ibm security于7月24日发布了其年度《数据泄露成本报告》(cost of a data breach report),报告显示,2023年全球数据泄露的平均成本达到445万美元,创该报告有史以来以来最高记录,也较过去3年均值增长了15%。同一时期内,检测安全漏洞和漏洞恶化带来的安全成本上升了42%,占安全漏洞总成本的比值也来到史上最高,这也表明,企业应对漏洞的调查和处理正在变得更加复杂。
该报告发现,面对不断增加的数据漏洞成本和发生频次,各企业的应对方式却大相径庭:虽然95%的受访企业都经历过不止一次的数据泄露事件,但被泄露企业更有可能将安全事件的成本转嫁给消费者(57%的企业这样做),而不是增加安全投资(仅有51%的企业有此意愿)。
2023年《数据泄露成本报告》是对全球553家企业组织自2022年3月至2023年3月期间经历的真实数据泄露事件的深入调研分析。该报告已连续发布18年,ibm security是该报告的赞助方及分析方,而调研工作则由致力于隐私、数据保护和信息安全政策的专业研究机构ponemon institute开展。这份2023年最新报告中的主要发现包括:
人工智能加速威胁应对–人工智能和自动化对被调研组织的漏洞识别和遏制速度帮助最大。与研究中未部署这些技术的组织相比,广泛使用人工智能和自动化的组织的数据泄露处理周期会短上108天(二者分别为214天和322天)。
沉默意味着更高代价–研究中诉诸法律的勒索软件受害者与那些选择不求助法律的勒索软件受害者相比,平均能减少47万美元的数据泄露成本。尽管求助法律能降低损失,但在被调研的勒索软件受害者中,有37%并未求助执法部门。
威胁检测存在鸿沟–在所有被研究的数据泄露中,只有三分之一是由被调研企业内部安全团队检测到的,而网络攻击者披露的数据泄露占比则为27%。与企业自行发现数据泄露相比,攻击者发布数据泄露会造成平均100万美元的额外损失。
ibm全球安全服务部总经理chris mccurdy表示:"就网络安全而言,无论对于防御者还是攻击者来说,时间都意味着金钱。正如报告所示,早期检测和快速响应可以显著降低安全漏洞的影响。相关安全团队必须重视对手的杀手锏并集中力量阻止对方攻击。在攻击者实现目标之前,企业需要抓紧对威胁检测和响应方法等进行投资,例如应用人工智能和自动化技术提高防御的速度和效率,这对于打破目前这种平衡状态至关重要。"
每一秒都是代价
根据2023年的报告,与未部署这些技术的组织相比,全面部署安全人工智能和自动化的被研究组织数据泄露周期平均缩短了108天,并且相关安全事件的成本显著降低。事实上,广泛部署安全人工智能和自动化的被研究组织与未部署这些技术的组织相比,数据泄露成本平均降低了近180万美元,这是报告中提到的最大的成本节约项。
与此同时,现在攻击者们完成勒索软件攻击的平均时间又降低了。好消息是,由于近40%的被研究组织尚未部署安全人工智能和自动化,因此,它们仍有相当大的机会通过这些技术手段来进一步提高检测和响应速度。
别掉入勒索软件的"沉默"陷阱
一些被研究组织在遭勒索软件攻击后仍不愿与执法部门接触,因为他们担心这只会使情况变得复杂。今年,ibm《数据泄露成本报告》首次深入研究了这个情况,并证明,结论与担忧的恰恰相反。无执法部门介入的情况下,被攻击组织的数据泄露生命周期比有执法组织介入的情况平均长33天。而这种"沉默"意味着巨大的代价。研究表明,相比采取法律行动的勒索软件受害者,未采取法律行动的受害者平均要承受高出47万美元的数据泄露成本。
尽管执法部门不懈地寻求与勒索软件受害者协作,但37%的受访者仍然选择避免让其介入。此外,据报道,近一半(47%)的勒索软件受害者向攻击者支付了赎金。显然,各组织应该纠正这些关于勒索软件的误解,支付赎金并规避执法部门介入很可能只会增加安全事件成本并延迟响应速度。
自有安全团队不易发现漏洞
在威胁检测和响应方面,企业已经取得了一定的进展。根据ibm今年早些时候发布的《2023 ibm securityx-force威胁情报指数》,去年被各企业自身安全团队阻止的勒索软件攻击占总数的比例已经有所上升。然而,对手仍在不遗余力寻找防线的突破口。该报告发现,只有三分之一被研究组织遭受的攻击行为是由其自有安全团队或工具检测到的,而27%是由攻击者们披露的,另有40%是由执法部门等中立第三方披露的。
自主发现漏洞的组织所承受的漏洞损失,比由攻击者披露所承受的损失低了近100万美元(前者430万美元,而后者达523万美元)。与内部发现的漏洞相比,攻击者披露的漏洞的生命周期也延长了近80天(分别为241天与320天)。早期检测可以节省大量成本和时间,这表明,依据这些策略进行投资从长远来看可以获得可观的回报。
