IBM Security近日发布了《2022年数据泄露成本报告》,基于对2021年3月至2022年3月期间全球550家组织经历的真实数据泄露的深入分析,揭示了比以往任何时候成本更高、影响更大的数据泄露事件。对所研究的组织来说,数据泄露的全球平均成本达到了435万美元的历史最高水平。
报告显示,在过去两年中,违规成本增加了近13%,调查结果表明,这些事件也可能导致商品和服务成本上升。事实上,在通货膨胀和供应链问题导致商品成本在全球范围内飙升的情况下,60%的受调查组织因违规而提高了产品或服务价格。
网络攻击的持续性也揭示了数据泄露对企业造成的“挥之不去的影响”,报告发现,83%的被研究组织经历过不止一次数据泄露。另一个随着时间推移而增加的因素是违规对这些组织造成的后遗症,这种影响在违规发生后仍会持续很长时间,因为将近50%的违规成本是在违规发生一年多之后才产生的。
报告关键发现:
·未采用零信任的关基设施违规成本更高
80%接受调查的关键信息基础设施组织都没有采取零信任策略,其平均违约成本上升至540万美元,与采用了零信任策略的组织相比增加了117万美元。这些组织中有28%的违规是勒索软件或破坏性攻击。
·支付赎金并不划算
在这项研究中,选择支付赎金要求的勒索软件受害者的平均违约成本仅比那些未支付赎金要求的受害者低61万美元,这还不包括赎金本身。考虑到支付赎金的高昂成本,经济损失可能会更高,这表明单纯支付赎金可能不是一个有效的策略。
·云中的安全性尚不成熟
43%的受调查组织尚未开始在其云环境中应用安全实践,或处于实践的早期阶段,与在其云环境中具有成熟安全性的受调查组织相比,平均违规成本高出660,000美元。
·AI和自动化引领数百万美元的成本节约
与未部署该技术的研究组织相比,完全部署安全AI和自动化的参与组织平均减少了305万美元的违规成本,这是该研究中观察到的最大成本节约。
·网络钓鱼成为代价最高的违规原因
凭据泄露仍然是最常见的违规原因(19%),网络钓鱼紧随其后(16%),同时也是成本最高的原因,给响应组织带来了491万美元的平均违规成本。
·安保人员不足
62%的受调查组织表示他们没有足够的人员来满足其安全需求,这平均要比那些表示他们有足够人员的组织多550,000美元的违规成本。
·医疗违规成本首次达到两位数
医疗机构连续第12年成为违规代价最高的行业,医疗保健领域的平均违规成本增加了近100万美元,达到创纪录的1010万美元。
过度信任关键基础架构组织容易引发供应链威胁
过去一年,全球范围内针对关键基础设施的攻击在持续增加,许多政府的网络安全机构都敦促对破坏性攻击保持警惕。事实上,IBM的报告显示,在所研究的关键基础设施组织中,勒索软件和破坏性攻击占违规行为的28%,这突显了攻击者如何寻求打破依赖这些组织的全球供应链,包括金融服务、工业、运输和医疗保健公司等。
尽管安全机构在大声呼吁,但是在拜登政府宣布采用零信任架构加强国家网络安全的一年后,只有21%的关键基础设施组织采用零信任安全模式。此外,在关键基础架构组织中,17%的违规是由于业务合作伙伴最初受到威胁而导致的,这突显了过度信任环境带来的安全风险。
支付赎金的企业没有占到“便宜”
根据报告,与选择不支付赎金的企业相比,支付赎金要求的企业平均违约成本减少了61万美元,但这不包括支付的赎金金额。然而,当考虑到平均支付赎金的金额(根据Sophos的数据,2021年达到812,000美元),选择支付赎金的企业可能面临更高的总成本,同时无意中为未来的勒索软件攻击提供了资金,这些资金本可以分配给补救和恢复工作以及发掘潜在的违规。
尽管全球政府做出了巨大努力来阻止勒索软件,但网络犯罪的工业化助长了勒索软件的持续存在。IBM Security X-Force发现,在过去三年中,所研究的企业勒索软件攻击的持续时间下降了94%,从两个多月下降到不到四天。
这些指数级缩短的攻击生命周期可能引发影响更大的攻击,因为网络安全事件响应者检测和遏制攻击的机会非常有限。随着“勒索时间”缩短到几个小时,企业必须提前对事件响应行动计划进行严格测试,这一点至关重要。但是报告指出,多达37%的被调查组织没有定期测试它们。
混合云更具有抵御风险的优势
该报告还展示了混合云环境是所研究的组织中最普遍的(45%)基础架构。采用混合云模式的企业平均违约成本为380万美元,与采用纯公有云或私有云模式的企业相比,前者的违约成本较低,后者分别为502万美元和424万美元。事实上,所研究的采用混合云加购的组织能够比参与者平均快15天发现和遏制数据泄露,而全球平均水平为277天。
该报告强调,45%的数据泄露发生在云环境中,强调了云安全的重要性。然而,有43%的报告组织表示,他们只是处于早期阶段,或者尚未开始实施安全实践来保护他们的云环境,并观察到较高的违规成本。
与那些在其所有领域中持续应用安全实践的企业相比,未在其云环境中实施安全实践的企业平均需要多108天来识别和遏制数据违规。
京公网安备 11010802033237号
