IBM最新数据泄露报告：成本再创新高 超一半组织将提高安全投入

近日，IBM安全发布了新版《2023年数据泄露成本报告》，与往常一样，报告结合独立研究机构Ponemon Institute的调研数据，IBM安全最终完成分析并发布。该报告以年度单位发布，距今已有18个年头，今年的报告是根据2022年3月至2023年3月期间对16个国家/地区遭受数据泄露的553个组织的个人进行了3475次单独采访，根据其深入了解到的定性数据分析编制而成。报告为商业化成熟的IT、风险管理和安全领导提供一个视角，有助于让他们更好地管理本地与云端数据泄露风险，对国内企业出海也有一定参考意义。



主要发现：
 
·2023年数据泄露的全球平均成本达到445万美元，再创历史新高，2022年的数字为435万美元；

·51%的组织因遭遇数据泄露事件而计划提高安全投入，其主要投资方向为事件响应、员工培训、威胁检测和响应；

·组织在安全投入上增加人工智能和自动化功能的话，数据泄露成本将降低176万美元；

·67%的数据泄露事件由第三方或攻击者报告，组织自己的安全团队或工具发现的安全事件只有1/3。如组织能够自身发现安全漏洞的话，组织的数据泄露成本将降低100万美元；

·本年度医疗行业数据泄露事件的平均成本来到1093万美元，医疗行业数据泄露成本连续第13年领跑全行业；

·2023年云环境经常成为网络攻击者的攻击目标，39%的漏洞跨越多个环境并导致高于平均水平的475万美元成本；

·DevSecOps具有可观的投资回报率，2023年在软件开发过程中集成安全测试展示了最大的成本节约，相比没有采用或采用率低的组织，DevSecOps高采用率的组织节省了168万美元；

·组织对数据泄露事件的提前发现能力至关重要，以识别和遏制时间为200天内为限，超过200天的数据泄露成本为495万美元，低于200天损失为393万美元。
 
本次报告由两大主要部分组成，其一是完整的数据泄露对于成本方面的调查结果，这部分分成18个主题进行分析展示；其二是降低数据泄露成本的建议，这部分可以理解为企业需要解决的突出问题。相较而言，今年的报告没有去年展现的直观，但加入了一些新的技术场景数据泄露成本分析。
 
数据泄露成本再创历史新高
 
在全球范围内，数据泄露的平均成本上升至445万美元，相比2022年增加了10万美元。从地区上看，美国连续第13年成为数据泄露成本最高的国家，其平均成本高达948万美元，其次的地区排名分别是中东的807万、加拿大的513万、德国的467万、日本的452万美元。
 
从行业上看，医疗行业在2023年的平均成本高达1093万美元，增长8.2%，报告强调该行业受政府强监管的关键基础设施，同时该行业自新冠疫情暴发以来，平均的数据泄露成本显著提升。其它行业方面，排在医疗之后的分别是金融、能源、工业、科技、服务、运输、教育等行业，其中金融机构的数据泄露平均成本为590万美元，能源行业的平均成本为478万美元，教育行业的平均成本为365万美元。针对关键基础设施行业报告指出其数据泄露成本超过500万美元。
 
由于数据泄露，大多数组织继续提高服务和产品的价值。57%的受访者表示数据泄露事件导致其商业产品价格上涨，继续将其转嫁给消费者。这一发现与去年的60%比例相一致。
 
凭据被盗成为数据泄露主要原因
 
报告披露数据泄露事件的初始攻击向量指出，钓鱼攻击和凭据被盗是两种最普遍的攻击媒介，其中钓鱼攻击占比总体攻击向量的16%，凭据泄露占比15%。云配置错误在报告中也有较高水平，占比整体安全事件的11%。报告特别强调了一点，从被盗凭据作为攻击向量将更难以被发现，组织通常需要328天才能识别基于它的数据泄露事件。
 
安全基线对数据泄露成本的影响
 
今年的报告引入了27个不同的安全基线因素，供组织评估以补足安全能力，正向来看，企业需要解决多种安全高风险问题以避免出现违规事件，比如重点在于降低安全系统复杂性、补足员工安全技能短缺、加强全面的合规建设、加强对云的合规遵循、解决好IT与OT融合的环境安全问题、避免供应链安全问题等等。
 
在安全基线方面，DevSecOps、密码、SOAR、TI、IAM、EDR、ASM等技术的应用对降低数据泄露成本方面有着较好帮助。以DevSecOps为例，应用该技能的组织平均降低24.9万美元损失，在DevSecOps方法高级别和低级别应用组织之间存在168万美元的巨大差异。
 
2023年，近1/4的攻击涉及勒索软件，今年这方面的平均成本为513万美元，比2022年报告中的454万美元成本增加了13%。这方面，在经历勒索软件攻击的组织当中，那些拥有专门防范能力的组织能够在更短的时间内控制影响。
 
随着安全行业的人工智能和自动化用例的推进，报告也关注了这方面对于数据泄露成本方面的影响。其中广泛应用人工智能与自动化用例的安全基线将带来180万美元成本节省。并且由其驱动的识别和遏制漏洞时间也减少了100天。
 
多云成为组织战略之一，这需要加强多环境的统一安全控制能力，在2023年的报告中，多个环境中的数据泄露成本达到475万美元，比私有云环境中的398万美元高17.6%。
 
有助于降低数据泄露成本的建议
 
在这方面IBM安全给出四大方面的建议，分别是将安全构建到软件开发和部署的每个阶段，并定期进行测试；跨混合云实现数据保护；使用安全AI和自动化提高检测和响应的速度和准确性；通过了解你的攻击面和演练事件响应来增强弹性。数字化转型不仅要速度，还要精度，以上四大方向即是现代组织在数字化转型当中遇到的核心挑战，必须优先解决。
 
关于数据泄露成本的说明
 
需要了解到的是关于报告提及的数据泄露成本，通常指的是从安全事件发生，到应急响应结束，组织业务系统完全恢复，前、中、后所产生的所有支出，如事件的调查费用，聘请安全专家的费用，采用安全产品或服务的费用，组织的危机管理费用，以及业务停摆损失及声誉损失，相应的法律合规损失，与组织为客户提供的缓解举措成本等等。通常而言，IBM发布的数据泄露成本报告不包含特大违规行为，即超过100万条数据泄露事件，因为大型违规事件的平均成本通常在数千万到数亿美元之间。