新闻要点:60% 遭遇数据泄露事件的企业事后提高了产品价格;大多数关键性基础设施组织未采用零信任安全策略;安全人员配备不足的企业需额外支付 55 万美元的数据泄露成本。
IBM Security 刚刚发布《2022年数据泄露成本报告》i(下文简称报告),报告揭示,数据泄露事件给企业和组织造成的经济损失和影响力度达到前所未有的水平,单个数据泄露事件给来自全球的受访组织造成平均高达 435 万美元的损失,创下该年度报告发布17年以来的最高纪录。报告分析,全球数据泄露成本在过去两年间上涨近 13%,不仅如此,数据泄露事件可能是导致企业商品和服务成本上涨的因素之一。实际上,除了全球通货膨胀和供应链问题等因素导致的商品价格飙升之外,60% 的受访组织表示他们在遭遇数据泄露事件之后提高了自身产品或服务的价格。
IBM 报告发现,83% 的受访组织遭遇过不止一次的数据泄露事件,而网络攻击不断所导致的数据泄露事件更是成为企业"挥之不去的梦魇"。数据泄露事件给企业带来的"后遗症"也随着时间推移不断加剧,这些后遗症往往会持续很长时间,近 50% 的数据泄露成本是在事后一年多才产生的。
这项由 Ponemon 研究院操刀、由 IBM Security 赞助的《2022 年数据泄露成本报告》深入分析了全球 550 个组织在 2021 年 3 月至 2022 年 3 月期间所遭遇的真实数据泄露事件。
2022年报告的重要发现包括:
关键性基础设施在采用零信任安全策略(Zero Trust)方面还很滞后——近 80% 受访的关键性基础设施组织尚未采用零信任策略,其数据泄露的平均成本高达 540 万美元,比已采用零信任策略的组织高出 117 万美元。未采用零信任策略的组织所遭遇的数据泄露事件当中,约 28% 是由勒索软件或破坏性攻击造成的。
支付赎金的行为不可取——研究发现,发生数据泄露事件时,选择向威胁方支付勒索软件赎金的企业只比拒付赎金企业的平均成本少 61 万美元,但这并未包括赎金本身,如果将高昂的赎金(Sophos数据显示,2021 年平均赎金高达 81.2 万美元)纳入成本考量,交付赎金的受害企业其经济损失可能会更大。由此可见,简单地支付赎金并不可取。
云中安全尚不成熟——报告显示,约有43%的受访组织尚未开始在其跨云环境中部署安全措施或者还处在早期部署阶段,这些组织的数据泄露成本要比已经在跨云环境中部署了成熟的安全措施的组织平均高出 66 万美元。
专注于安全的AI与自动化技术可以为企业节省数百万美元——已全面部署专注于安全的AI和自动化技术的受访组织,其数据泄露平均成本要比未部署相关技术的企业低 305 万美元。此次研究发现,部署专注于安全的AI和自动化技术,是企业应对数据泄露最具成本效益的因素。
IBM Security X-Force 全球负责人 Charles Henderson 表示:"面对攻击,企业应先发制人,采取主动出击的安全保护策略,阻止攻击者达成不法目的,并将攻击造成的影响降到最低。越是试图完善其周边防御、而非加大检测和风险响应投入的企业,就越有可能遭遇更多的数据泄露事件,导致成本飙升。从这份报告可以看出,当企业遭遇攻击时,采用正确的策略和技术可以带来截然不同的结果。"
关键性基础设施组织的"过度信任"过去一年,全球各界对关键性基础设施遭遇攻击的担忧与日俱增,多国政府的网络安全机构纷纷敦促关键性基础设施组织加强警惕破坏性攻击。报告显示,在受访的关键性基础设施组织中,勒索软件和破坏性攻击在数据泄露事件中的占比为 28%。威胁者正在通过攻击这些关键性基础设施组织来破坏与之相依存的全球供应链,而这些关键性基础设组织施涉及金融服务、工业、运输和医疗卫生等领域。
尽管各国政府一直在呼吁相关组织加强警惕,但在受访的关键性基础设施组织当中,只有21%采用了零信任安全模式。不仅如此,在关键性基础设施组织所遭遇的数据泄漏事件当中,有17% 是源自业务合作伙伴遭受到的攻击,可见其"过度信任"的环境所带来的安全风险面之大。
支付赎金的企业并未占到"便宜"报告显示,选择向威胁者支付勒索软件赎金的企业,只比拒付赎金企业的平均泄露成本少61 万美元,但这并不包括已经支付的赎金。如果计入平均赎金金额(Sophos数据显示,2021 年赎金额高达 81.2 万美元),支付赎金带来的经济损失可能会更大。而企业支付赎金的行为无意中还为未来的勒索软件攻击提供了资金,这些资金原本可以用于企业数据泄露的补救和恢复工作。
尽管全球各国在遏制勒索软件攻击方面做出了重大努力,但是网络犯罪产业化仍在推动勒索软件的发展。IBM Security X-Force 发现,在过去三年中,受访企业遭遇勒索软件攻击的持续时间从原来的两个多月降至四天以内,下降了 94%。网络攻击生命周期的指数级缩短,可能带来影响更为严重的攻击,因为这使得网络安全事件响应人员进行检测和遏制攻击的窗口期变得非常短。随着"系统首次受攻击到全面受攻击的时间"骤减至几个小时,组织必须把提前严格测试事件响应(IR)手册的工作提上首要日程。但从报告的调查结果来看,虽然高达 37% 的受访组织已经制定了 IR 计划,但并未对其进行定期测试。
混合云优势凸显在受访组织中,混合云环境是企业最为普遍的基础设施架构,采用率达 45%。采用混合云模式的企业数据泄露平均成本为 380 万美元,低于单一采用公有云(502 万美元)或私有云(424 万美元)模式的企业。事实上,全球受访组织从识别到遏制数据泄露的平均时间为 277 天,而采用混合云模式的受访组织要比平均速度快 15 天。
报告强调,其调研的数据泄露事件当中有45%是发生在云端,凸显了云安全的重要性。然而,43% 的受访组织表示尚未开始在其跨云环境中部署安全措施或正处于早期部署阶段,因此这些组织的数据泄露平均成本也更高ii。与在所有领域持续部署安全措施的企业相比,尚未开始此项工作的企业平均需要多用 108 天才能识别并遏制数据泄露。
IBM《2022 年数据泄露成本报告》还有以下更多发现:
网络钓鱼成为"最贵"的数据泄露诱因——凭证被盗仍然是导致数据泄露事件的最常见原因,占比 19%;网络钓鱼位居第二,占比 16%,然而却是导致数据泄露最高成本的原因,给受访组织造成平均高达 491 万美元的泄露成本。
医疗健康行业数据泄露成本呈两位数增长,突破千万量级,达到 1010 万美元的历史高位——医疗健康行业已经连续 12 年成为数据泄露平均成本最高的行业,其数据泄露成本在今年增加了近 100 万美元,达到历史最高的 1010 万美元。
安全人员配备不足——62% 的受访组织表示,由于现有人手无法满足组织的安全需求,他们的数据泄露平均成本比人员配备充足的组织高出了 55 万美元。
参考资料:
如需下载《2022 年数据泄露成本报告》的副本,请访问:https://www.ibm.com/security/data-breach
阅读IBM Security Intelligence博客,了解更多关于该报告的主要发现。
欢迎点击此处注册参加将于美国东部时间 2022 年 8 月 3 日(星期三)上午 11 点召开的IBM Security数据泄露成本报告网络研讨会。
欢迎联系IBM Security X-Force团队获取调查结果的个性化分析内容:https://ibm.biz/book-a-consult.
关于 IBM Security
IBM Security 提供全球领先的集成式企业安全系列产品和服务。在享誉全球的 IBM Security X-Force® 研究团队的支持下,这些企业安全系列产品和服务旨在帮助企业高效管理风险,从容应对突发威胁。IBM旗下的IBM Security 是集全球最广泛的安全研究、开发和交付为一体的组织之一,每天为全球超过 130 个国家及地区的客户监测超过 1500 亿起的安全事件,在全球范围拥有超过 10,000 项安全专利。了解更多信息,请访问www.ibm.com/security,访问IBM Security Intelligence博客。
关于IBM
IBM 是全球领先的混合云、人工智能及企业服务提供商,帮助超过 175 个国家和地区的客户,从其拥有的数据中获取商业洞察,简化业务流程,降低成本,并获得行业竞争优势。金融服务、电信和医疗健康等关键基础设施领域的超过 4000 家政府和企业实体依靠 IBM 混合云平台和红帽 OpenShift 快速、高效、安全地实现数字化转型。IBM 在人工智能、量子计算、行业云解决方案和企业服务方面的突破性创新为我们的客户提供了开放和灵活的选择。对企业诚信、透明治理、社会责任、包容文化和服务精神的长期承诺是 IBM 业务发展的基石。了解更多信息,请访问:https://www.ibm.com/cn-zh
i 《2022年数据泄露成本报告》由Ponemon Institute操刀,由IBM赞助与分析。
ii 其数据泄露平均成本为 453 万美元,而在部署云安全实践方面已步入成熟阶段的受访组织的平均成本为 387 万美元。
关于:美通社