l’environnement tiers. La recherche a révélé que le temps moyen pour éliminer les mystères divulgués découverts dans le référentiel Github était de 94 jours. Les violations inspirées des pilotes ont augmenté de 17%, ces attaquants ont profité de l’exploitation de la vulnérabilité en tant que vecteur d’accès précoce, qui pendant 70%. Fait intéressant, environ 28% des incidents associés aux acteurs fournis par l’État étaient un objectif financier.
Les programmes de sécurité des cloud et des applications doivent se développer:
- Appliquer plusieurs procédures de rotation de rotation des informations d’identification de plusieurs heures et 24 heures et pour sécuriser les informations d’identification dans l’environnement tiers
- Établir une évaluation complète de la sécurité des tiers et réduire le délai de réparation vulnérable important
- Appliquer une surveillance continue des devises de sécurité tierces
- Utilisez la solution pour une visibilité intégrée des risques dans les infrastructures cloud et appliquez une numérisation continue avec un traitement prioritaire en fonction de l’importance commerciale
Les résultats de la DBIR 2025 soulignent la nécessité d’une approche de sécurité globale qui hiérarchise la gestion de la vulgarité tout en abordant les risques de tiers et à l’élaboration de la stratégie de ransomware. Les équipes de sécurité peuvent créer des programmes plus flexibles qui protègent leurs organisations contre les vecteurs d’attaque les plus répandus en se concentrant sur ces grands domaines.
Réduire l’erreur humaine
Gouvernement Shri Agnipta, vice-président Ciso Advisor Colortocens:
La sensibilisation est un combat que les organisations ne peuvent jamais gagner. En effet, les humains ne conservent généralement pas d’informations qui ne les affectent pas directement individuellement ou professionnelles. Par conséquent, pour améliorer la rétention, les efforts de sensibilisation doivent être adaptés à chaque employé, ce qui est pertinent pour des activités numériques spécifiques et implique que les employés partagent la sensibilisation avec les autres. Malheureusement, de nombreux leaders de sécurité et risqués utilisent aujourd’hui la sensibilisation, si quelque chose ne va pas, alors un moyen de supprimer le défaut. Des contrôles techniques solides doivent être appliqués qui éliminent la capacité d’autoriser l’attaque anti-en-média (AITM). En plus de la sensibilisation générale à la sécurité, qui devrait se concentrer sur la façon dont la technologie réelle ne fournit pas plusieurs messages d’erreur, les utilisateurs devront redémarrer leur authentification, déclencher la réinitialisation du mot de passe et les questions de sécurité du compte devront changer, lorsque les demandes seront inondées, il n’y a aucune différence qu’ils soient bouleversés.
James Scobe, directeur de la sécurité de l’information dans la sécurité du gardien:
Les êtres humains sont toujours le maillon le plus faible des attaques de «confiance de la confiance». Cette année, l’IA génératrice jouera un double rôle dans le scénario du danger d’identité. D’une part, cela permettra aux attaquants de fabriquer plus sophistiqué Deepfac – que ce soit par le texte, la voix ou la manipulation visuelle – qui peut imiter les vrais individus. Ces immunisation par AI sont prêtes à réduire les mesures de sécurité traditionnelles, telles que la biométrie vocale ou l’identification faciale, qui sont des aliments de base dans la vérification prolongée de l’identification. Les employés, de plus en plus souvent, recevront des vidéos et des appels vocaux des hauts dirigeants de leur organisation, leur demandant de donner accès à des ressources protégées rapidement. Étant donné que ces Deepfacs deviennent difficiles à distinguer de la réalité, ils seront également utilisés pour contourner les systèmes de sécurité les plus avancés.
D’un autre côté, l’IA génératrice offre une capacité significative pour le sauvetage. Les équipes de sécurité peuvent analyser l’ensemble de données à grande échelle de l’IA et exploiter la possibilité de détecter les modèles en temps réel, identifiant les écarts qui peuvent être un signe de fraude d’identité. L’équipement alimenté par AI peut augmenter la biométrie du comportement et l’authentification continue en vérifiant les fonctions des utilisateurs au fil du temps, marquant les écarts qui peuvent indiquer la copie. Cependant, l’IA plus puissante est, la nécessite encore une inspection humaine importante. Le modèle d’IA, tout en traitant de grandes quantités de données, peut se souvenir de la référence fine ou tirer des conclusions incorrectes sur la base d’informations incomplètes. Des professionnels de la sécurité efficaces seront nécessaires pour guider ces systèmes d’IA, fixant leur analyse et intervenant lorsque les réactions automatisées sont inadéquates.