这份2023年最新报告中的其它重要发现还包括:
跨环境泄露数据现象普遍–在被研究的数据泄露事件中,近40%的数据泄露会导致跨多个数据环境(包括公共云、私有云和本地云)的数据丢失,这表明攻击者能够在避免被检测到的同时危害多个环境。研究发现,涉多个环境的数据泄露也会导致更高的泄露成本(平均475万美元)。
医卫相关违规成本继续飙升–到2023年,医疗保健领域研究的数据泄露的平均成本将达到近1100万美元,自2020年以来这一数据上涨了53%。根据《2023 ibm securityx-force威胁情报指数》,威胁行为实施者以医疗记录为杠杆,给受攻击组织带来了更大的支付赎金的压力。事实上,在所研究的所有行业中,客户个人身份信息是最常被泄露的数据类型,也是成本最高的。
devsecops的优势–对所有行业中具有高水平devsecops(开发、安全和运维)的企业组织进行研究发现,其数据泄露的全球平均成本比那些采用低水平或不使用devsecops方法的组织低了近170万美元。
关键基础设施泄露造成的损失超过500万美元–与去年相比,被研究的关键基础设施相关组织的平均数据泄露成本上升了4.5%,从482万美元增加到了504万美元,比全球数据泄露平均成本高出59万美元。
相关链接:
下载2023年《数据泄露成本报告》,请访问:https://www.ibm.com/security/data-breach.。
在ibm security intelligence博客中详细了解该报告的主要洞察。
走近ibm security x-force团队,对报告洞察进行个性化解读:https://ibm.biz/book-a-consult。
如需详细了解报告中相关建议,请访问:数据泄露成本行动指南。
关于ibm security
ibm security通过集成的安全产品和服务组合,融合动态ai和自动化能力,为全球大型企业和政府机构保驾护航。这一产品组合辅以全球知名的ibm security x-force研究团队的支持,能让相关组织准确预知威胁、实时保护数据,在不影响业务创新的前提下,快速精准地做出安全响应。ibm分布于全球各地的安全专家,是数以千计的企业组织评估安全威胁、制定安全战略、实施和管理安全转型可信赖的凯发k8官网下载的合作伙伴。ibm运营着全球范围最广泛的安全研究、开发和交付机构之一,其每天在130多个国家和地区监控1500多亿起网络安全事件,并在全球范围内获得了10000多项安全专利。
该报告发现,面对不断增加的数据漏洞成本和发生频次,各企业的应对方式却大相径庭:虽然95%的受访企业都经历过不止一次的数据泄露事件,但被泄露企业更有可能将安全事件的成本转嫁给消费者(57%的企业这样做),而不是增加安全投资(仅有51%的企业有此意愿)。
2023年《数据泄露成本报告》是对全球553家企业组织自2022年3月至2023年3月期间经历的真实数据泄露事件的深入调研分析。该报告已连续发布18年,ibm security是该报告的赞助方及分析方,而调研工作则由致力于隐私、数据保护和信息安全政策的专业研究机构ponemon institute开展。这份2023年最新报告中的主要发现包括:
人工智能加速威胁应对–人工智能和自动化对被调研组织的漏洞识别和遏制速度帮助最大。与研究中未部署这些技术的组织相比,广泛使用人工智能和自动化的组织的数据泄露处理周期会短上108天(二者分别为214天和322天)。
沉默意味着更高代价–研究中诉诸法律的勒索软件受害者与那些选择不求助法律的勒索软件受害者相比,平均能减少47万美元的数据泄露成本。尽管求助法律能降低损失,但在被调研的勒索软件受害者中,有37%并未求助执法部门。
威胁检测存在鸿沟–在所有被研究的数据泄露中,只有三分之一是由被调研企业内部安全团队检测到的,而网络攻击者披露的数据泄露占比则为27%。与企业自行发现数据泄露相比,攻击者发布数据泄露会造成平均100万美元的额外损失。
ibm全球安全服务部总经理chris mccurdy表示:"就网络安全而言,无论对于防御者还是攻击者来说,时间都意味着金钱。正如报告所示,早期检测和快速响应可以显著降低安全漏洞的影响。相关安全团队必须重视对手的杀手锏并集中力量阻止对方攻击。在攻击者实现目标之前,企业需要抓紧对威胁检测和响应方法等进行投资,例如应用人工智能和自动化技术提高防御的速度和效率,这对于打破目前这种平衡状态至关重要。"
每一秒都是代价
