北京2022年7月28日 /美通社/ -- IBM Security 剛剛發布《2022年數據泄露成本報告》i(下文簡稱報告),報告揭示,數據泄露事件給企業和組織造成的經濟損失和影響力度達到前所未有的水平,單個數據泄露事件給來自全球的受訪組織造成平均高達 435 萬美元的損失,創下該年度報告發布17年以來的最高紀錄。報告分析,全球數據泄露成本在過去兩年間上漲近 13%,不僅如此,數據泄露事件可能是導致企業商品和服務成本上漲的因素之一。實際上,除了全球通貨膨脹和供應鏈問題等因素導致的商品價格飆升之外,60% 的受訪組織表示他們在遭遇數據泄露事件之后提高了自身產品或服務的價格。
IBM 報告發現,83% 的受訪組織遭遇過不止一次的數據泄露事件,而網絡攻擊不斷所導致的數據泄露事件更是成為企業"揮之不去的夢魘"。數據泄露事件給企業帶來的"后遺癥"也隨著時間推移不斷加劇,這些后遺癥往往會持續很長時間,近 50% 的數據泄露成本是在事后一年多才產生的。
這項由 Ponemon 研究院操刀、由 IBM Security 贊助的《2022 年數據泄露成本報告》深入分析了全球 550 個組織在 2021 年 3 月至 2022 年 3 月期間所遭遇的真實數據泄露事件。
2022年報告的重要發現包括:
關鍵性基礎設施在采用零信任安全策略(Zero Trust)方面還很滯后——近 80% 受訪的關鍵性基礎設施組織尚未采用零信任策略,其數據泄露的平均成本高達 540 萬美元,比已采用零信任策略的組織高出 117 萬美元。未采用零信任策略的組織所遭遇的數據泄露事件當中,約 28% 是由勒索軟件或破壞性攻擊造成的。
支付贖金的行為不可取——研究發現,發生數據泄露事件時,選擇向威脅方支付勒索軟件贖金的企業只比拒付贖金企業的平均成本少 61 萬美元,但這并未包括贖金本身,如果將高昂的贖金(Sophos數據顯示,2021 年平均贖金高達 81.2 萬美元)納入成本考量,交付贖金的受害企業其經濟損失可能會更大。由此可見,簡單地支付贖金并不可取。
云中安全尚不成熟——報告顯示,約有43%的受訪組織尚未開始在其跨云環境中部署安全措施或者還處在早期部署階段,這些組織的數據泄露成本要比已經在跨云環境中部署了成熟的安全措施的組織平均高出 66 萬美元。
專注于安全的AI與自動化技術可以為企業節省數百萬美元——已全面部署專注于安全的AI和自動化技術的受訪組織,其數據泄露平均成本要比未部署相關技術的企業低 305 萬美元。此次研究發現,部署專注于安全的AI和自動化技術,是企業應對數據泄露最具成本效益的因素。
IBM Security X-Force 全球負責人 Charles Henderson 表示:"面對攻擊,企業應先發制人,采取主動出擊的安全保護策略,阻止攻擊者達成不法目的,并將攻擊造成的影響降到最低。越是試圖完善其周邊防御、而非加大檢測和風險響應投入的企業,就越有可能遭遇更多的數據泄露事件,導致成本飆升。從這份報告可以看出,當企業遭遇攻擊時,采用正確的策略和技術可以帶來截然不同的結果。"
關鍵性基礎設施組織的"過度信任"
過去一年,全球各界對關鍵性基礎設施遭遇攻擊的擔憂與日俱增,多國政府的網絡安全機構紛紛敦促關鍵性基礎設施組織加強警惕破壞性攻擊。報告顯示,在受訪的關鍵性基礎設施組織中,勒索軟件和破壞性攻擊在數據泄露事件中的占比為
28%。威脅者正在通過攻擊這些關鍵性基礎設施組織來破壞與之相依存的全球供應鏈,而這些關鍵性基礎設組織施涉及金融服務、工業、運輸和醫療衛生等領域。
盡管各國政府一直在呼吁相關組織加強警惕,但在受訪的關鍵性基礎設施組織當中,只有21%采用了零信任安全模式。不僅如此,在關鍵性基礎設施組織所遭遇的數據泄漏事件當中,有17% 是源自業務合作伙伴遭受到的攻擊,可見其"過度信任"的環境所帶來的安全風險面之大。
支付贖金的企業并未占到"便宜"
報告顯示,選擇向威脅者支付勒索軟件贖金的企業,只比拒付贖金企業的平均泄露成本少61 萬美元,但這并不包括已經支付的贖金。如果計入平均贖金金額(Sophos數據顯示,2021 年贖金額高達 81.2 萬美元),支付贖金帶來的經濟損失可能會更大。而企業支付贖金的行為無意中還為未來的勒索軟件攻擊提供了資金,這些資金原本可以用于企業數據泄露的補救和恢復工作。
