近日,IBM(国际商业机器公司)发布了2024年《数据泄露成本报告》(以下简称“报告”),对全球604家机构在2023年3月至2024年2月期间的真实数据泄露事件展开了深入分析。
这项由Ponemon Institute开展、IBM支持并执行分析的研究报告已连续发布19年,对六千多个组织的数据泄露事件进行了研究,已成为网络安全领域的重要行业指标。
一、总体概况
报告显示,全球数据泄露事件的平均成本在今年达到488万美元,而随着其破坏性越来越大,组织对网络安全团队的要求也进一步提高。与上一年相比,数据泄露带来的成本增加了10%,是自2020年来增幅最大的一年;70%的受访企业表示,数据泄露造成了重大或非常重大的损失。
数据泄露导致的业务损失以及事后的客户和第三方响应成本,推动了成本的同比增加,这显示其“附加伤害”已日益加剧:不仅导致企业成本上升,还扩大了副作用的影响面;即使在少数(12%)从数据泄露完全恢复的企业中,大多数企业的恢复时间都超过100天。
二、主要发现内容
►企业的安全团队人员配备不足。与前一年相比,更多企业面临严重的安全专家短缺问题。这一缺口比去年扩大了26.2%,相当于泄露成本平均增加了176万美元。
►人工智能驱动的预防工作取得成效。三分之二的受访企业正在其安全运营中心中部署安全人工智能和自动化技术。当企业在预防阶段广泛使用AI和自动化工具,其平均数据泄露成本与未使用这些技术的组织相比要少220万美元,这也是2024年报告中披露的最大成本节约。
►数据可见性问题亟待改善。40%的数据泄露事件涉及混合环境中存储的数据,包括公有云、私有云和本地部署。这些数据泄露事件的平均成本超过500万美元,识别事件并遏制发展所需的时间也最长(283天)。
►凭证盗窃是最常见的初始攻击载体之一。凭证盗窃和破解占数据攻击行为的16%,在常见的初始攻击载体中居于首位。识别和遏制此类攻击的时间也最长(将近10个月)。
►执法部门的介入有助于企业减少赎金。与其他被勒索软件攻击的企业相比,引入执法部门的企业平均节省近100万美元的数据泄露成本,这还不包括他们已经支付的赎金。大多数求助于执法部门的勒索软件受害者(63%)可以避免支付赎金。
►面向关键基础设施的企业承担了最高的数据泄露成本。医疗健康、金融服务、制造、科技和能源企业的数据泄露成本领先其他行业。其中,医疗健康企业已连续14年承担了最高的数据泄露成本,平均数据泄露成本达到977万美元。
►数据泄露成本被转嫁到消费者身上。63%的企业表示,今年因数据泄露事件而增加了商品或服务成本,这一比例比去年(57%)略有上升,这也意味着大多数受访企业已连续第三年采取该举措。
三、建议举措
►了解自身的信息环境。大多数组织会将数据分布在多个环境中,其中包括本地数据存储库、私有云和公有云。但很多组织的数据存储库是不完整或过时的,这会使判断哪些数据遭泄露及其敏感或机密级别的过程被延误,导致应对措施复杂化,拉高泄露事件的成本。
安全团队应确保全面透视所有此类环境,以便无论在数据位于何处的情况下均可持续监控和保护数据。组织可应用数据安全状况管理(DSPM)和其他解决方案(如身份和访问管理以及攻击面管理)提供一致且全面的保护。安全团队还必须特别关注混合环境和公有云以及未管理的数据与非加密数据。
►运用AI和自动化,增强预防策略。在整个组织中采用生成式AI模型和第三方应用程序,以及持续使用物联网设备和“软件即服务”(SaaS)应用程序,均会扩大攻击面,给安全团队带来压力。将AI和自动化技术运用于支持安全预防策略(包括在攻击面管理、红队测试和态势管理中),往往可以通过托管安全服务来实现。
在本年度的研究中,将AI和自动化技术运用于安全预防领域的组织,相比其他三个安全领域(检测、调查、响应),从其AI投资中受益最大。相较于未在预防技术中部署AI的组织,有部署的组织平均节省了222万美元。
►采用生成式Al,勿忘安全第一。尽管组织正在快速推进生成式AI,但只有24%的生成式AI计划是安全的。安全措施不足,数据和数据模型暴露于泄露的风险之下,进而可能破坏生成式AI项目意在创造的优势。
随着生成式AI采用范围的不断扩大,组织需要一个框架来保护生成式AI数据、模型及其使用,并制定AI治理控制措施。对于生成式AI,组织面临的不仅是影子数据(未管理数据)的增长及其风险,更涉及到影子模型。组织必须将态势管理扩展到AI模型本身,保护敏感的AI训练数据,同时洞悉未经批准的影子AI模型的使用情况,以及AI滥用或数据泄露的情况。
►进一步加强网络安全响应培训。在今年的研究中,平均泄露成本增加情况中的75%是由于业务损失和泄露后响应活动的成本造成的。因此,投资于泄露后的响应准备有助于大幅降低泄露成本。
组织必须建立技术响应能力,并以战略规划作为补充,从而消除业务影响、保护客户,并保持运营连续性。开展治理并提前决策,有助于管理人员预见重大业务中断的处理方法,并精简相关行动流程,以便在发生攻击时使组织受益。
为增强处理高影响力攻击的能力,组织可参加网络靶场危机模拟演习,形成针对泄露处置的肌肉记忆。此类演习可涵盖安全团队和业务领导者,让整个组织均可提高检测、遏制和应对泄露事件的能力。
来源|IBM中国
编写|张羽翔
审核|肖嘉晨
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。