2025年数据安全十大趋势

1 小时前作者：GoUpSec

漏洞利用首次超过网络钓鱼，并且正在赶超凭证滥用，成为最主要的初始访问媒介。

数据是企业最宝贵也最脆弱的资产，数据安全是2025年企业安全的头等大事。近日，Verizon发布的第18版《数据泄露调查报告》（DBIR）为2025年的数据安全风险版图勾勒出清晰的轮廓。

根据DBIR报告，2025年数据安全威胁态势空前严峻：凭证滥用（22%）和漏洞利用（20%，高于2024年的14.9%）是两种最常见的初始攻击媒介。

以下，我们基于DBIR的关键发现，提炼出2025年重点关注的十大数据安全趋势，并结合防御要点与决策建议，为CISO、合规高管与安全团队提供面向未来一年的行动指南。

一

漏洞利用冲榜，边界设备沦陷

漏洞已成为仅次于凭据滥用的入侵首选，20%的泄露以此开局，其中22%直接攻击VPN与网关设备，同比激增八倍。零日远程执行、配置界面SQL注入等高危漏洞常在周末集中爆发，造成补丁窗口被极度压缩。

漏洞利用首次超过钓鱼来源：DBIR报告

数据清楚表明，攻击者会选择阻力最小的路径，将目标锁定在可直接访问内部网络的易受攻击的边缘设备上。企业必须利用基于风险的方法，优先扫描和修补面向互联网的系统漏洞。托管检测和响应供应商Huntress的首席威胁情报分析师Greg Linares表示：“我们看到现代攻击者入侵企业环境的方式发生了明显转变，目前最一致的趋势之一就是利用边缘设备。”

Verizon的研究发现，企业完全修复边缘设备漏洞的平均时间为32天。过去五年，随着企业日益深陷高风险安全债务，漏洞修复时间总体上急剧上升。企业需对“必须暴露互联网”的资产做动态清册，配合分段访问、虚拟补丁和自动化基线扫描，才能缩短“可被利用时间”。

二

供应链危机升级

2024—2025年，涉及第三方的泄露比例从15%暴涨至30%，意味着平均每三起事件就有一家外部供应商“中招”。雪花（Snowflake）事件显示，攻击者往往凭借早已泄露的凭据和缺失的MFA大规模横向扫号，并开发专用工具对平台账户进行批量抓取、导出数据。

对企业而言，光靠合同条款已不足以遏制风险，需在采购环节引入安全量化指标、持续监测供应商漏洞与凭据暴露，并预先设计转移与替换路线，将不可控因素降低到业务可接受水平。

三

勒索软件量增价跌

勒索软件攻击在数据泄露事件中的占比来源：DBIR

勒索相关泄露占比已攀至44%，但赎金中位数自15万美元降至11.5万；拒付比例由50%升至64%。一方面，越来越多组织储备离线备份、实施不可变快照；另一方面，国际执法联合“断链”行动让攻击方回款难度增大，被迫降低开价或直接弃单。

报告还指出95%赎金低于300万美元，显示“定价模型”正向“薄利多销”转型。加强演练和保险沟通，可进一步抑制黑市利润空间。

四

勒索瞄准中小企业

大型企业能投入SOC与零信任，而SMB往往“一道防火墙走天下”。数据显示，小企业遭勒索比例高达88%，几乎是大企业的两倍。

攻击者利用自动化脚本批量扫描弱口令VPN或旧版ERP，入侵后先用信息窃取木马搜集共享凭据，再转手给勒索即服务（RaaS）运营方。对资源有限的SMB，采取MDR订阅、云端邮件网关和强制MFA，可在预算可控的前提下构建“及格线”级防护。

五

人为因素依旧顽固

人因参与率依然居高不下，约60%（上图），其中误发邮件、点击钓鱼链接依旧高发。值得注意的是，社工与凭据滥用常叠加：一封看似内部共享的OneDrive链接诱导输入密码，随后被用于自动化暴力尝试或API滥用。

报告建议结合“基于行为的EDR”与定期桌面演习，强化员工对多步骤攻击链的识别能力，并通过Just-in-Time权限与分级审批减少“一旦泄露即满盘皆输”的风险。

六

凭据黑产加速

信息窃取木马市场活跃度空前，30%被感染主机为企业授权设备，而46%“带企业账号”的日志来自个人或未托管终端。黑客可从免费样本获取cookie、JWT，再通过“访问经纪”平台批量售卖给勒索团伙。54%被勒索的受害域名曾在此类日志出现。

部署FIDO2无密码认证、浏览器隔离以及对BYOD强制移动管理，可显著降低凭据被窃取与复用的概率。

七

公开仓库“密钥雨”

Web服务密钥、CI/CD令牌和云API Key占公开泄露秘密的39%，而修复一条公开令牌平均需94天。GitLab令牌占开发类密钥的一半，JWT占Web类密钥的66%，暴露即意味着“无密码”进入后台。企业应把机密扫描纳入CI钩子，并对泄露事件设置SLA，配合短时令牌、最小权限service account，才能遏制密钥长尾风险。

八

间谍、财务双驱动

间谍动机泄露比例升至17%，较上一周期增长163%；70%首次入侵通过漏洞利用完成。其中28%国家级攻击同时索要赎金或倒卖数据，凸显“情报+创收”混合模式。

防御侧需将威胁情报、补丁优先级与外部打分（如KEV）结合，快速锁定APT热门武器库中的零日并加速缓解。

九

GenAI泄露与智能钓鱼并进

15%员工定期使用生成式AI，近九成账号未纳入公司单点登录，且常向模型上传未脱敏文档。与此同时，AI生成的恶意邮件在两年内翻倍，语法和上下文更贴近母语，传统N-gram过滤难度大增。

组织需制定“AI使用准则”，在CASB、DLP中增加对ChatGPT等域名的上下文监控，并结合LLM-based检测算法识别可疑文案。

十

无管理终端与补丁疲劳

DBIR估算，约三成企业许可设备缺乏集中管理，且46%携带企业凭据的被害主机并非“公司电脑”。

在补丁方面，仅54%边界漏洞一年内被完全修复，长尾风险持续。采用硬件指纹+健康评估的ZTNA，可在终端合规前拒绝敏感资源连接；同时以SBOM与自动化补丁编排缩短“发现-测试-发布”链条，减轻运维疲劳。