信息來源：安全內(nèi)參

根據(jù)Ponemon和IBM Security近日聯(lián)合發(fā)布的《2022年數(shù)據(jù)泄露成本報告》，2022年全球數(shù)據(jù)泄露規(guī)模和平均成本均創(chuàng)下歷史新高，數(shù)據(jù)泄露事件的平均成本高達435萬美元。

調(diào)查結(jié)果顯示，過去兩年數(shù)據(jù)泄露成本增加了近13%，同時數(shù)據(jù)泄露事件也可能導致商品和服務(wù)成本上升。事實上，由于通貨膨脹和供應(yīng)鏈問題，全球商品成本已經(jīng)飆升，60%的受訪企業(yè)因數(shù)據(jù)泄露而提高了產(chǎn)品或服務(wù)價格。

網(wǎng)絡(luò)攻擊的持續(xù)性意味著數(shù)據(jù)泄露將對企業(yè)造成持續(xù)的“難以消除的影響”，IBM報告發(fā)現(xiàn)83%的受訪企業(yè)和機構(gòu)經(jīng)歷過不止一次數(shù)據(jù)泄露。另一個隨著時間推移而浮現(xiàn)的負面因素是“數(shù)據(jù)泄露后遺癥”，其影響在企業(yè)發(fā)生數(shù)據(jù)泄露事件后仍會持續(xù)很長時間，因為近50%的數(shù)據(jù)泄露成本是在數(shù)據(jù)泄露事件發(fā)生一年多之后產(chǎn)生的。

《2022年數(shù)據(jù)泄露成本報告》基于2021年3月至2022年3月期間對全球550家組織所經(jīng)歷的真實數(shù)據(jù)泄露事件的深入分析。報告的關(guān)鍵發(fā)現(xiàn)如下：

2022年數(shù)據(jù)泄露成本報告的十大關(guān)鍵發(fā)現(xiàn)

1.關(guān)鍵基礎(chǔ)設(shè)施零信任策略滯后

將近80%的關(guān)鍵基礎(chǔ)設(shè)施組織都沒有采用零信任策略，平均數(shù)據(jù)泄露成本上升到540萬美元，與采用零信任策略的組織相比增加了117萬美元。未實施零信任方案的組織所發(fā)生的數(shù)據(jù)泄露事件中，28%與勒索軟件或破壞性攻擊有關(guān)。

2.支付贖金并非有效策略

研究顯示，在遭受勒索軟件攻擊后選擇支付贖金并不能降低數(shù)據(jù)泄露成本。選擇支付贖金的受害者與選擇不支付贖金的受害者相比，平均泄露成本僅減少了61萬美元——但這不包括贖金本身的成本?？紤]到高昂的贖金成本，組織蒙受的經(jīng)濟損失可能會更高，這表明簡單地支付贖金可能不是一種有效的策略。

3.云安全不成熟的代價高昂

43%的研究組織處于云安全的早期階段，或者尚未開始在其云環(huán)境中應(yīng)用安全實踐，與云環(huán)境安全成熟度較高的受訪組織相比，平均數(shù)據(jù)泄露成本高出66萬美元。

4.人工智能和自動化安全技術(shù)可節(jié)約數(shù)百萬美元的泄露成本

與未部署該技術(shù)的受訪組織相比，完全部署人工智能和自動化安全技術(shù)的組織平均減少了305萬美元的違規(guī)成本——這是研究中觀察到的最大幅度的成本節(jié)省。

5.網(wǎng)絡(luò)釣魚成為代價最高的數(shù)據(jù)泄露原因

雖然憑據(jù)被盜仍然是最常見的泄露原因(19%)，但網(wǎng)絡(luò)釣魚是第二大(16%)也是最昂貴的原因，給受訪組織造成高達491萬美元的平均泄露成本。

6.安全人才短缺導致數(shù)據(jù)泄露成本飆升

62%的受訪組織表示沒有足夠的人員來滿足安全需求，這些企業(yè)的平均數(shù)據(jù)泄露成本比安全人才充足的企業(yè)高出55萬美元。

7.醫(yī)療行業(yè)數(shù)據(jù)泄露成本高企不下

連續(xù)第12年，醫(yī)療行業(yè)都是數(shù)據(jù)泄露成本最高的行業(yè)，而且還在快速增長中。2022年醫(yī)療行業(yè)的平均違規(guī)成本增加了近100萬美元，達到創(chuàng)紀錄的1010萬美元。

“企業(yè)需要將他們的安全防御放在進攻端，并擊敗攻擊者。是時候阻止對手實現(xiàn)其目標并開始盡量減少攻擊的影響了。越多的企業(yè)試圖完善他們的安全邊界而不是投資于檢測和響應(yīng)，越多的數(shù)據(jù)泄露事件會加劇生活成本的增加?！盜BM Security X-Force全球負責人Charles Henderson說：“這份報告表明，只有將正確的策略與正確的技術(shù)相結(jié)合，才能在企業(yè)受到攻擊時發(fā)揮重要作用。”

8.過度信任關(guān)鍵基礎(chǔ)設(shè)施組織

過去一年，全球?qū)﹃P(guān)鍵基礎(chǔ)設(shè)施目標的擔憂似乎在增加，許多政府的網(wǎng)絡(luò)安全機構(gòu)都敦促對破壞性攻擊保持警惕。報告顯示，勒索軟件和破壞性攻擊占所研究的關(guān)鍵基礎(chǔ)設(shè)施組織的28%的違規(guī)行為，突顯了攻擊者正在積極尋求破壞依賴這些組織的全球供應(yīng)鏈，包括金融服務(wù)、工業(yè)、運輸和醫(yī)療等。

在拜登政府發(fā)布網(wǎng)絡(luò)安全行政命令一年后（該命令強調(diào)圍繞零信任方法來加強國家網(wǎng)絡(luò)安全的重要性），但接受調(diào)研的關(guān)鍵基礎(chǔ)設(shè)施組織中只有21%采用零信任安全模型。除此之外，關(guān)鍵基礎(chǔ)設(shè)施組織中17%的違規(guī)行為是由于業(yè)務(wù)合作伙伴遭到入侵造成的，這凸顯了過度信任環(huán)境帶來的安全風險。

9.支付贖金得不償失

根據(jù)2022年數(shù)據(jù)泄露成本報告，與選擇不支付贖金的企業(yè)相比，支付了勒索贖金要求的企業(yè)的平均泄露成本減少了61萬美元（不包括支付的贖金金額）。然而，考慮到平均贖金支付金額（根據(jù)Sophos的數(shù)據(jù)，2021年達到81.2萬美元），選擇支付贖金的企業(yè)的數(shù)據(jù)泄露總成本反而更高，而且還無意中為未來的勒索軟件攻擊提供資金，這些資金本可用于補救和恢復工作。

盡管全球努力阻止勒索軟件的持續(xù)存在，但網(wǎng)絡(luò)犯罪的工業(yè)化推動了它的存在。IBM Security X-Force發(fā)現(xiàn)，受訪企業(yè)勒索軟件攻擊的持續(xù)時間在過去三年中下降了94%——從兩個多月銳減到不足四天。

以指數(shù)級速度縮短的勒索軟件攻擊生命周期可能會引發(fā)影響更大的攻擊，因為網(wǎng)絡(luò)安全事件響應(yīng)者只有非常短的機會窗口來檢測和遏制攻擊。隨著“贖金時間”減少到幾個小時，企業(yè)必須提前對事件響應(yīng)手冊進行嚴格測試，這一點至關(guān)重要。但該報告指出，多達37%的已制訂事件響應(yīng)計劃的組織沒有定期對其進行測試。

10.混合云的數(shù)據(jù)泄露成本較低

報告顯示混合云環(huán)境是所研究組織中最普遍(45%)的基礎(chǔ)架構(gòu)。采用混合云模型的企業(yè)的平均數(shù)據(jù)泄露成本為380萬美元，而僅采用公共云或私有云模式的企業(yè)的平均數(shù)據(jù)泄露成本分別為502萬美元和424萬美元。事實上，報告調(diào)研的混合云用戶識別和控制數(shù)據(jù)泄露的平均時間為262天，比全部調(diào)查對象的平均時間277天快15天。

報告強調(diào)，受訪者45%的數(shù)據(jù)泄露事件發(fā)生在云中，這凸顯了云安全的重要性。然而，43%的受訪者表示他們只是處于早期階段或尚未開始實施云安全實踐，這部分用戶的數(shù)據(jù)泄露成本更高。

與在所有環(huán)境中持續(xù)應(yīng)用安全實踐的企業(yè)相比，未在其云環(huán)境中實施安全實踐的企業(yè)平均需要額外108天的時間來識別和遏制數(shù)據(jù)泄露。