根据2023年的报告,与未部署这些技术的组织相比,全面部署安全人工智能和自动化的被研究组织数据泄露周期平均缩短了108天,并且相关安全事件的成本显著降低。事实上,广泛部署安全人工智能和自动化的被研究组织与未部署这些技术的组织相比,数据泄露成本平均降低了近180万美元,这是报告中提到的最大的成本节约项。
与此同时,现在攻击者们完成勒索软件攻击的平均时间又降低了。好消息是,由于近40%的被研究组织尚未部署安全人工智能和自动化,因此,它们仍有相当大的机会通过这些技术手段来进一步提高检测和响应速度。
别掉入勒索软件的"沉默"陷阱
一些被研究组织在遭勒索软件攻击后仍不愿与执法部门接触,因为他们担心这只会使情况变得复杂。今年,ibm《数据泄露成本报告》首次深入研究了这个情况,并证明,结论与担忧的恰恰相反。无执法部门介入的情况下,被攻击组织的数据泄露生命周期比有执法组织介入的情况平均长33天。而这种"沉默"意味着巨大的代价。研究表明,相比采取法律行动的勒索软件受害者,未采取法律行动的受害者平均要承受高出47万美元的数据泄露成本。
尽管执法部门不懈地寻求与勒索软件受害者协作,但37%的受访者仍然选择避免让其介入。此外,据报道,近一半(47%)的勒索软件受害者向攻击者支付了赎金。显然,各组织应该纠正这些关于勒索软件的误解,支付赎金并规避执法部门介入很可能只会增加安全事件成本并延迟响应速度。
自有安全团队不易发现漏洞
在威胁检测和响应方面,企业已经取得了一定的进展。根据ibm今年早些时候发布的《2023 ibm securityx-force威胁情报指数》,去年被各企业自身安全团队阻止的勒索软件攻击占总数的比例已经有所上升。然而,对手仍在不遗余力寻找防线的突破口。该报告发现,只有三分之一被研究组织遭受的攻击行为是由其自有安全团队或工具检测到的,而27%是由攻击者们披露的,另有40%是由执法部门等中立第三方披露的。
自主发现漏洞的组织所承受的漏洞损失,比由攻击者披露所承受的损失低了近100万美元(前者430万美元,而后者达523万美元)。与内部发现的漏洞相比,攻击者披露的漏洞的生命周期也延长了近80天(分别为241天与320天)。早期检测可以节省大量成本和时间,这表明,依据这些策略进行投资从长远来看可以获得可观的回报。
这份2023年最新报告中的其它重要发现还包括:
跨环境泄露数据现象普遍–在被研究的数据泄露事件中,近40%的数据泄露会导致跨多个数据环境(包括公共云、私有云和本地云)的数据丢失,这表明攻击者能够在避免被检测到的同时危害多个环境。研究发现,涉多个环境的数据泄露也会导致更高的泄露成本(平均475万美元)。
医卫相关违规成本继续飙升–到2023年,医疗保健领域研究的数据泄露的平均成本将达到近1100万美元,自2020年以来这一数据上涨了53%。根据《2023 ibm securityx-force威胁情报指数》,威胁行为实施者以医疗记录为杠杆,给受攻击组织带来了更大的支付赎金的压力。事实上,在所研究的所有行业中,客户个人身份信息是最常被泄露的数据类型,也是成本最高的。
devsecops的优势–对所有行业中具有高水平devsecops(开发、安全和运维)的企业组织进行研究发现,其数据泄露的全球平均成本比那些采用低水平或不使用devsecops方法的组织低了近170万美元。
关键基础设施泄露造成的损失超过500万美元–与去年相比,被研究的关键基础设施相关组织的平均数据泄露成本上升了4.5%,从482万美元增加到了504万美元,比全球数据泄露平均成本高出59万美元。
相关链接:
下载2023年《数据泄露成本报告》,请访问:https://www.ibm.com/security/data-breach.。
在ibm security intelligence博客中详细了解该报告的主要洞察。
走近ibm security x-force团队,对报告洞察进行个性化解读:https://ibm.biz/book-a-consult。
如需详细了解报告中相关建议,请访问:数据泄露成本行动指南。
关于ibm security
ibm security通过集成的安全产品和服务组合,融合动态ai和自动化能力,为全球大型企业和政府机构保驾护航。这一产品组合辅以全球知名的ibm security x-force研究团队的支持,能让相关组织准确预知威胁、实时保护数据,在不影响业务创新的前提下,快速精准地做出安全响应。ibm分布于全球各地的安全专家,是数以千计的企业组织评估安全威胁、制定安全战略、实施和管理安全转型可信赖的凯发k8官网下载的合作伙伴。ibm运营着全球范围最广泛的安全研究、开发和交付机构之一,其每天在130多个国家和地区监控1500多亿起网络安全事件,并在全球范围内获得了10000多项安全专利。
责任编辑:
