信息來源:安全內(nèi)參
根據(jù)Ponemon和IBM Security近日聯(lián)合發(fā)布的《2022年數(shù)據(jù)泄露成本報告》,2022年全球數(shù)據(jù)泄露規(guī)模和平均成本均創(chuàng)下歷史新高,數(shù)據(jù)泄露事件的平均成本高達(dá)435萬美元。
調(diào)查結(jié)果顯示,過去兩年數(shù)據(jù)泄露成本增加了近13%,同時數(shù)據(jù)泄露事件也可能導(dǎo)致商品和服務(wù)成本上升。事實上,由于通貨膨脹和供應(yīng)鏈問題,全球商品成本已經(jīng)飆升,60%的受訪企業(yè)因數(shù)據(jù)泄露而提高了產(chǎn)品或服務(wù)價格。
網(wǎng)絡(luò)攻擊的持續(xù)性意味著數(shù)據(jù)泄露將對企業(yè)造成持續(xù)的“難以消除的影響”,IBM報告發(fā)現(xiàn)83%的受訪企業(yè)和機(jī)構(gòu)經(jīng)歷過不止一次數(shù)據(jù)泄露。另一個隨著時間推移而浮現(xiàn)的負(fù)面因素是“數(shù)據(jù)泄露后遺癥”,其影響在企業(yè)發(fā)生數(shù)據(jù)泄露事件后仍會持續(xù)很長時間,因為近50%的數(shù)據(jù)泄露成本是在數(shù)據(jù)泄露事件發(fā)生一年多之后產(chǎn)生的。
《2022年數(shù)據(jù)泄露成本報告》基于2021年3月至2022年3月期間對全球550家組織所經(jīng)歷的真實數(shù)據(jù)泄露事件的深入分析。報告的關(guān)鍵發(fā)現(xiàn)如下:
2022年數(shù)據(jù)泄露成本報告的十大關(guān)鍵發(fā)現(xiàn)
1.關(guān)鍵基礎(chǔ)設(shè)施零信任策略滯后
將近80%的關(guān)鍵基礎(chǔ)設(shè)施組織都沒有采用零信任策略,平均數(shù)據(jù)泄露成本上升到540萬美元,與采用零信任策略的組織相比增加了117萬美元。未實施零信任方案的組織所發(fā)生的數(shù)據(jù)泄露事件中,28%與勒索軟件或破壞性攻擊有關(guān)。
2.支付贖金并非有效策略
研究顯示,在遭受勒索軟件攻擊后選擇支付贖金并不能降低數(shù)據(jù)泄露成本。選擇支付贖金的受害者與選擇不支付贖金的受害者相比,平均泄露成本僅減少了61萬美元——但這不包括贖金本身的成本??紤]到高昂的贖金成本,組織蒙受的經(jīng)濟(jì)損失可能會更高,這表明簡單地支付贖金可能不是一種有效的策略。
3.云安全不成熟的代價高昂
43%的研究組織處于云安全的早期階段,或者尚未開始在其云環(huán)境中應(yīng)用安全實踐,與云環(huán)境安全成熟度較高的受訪組織相比,平均數(shù)據(jù)泄露成本高出66萬美元。
4.人工智能和自動化安全技術(shù)可節(jié)約數(shù)百萬美元的泄露成本
與未部署該技術(shù)的受訪組織相比,完全部署人工智能和自動化安全技術(shù)的組織平均減少了305萬美元的違規(guī)成本——這是研究中觀察到的最大幅度的成本節(jié)省。
5.網(wǎng)絡(luò)釣魚成為代價最高的數(shù)據(jù)泄露原因
雖然憑據(jù)被盜仍然是最常見的泄露原因(19%),但網(wǎng)絡(luò)釣魚是第二大(16%)也是最昂貴的原因,給受訪組織造成高達(dá)491萬美元的平均泄露成本。
6.安全人才短缺導(dǎo)致數(shù)據(jù)泄露成本飆升
62%的受訪組織表示沒有足夠的人員來滿足安全需求,這些企業(yè)的平均數(shù)據(jù)泄露成本比安全人才充足的企業(yè)高出55萬美元。
7.醫(yī)療行業(yè)數(shù)據(jù)泄露成本高企不下
連續(xù)第12年,醫(yī)療行業(yè)都是數(shù)據(jù)泄露成本最高的行業(yè),而且還在快速增長中。2022年醫(yī)療行業(yè)的平均違規(guī)成本增加了近100萬美元,達(dá)到創(chuàng)紀(jì)錄的1010萬美元。