Configurer les dangers des ransomwares
Chief de la sécurité de l’information à Train Ford, Bagcrroud:
L’équipe de ransomwares, comme toutes les autres organisations criminelles, est une entreprise. La rançon est généralement payée par crypto-monnaie, et ces valeurs ont été augmentées depuis le quatrième trimestre 2023 – les derniers trimestres ont augmenté de manière agressive.
Malgré l’acteur de ransomware, le contrôle de base est toujours important. Connaître la surface de votre attaque totale, tester votre environnement – est important avec un œil pour un traitement efficace. Les contrôles d’entreprise, y compris la visibilité (journalisation, EDR), le durcissement (gestion des comptes privilégiés, l’inventaire minutieux des comptes de service) et un MFA pour l’administrateur de domaine et l’accès à distance sont primordiaux. Une forte corrélation est que les sous-réseaux de cyber-assurance se soucient de ces principaux contrôles et couvertures du processus de demande. Si ces contrôles ne sont pas efficaces, les souscripteurs des cyber-assurances peuvent devoir payer. Restez ouvert avec la direction qui est efficace et le manque de ces contrôles – et de l’argent sûr pour les mettre en ligne dès que possible.
Brandon Williams, directeur de la technologie dans le groupe de conversation:
Les attaquants continueront d’exiger une rançon non seulement pour dénoncer mais pour éviter la publication de données volées. Certains acteurs de danger sont allés supprimer les données dans le cadre de leurs mouvements généraux. S’il profite de la traction cette année, les organisations n’auront pas de méthode pour s’attendre à une rançon de bus et s’attendre à obtenir un outil de décryptage de travail. La seule façon de récupérer sera la sauvegarde, bien que les données suggèrent que les sauvegardes n’évitent généralement pas ces violations.
Selon nos propres recherches, 93% des cyber-phénomènes impliquent de cibler le référentiel de sauvegarde, et 80% des données sont considérées comme irréversibles qui ne survivent pas. Pouvoir récupérer, mais en raison de l’absence d’espace pour récupérer, il y aura une longue panne et une interruption commerciale augmentera. Cela nécessitera des plans de reprise de culasse stratégiques qui intègrent des protocoles de danger réel, de sauvetage adaptatif et de réaction d’événements. La composante la plus efficace des schémas de récupération de la culasse est une sauvegarde irréversible, qui est nécessaire pour la récupération rapide des violations. La conception irréversible de sabotage de sauvegarde garantit l’intégrité des données stockées et réduit le temps de récupération, permettant une restauration rapide sans risque de redémarrer les fichiers infectés ou contaminés.
Gérer les faiblesses
Partenaire principal de Jason Soroco, Sectango:
Les organisations devraient adopter une monnaie de sécurité active et dynamique qui tire parti de l’analyse des risques en temps réel pour accroître sa défense contre les exploits vulnérables. Au-delà du correctif, le déploiement d’orchestration automatisée liée à des flux trimestres vivants peut hiérarchiser le refait à la volée. Le contrôle le plus efficace combine le microsgmentation avec une authentification forte et un accès adaptatif et une analyse comportementale. Le terme zéro fiducie est souvent utilisé, mais ce sont les principes qui sont importants.
Des techniques telles que l’ingénierie des tests de sécurité, qui sauvent les tests de contrainte dans des méthodes inattendues, et les nouvelles couches de prévention en détectant une divergence gérée par l’apprentissage automatique. Ces mesures limitent le mouvement latéral et signalent les changements microscopiques dans le comportement du réseau, le resserrement de la sécurité même lorsqu’il y a des correctifs à la traîne de l’émergence du danger.
La défense statique ne sera pas suffisante. L’intégration de diverses sources de données – y compris le KEV de CISA – une structure de gestion intégrée et future de la vulnérabilité, peut transférer les organisations de la correction réactive à une gestion des risques prolongée. Cette approche fraîche et axée sur l’intelligence est requise dans un scénario où chaque jour compte.
