Verizon 2026 年数据泄露调查报告

Verizon 2026 年数据泄露调查报告（DBIR）已发布。这份覆盖 145 个国家、超过 22,000 起确认泄露事件的权威报告，释放了一个被行业广泛传播的 headline：

漏洞利用（31%）首次超越盗号（13%），成为 19 年来最大的初始访问向量。

如果只看到这句话，管理层很容易得出推论："既然漏洞是技术问题，我们应该加大预算买扫描器、补丁管理平台、漏洞赏金计划——人的问题似乎退居二线了。"

但 DBIR 用另一组数据 quietly contradicts 这个推论：

人为因素（Human Element）仍参与了 62% 的泄露事件。

这意味着什么？漏洞利用是入口，但人的风险是放大器。 攻击者利用漏洞进入系统后，横向移动、权限提升、数据窃取——每一步都可能因为配置错误、内部误用、钓鱼点击、影子 AI 而加速成功。

本文从 HumanRisk（人为风险）视角，重新解读 2026 DBIR，为企业安全管理者提供决策框架。

---

 1.1 为什么盗号比例下降？

DBIR 明确指出，盗号（Credential Abuse）从 22% 降至 13%，部分原因是：

▸ MFA 普及：多因素认证让纯密码泄露难以直接转化为入侵

▸ 身份安全工具（ITDR、PAM）的成熟：特权访问管理和身份威胁检测响应正在工作

▸ 预文本诈骗（Pretexting）被单独统计：16% 的初始访问涉及社会工程话术，如果将其与盗号合并，凭证相关向量仍占 39% 的总体事件（非初始访问）

换句话说，身份安全投入没有白费，但它把攻击者推向了更隐蔽的入口：漏洞。

 1.2 漏洞利用上升的深层原因：不是漏洞变多了，是修复变慢了

DBIR 的补丁数据令人担忧：

修复率下降、修复时间延长、漏洞积压增加——这不是技术能力的失败，而是资源优先级与流程治理的问题。安全团队知道漏洞在哪里，但缺乏业务支持去快速修复。为什么？因为业务连续性压力、变更管理流程僵化、缺乏资产可见性。

HumanRisk 洞察

：漏洞利用的增加，表面是技术问题，实质是组织决策（人的优先级判断）和流程治理（人的协作机制）问题。

---

2026 DBIR 首次系统性地关注了 AI 对内部风险的影响，数据触目惊心：

▸ 45% 的员工在公司设备上常规使用 AI 工具（2024 年仅 15%）

▸ 源代码 是最常被提交到未授权 AI 工具的数据类型

▸ 3.2% 的 DLP 告警涉及未授权 AI 浏览器扩展

▸ 研究和技术文档也在违规上传清单中

 2.1 为什么影子 AI 比影子 IT 更难治理？

传统 Shadow IT（员工私自使用未经批准的 SaaS）可以通过网络监控、CASB（云访问安全代理）工具部分发现。但 Shadow AI 有几个特殊挑战：

1. 低门槛：ChatGPT、Claude、Gemini 等工具通过浏览器即可使用，无需安装，难以通过传统端点检测发现

2. 高价值数据吸引力：技术人员为了提效，天然倾向于将代码片段、架构文档、甚至客户数据提交给 AI 以获取优化建议

3. 合规灰色地带：员工可能认为"我只是问了一个技术问题"，意识不到这等同于数据外传

4. AI 工具本身的安全风险：数据被用于模型训练后，可能通过其他用户的提示词注入（Prompt Injection）或模型记忆机制被间接泄露

 2.2 管理建议：从"禁止"到"引导"

▸ 建立 AI 使用白名单：明确批准使用的工具（如企业版 ChatGPT、Azure OpenAI），并配置 DLP 策略阻止数据外传

▸ 数据分类与 AI 交互规则：禁止向公共 AI 提交机密/源代码/客户数据；内部 AI 需部署在私有环境

▸ 员工意识培训：不是恐吓式"不要用 AI"，而是场景化教学——"这段代码如果上传，竞争对手可能通过模型间接获取"

▸ DLP 策略升级：检测未授权 AI 扩展的安装，监控向已知 AI 域名的高频上传行为

---

DBIR 显示，第三方参与导致的泄露占比达到 48%，同比增长 60%。

这不是一个新趋势，但增长速度值得警惕。攻击者正在系统性地利用供应链信任：

▸ SolarWinds 式攻击：通过软件更新机制植入后门

▸ Okta 式攻击：通过客服服务商或子承包商获取客户数据访问权限

▸ SaaS 平台漏洞：如 2026 年 Canvas 平台 2.75 亿用户数据遭窃，攻击入口是面向教师的免费服务模块

 3.1 HumanRisk 视角：第三方治理中的"人的信任盲区"

组织通常对第三方有安全评估流程（如问卷、SOC2 报告审查），但 DBIR 数据暗示这些流程正在失效：

▸ 评估频率不足：供应商安全状况是动态的，年度审查无法覆盖新增漏洞

▸ 过度依赖合规报告：SOC2、ISO 27001 是基线，不等于实际安全能力

▸ 缺乏对"人"的审查：我们是否知道供应商的哪些人员有权访问我们的数据？他们的离职、权限回收是否及时？

建议

：将第三方访问纳入 IAM（身份与访问管理）统一管控，实施最小权限 + 定期重新认证（Re-certification），并监控第三方账户的异常行为。

---

DBIR 第 48-49 页专章分析了社会工程，重点指出：

▸ 移动端社工攻击显著增加：钓鱼短信、伪装 APP 通知、语音钓鱼（Vishing）

▸ 预文本诈骗（Pretexting） 作为独立向量被统计，占比 16%

▸ AI 生成的钓鱼内容 质量提升，使得传统拼写错误检测失效

 4.1 为什么移动端更难防御？

▸ 个人设备边界模糊：BYOD（自带设备）政策下，个人微信、短信、邮件与工作数据共存

▸ 通知疲劳：用户习惯了频繁点击手机通知，降低了警惕性

▸ 安全工具覆盖不足：移动端 EDR/XDR 覆盖率和检测能力普遍低于 PC 端

 4.2 管理建议

▸ 零信任网络访问（ZTNA）：不区分内外网，所有访问都需要验证

▸ 移动威胁防御（MTD）：部署移动端安全工具，检测恶意应用、钓鱼链接

▸ 情景化培训：不要只做季度钓鱼测试，而是模拟真实业务场景（如"你收到了一条来自 HR 系统的年假审批通知"）

---

勒索软件在 2026 DBIR 中依然是主导威胁：

▸ 96% 的中小企业（SMB）受到影响

▸ 支付赎金的企业中，40% 仍遭遇数据泄露

▸ 攻击者越来越倾向于"先窃取、再加密"——即使支付赎金，数据也可能已被出售

5.1 HumanRisk 在勒索软件链条中的角色

勒索软件的初始入侵可能来自漏洞，但传播和权限提升往往依赖人的错误：

1. 初始入侵：漏洞利用 / 钓鱼点击 / RMM 工具滥用（RMM 滥用同比增长 240%）

2. 横向移动：利用弱口令、共享凭证、过度权限——这些都是配置管理（人的决策）问题

3. 数据窃取：发现敏感数据的位置——如果数据分类不清（人的治理问题），攻击者更容易找到高价值目标

4. 加密与勒索：备份是否可用？很多 SMB 没有离线备份，备份被加密是因为管理员将备份凭证存储在域内——又是一个人的错误

---

DBIR 的核心信息不是"人是一切问题的根源"，而是：

当技术防线（MFA、补丁、EDR）越来越有效时，攻击者自然转向人的弱点；而人的弱点，本质上是组织治理和流程设计的投射。

我们建议企业管理者从以下四个维度建立 Human-Centric Security 框架：

 6.1 资产与身份可见性（Visibility）

▸ 你知不知道所有接入你网络的资产？

▸ 你知不知道谁（人、账户、API Key）有权访问什么？

▸ 第三方账户和内部账户是否被统一监控？

 6.2 补丁治理（Patch Governance）

▸ 将漏洞修复从"安全团队 KPI"升级为"业务连续性指标"

▸ 对 KEV 漏洞实施 24-72 小时修复 SLA

▸ 建立"漏洞修复生存分析"——追踪从发现到修复的时间分布，识别流程瓶颈

 6.3 影子 AI 治理（AI Governance）

▸ 将 AI 使用纳入数据分类框架

▸ 为不同敏感级别数据制定 AI 交互规则（如：公开数据 → 任何 AI；机密数据 → 仅内部私有 AI；源代码 → 禁止上传）

▸ 监控异常上传行为，而非完全封锁（后者只会驱使员工寻找更隐蔽的渠道）

 6.4 情景化意识培训（Contextual Awareness）

▸ 放弃"不要点击陌生链接"这种空洞口号

▸ 基于真实业务场景设计模拟：财务人员的"供应商付款变更"、HR 的"员工信息更新"、开发的"代码审查邀请"

▸ 将安全培训结果与权限升级、项目参与资格挂钩——让安全能力成为职业发展的加分项，而非负担

---

2026 DBIR 是一个分水岭：漏洞利用的崛起意味着攻击技术正在升级；但 62% 的人为因素参与率意味着防御技术也需要升级——不仅是买更好的工具，而是重新设计人与技术交互的方式。

安全管理者应该思考：

▸ 我们的安全工具是否让员工的工作更难做了？（如果是，他们会绕过它）

▸ 我们的补丁流程是否获得了业务部门的足够支持？

▸ 我们是否将员工视为"安全链条中最薄弱的环节"，还是"最重要的威胁传感器"？

答案决定了你的组织是 DBIR 2027 的统计数据，还是例外。

---

原文链接：https://www.verizon.com/business/resources/reports/2026-dbir-data-breach-investigations-report.pdf