盡管全球各國在遏制勒索軟件攻擊方面做出了重大努力,但是網絡犯罪產業化仍在推動勒索軟件的發展。IBM Security X-Force 發現,在過去三年中,受訪企業遭遇勒索軟件攻擊的持續時間從原來的兩個多月降至四天以內,下降了 94%。網絡攻擊生命周期的指數級縮短,可能帶來影響更為嚴重的攻擊,因為這使得網絡安全事件響應人員進行檢測和遏制攻擊的窗口期變得非常短。隨著"系統首次受攻擊到全面受攻擊的時間"驟減至幾個小時,組織必須把提前嚴格測試事件響應(IR)手冊的工作提上首要日程。但從報告的調查結果來看,雖然高達 37% 的受訪組織已經制定了 IR 計劃,但并未對其進行定期測試。
混合云優勢凸顯
在受訪組織中,混合云環境是企業最為普遍的基礎設施架構,采用率達
45%。采用混合云模式的企業數據泄露平均成本為 380 萬美元,低于單一采用公有云(502 萬美元)或私有云(424
萬美元)模式的企業。事實上,全球受訪組織從識別到遏制數據泄露的平均時間為 277 天,而采用混合云模式的受訪組織要比平均速度快 15 天。
報告強調,其調研的數據泄露事件當中有45%是發生在云端,凸顯了云安全的重要性。然而,43% 的受訪組織表示尚未開始在其跨云環境中部署安全措施或正處于早期部署階段,因此這些組織的數據泄露平均成本也更高ii。與在所有領域持續部署安全措施的企業相比,尚未開始此項工作的企業平均需要多用 108 天才能識別并遏制數據泄露。
IBM《2022 年數據泄露成本報告》還有以下更多發現:
網絡釣魚成為"最貴"的數據泄露誘因——憑證被盜仍然是導致數據泄露事件的最常見原因,占比 19%;網絡釣魚位居第二,占比 16%,然而卻是導致數據泄露最高成本的原因,給受訪組織造成平均高達 491 萬美元的泄露成本。
醫療健康行業數據泄露成本呈兩位數增長,突破千萬量級,達到 1010 萬美元的歷史高位——醫療健康行業已經連續 12 年成為數據泄露平均成本最高的行業,其數據泄露成本在今年增加了近 100 萬美元,達到歷史最高的 1010 萬美元。
安全人員配備不足——62% 的受訪組織表示,由于現有人手無法滿足組織的安全需求,他們的數據泄露平均成本比人員配備充足的組織高出了 55 萬美元。
參考資料:
如需下載《2022 年數據泄露成本報告》的副本,請訪問:https://www.ibm.com/security/data-breach
閱讀IBM Security Intelligence博客,了解更多關于該報告的主要發現。
歡迎點擊此處注冊參加將于美國東部時間 2022 年 8 月 3 日(星期三)上午 11 點召開的IBM Security數據泄露成本報告網絡研討會。
歡迎聯系IBM Security X-Force團隊獲取調查結果的個性化分析內容:https://ibm.biz/book-a-consult.
關于 IBM Security
IBM Security
提供全球領先的集成式企業安全系列產品和服務。在享譽全球的 IBM Security X-Force®
研究團隊的支持下,這些企業安全系列產品和服務旨在幫助企業高效管理風險,從容應對突發威脅。IBM旗下的IBM Security
是集全球最廣泛的安全研究、開發和交付為一體的組織之一,每天為全球超過 130 個國家及地區的客戶監測超過 1500
億起的安全事件,在全球范圍擁有超過 10,000 項安全專利。了解更多信息,請訪問www.ibm.com/security,訪問IBM Security Intelligence博客。
關于IBM
IBM
是全球領先的混合云、人工智能及企業服務提供商,幫助超過 175 個國家和地區的客戶,從其擁有的數據中獲取商業洞察,簡化業務流程,降低成本,并獲得行業競爭優勢。金融服務、電信和醫療健康等關鍵基礎設施領域的超過 4000 家政府和企業實體依靠 IBM
混合云平臺和紅帽 OpenShift 快速、高效、安全地實現數字化轉型。IBM 在人工智能、量子計算、行業云解決方案和企業服務方面的突破性創新為我們的客戶提供了開放和靈活的選擇。對企業誠信、透明治理、社會責任、包容文化和服務精神的長期承諾是 IBM
業務發展的基石。了解更多信息,請訪問:https://www.ibm.com/cn-zh