“企業(yè)需要將他們的安全防御放在進(jìn)攻端,并擊敗攻擊者。是時候阻止對手實現(xiàn)其目標(biāo)并開始盡量減少攻擊的影響了。越多的企業(yè)試圖完善他們的安全邊界而不是投資于檢測和響應(yīng),越多的數(shù)據(jù)泄露事件會加劇生活成本的增加?!盜BM Security X-Force全球負(fù)責(zé)人Charles Henderson說:“這份報告表明,只有將正確的策略與正確的技術(shù)相結(jié)合,才能在企業(yè)受到攻擊時發(fā)揮重要作用。”
8.過度信任關(guān)鍵基礎(chǔ)設(shè)施組織
過去一年,全球?qū)﹃P(guān)鍵基礎(chǔ)設(shè)施目標(biāo)的擔(dān)憂似乎在增加,許多政府的網(wǎng)絡(luò)安全機(jī)構(gòu)都敦促對破壞性攻擊保持警惕。報告顯示,勒索軟件和破壞性攻擊占所研究的關(guān)鍵基礎(chǔ)設(shè)施組織的28%的違規(guī)行為,突顯了攻擊者正在積極尋求破壞依賴這些組織的全球供應(yīng)鏈,包括金融服務(wù)、工業(yè)、運(yùn)輸和醫(yī)療等。
在拜登政府發(fā)布網(wǎng)絡(luò)安全行政命令一年后(該命令強(qiáng)調(diào)圍繞零信任方法來加強(qiáng)國家網(wǎng)絡(luò)安全的重要性),但接受調(diào)研的關(guān)鍵基礎(chǔ)設(shè)施組織中只有21%采用零信任安全模型。除此之外,關(guān)鍵基礎(chǔ)設(shè)施組織中17%的違規(guī)行為是由于業(yè)務(wù)合作伙伴遭到入侵造成的,這凸顯了過度信任環(huán)境帶來的安全風(fēng)險。
9.支付贖金得不償失
根據(jù)2022年數(shù)據(jù)泄露成本報告,與選擇不支付贖金的企業(yè)相比,支付了勒索贖金要求的企業(yè)的平均泄露成本減少了61萬美元(不包括支付的贖金金額)。然而,考慮到平均贖金支付金額(根據(jù)Sophos的數(shù)據(jù),2021年達(dá)到81.2萬美元),選擇支付贖金的企業(yè)的數(shù)據(jù)泄露總成本反而更高,而且還無意中為未來的勒索軟件攻擊提供資金,這些資金本可用于補(bǔ)救和恢復(fù)工作。
盡管全球努力阻止勒索軟件的持續(xù)存在,但網(wǎng)絡(luò)犯罪的工業(yè)化推動了它的存在。IBM Security X-Force發(fā)現(xiàn),受訪企業(yè)勒索軟件攻擊的持續(xù)時間在過去三年中下降了94%——從兩個多月銳減到不足四天。
以指數(shù)級速度縮短的勒索軟件攻擊生命周期可能會引發(fā)影響更大的攻擊,因為網(wǎng)絡(luò)安全事件響應(yīng)者只有非常短的機(jī)會窗口來檢測和遏制攻擊。隨著“贖金時間”減少到幾個小時,企業(yè)必須提前對事件響應(yīng)手冊進(jìn)行嚴(yán)格測試,這一點(diǎn)至關(guān)重要。但該報告指出,多達(dá)37%的已制訂事件響應(yīng)計劃的組織沒有定期對其進(jìn)行測試。
10.混合云的數(shù)據(jù)泄露成本較低
報告顯示混合云環(huán)境是所研究組織中最普遍(45%)的基礎(chǔ)架構(gòu)。采用混合云模型的企業(yè)的平均數(shù)據(jù)泄露成本為380萬美元,而僅采用公共云或私有云模式的企業(yè)的平均數(shù)據(jù)泄露成本分別為502萬美元和424萬美元。事實上,報告調(diào)研的混合云用戶識別和控制數(shù)據(jù)泄露的平均時間為262天,比全部調(diào)查對象的平均時間277天快15天。
報告強(qiáng)調(diào),受訪者45%的數(shù)據(jù)泄露事件發(fā)生在云中,這凸顯了云安全的重要性。然而,43%的受訪者表示他們只是處于早期階段或尚未開始實施云安全實踐,這部分用戶的數(shù)據(jù)泄露成本更高。
與在所有環(huán)境中持續(xù)應(yīng)用安全實踐的企業(yè)相比,未在其云環(huán)境中實施安全實踐的企業(yè)平均需要額外108天的時間來識別和遏制數(shù)據(jù)泄露。