根據(jù)IBM最新發(fā)布的《2022年數(shù)據(jù)泄露成本報(bào)告》，數(shù)據(jù)泄露的平均成本創(chuàng)下435萬(wàn)美元的歷史新高，比2021年增長(zhǎng)了2.6%，自2020年以來(lái)增長(zhǎng)了12.7%。今年的研究首次發(fā)現(xiàn)，83%受訪組織已經(jīng)不是第一次發(fā)生數(shù)據(jù)泄露事件；60%的受訪組織在事后提高了商品和服務(wù)價(jià)格，然后數(shù)據(jù)泄露造成的損失將轉(zhuǎn)嫁到消費(fèi)者身上。



《2022年數(shù)據(jù)泄露成本報(bào)告》基于2021年3月至2022年3月期間對(duì)全球550家組織所經(jīng)歷的真實(shí)數(shù)據(jù)泄露事件的深入分析和研究?！稊?shù)據(jù)泄露成本報(bào)告》是全球安全行業(yè)的領(lǐng)先基準(zhǔn)報(bào)告之一，它為IT、安全和商業(yè)領(lǐng)袖提供了一個(gè)視角，讓他們了解可能增加數(shù)據(jù)泄露相關(guān)成本的風(fēng)險(xiǎn)因素，以及哪些安全實(shí)踐和技術(shù)可以幫助他們減輕安全風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。

1、醫(yī)療健康行業(yè)的數(shù)據(jù)泄露成本突破千萬(wàn)美元，連續(xù)12年成為平均數(shù)據(jù)泄露成本最高的行業(yè)。

根據(jù)普華永道的數(shù)據(jù)，美國(guó)的醫(yī)療健康行業(yè)的數(shù)據(jù)泄露成本自2020年以來(lái)出現(xiàn)了6%至7%的增長(zhǎng)，該行業(yè)因數(shù)據(jù)泄露而上升的成本已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)同期因通脹給該行業(yè)帶來(lái)的成本飆升。醫(yī)療健康行業(yè)的數(shù)據(jù)泄露成本在過(guò)去兩年激增了42%，從2020年的713萬(wàn)美元增長(zhǎng)到2022年的1010萬(wàn)美元。醫(yī)療健康行業(yè)已經(jīng)連續(xù)12年成為數(shù)據(jù)泄露成本最高的行業(yè)。

“企業(yè)需要將他們的安全防御放在進(jìn)攻端，并擊敗攻擊者。是時(shí)候阻止對(duì)手實(shí)現(xiàn)其目標(biāo)并開(kāi)始盡量減少攻擊的影響了。越多的企業(yè)試圖完善他們的安全邊界而不是投資于檢測(cè)和響應(yīng)，越多的數(shù)據(jù)泄露事件會(huì)加劇生活成本的增加。”IBM Security X-Force全球負(fù)責(zé)人Charles Henderson說(shuō)：“這份報(bào)告表明，只有將正確的策略與正確的技術(shù)相結(jié)合，才能在企業(yè)受到攻擊時(shí)發(fā)揮重要作用。”

2、未部署零信任安全框架的企業(yè)數(shù)據(jù)泄露平均成本要高出100萬(wàn)美元

部署零信任架構(gòu)的企業(yè)占比從2021年的35%增加到2022年的41%。在2022年的報(bào)告中，其余59%沒(méi)有部署零信任的組織，比那些部署了零信任的組織的數(shù)據(jù)泄露平均成本高出了100萬(wàn)美元。而那些部署了成熟的零信任安全框架的企業(yè)，他們節(jié)省的成本甚至更大--與處于零信任計(jì)劃初始階段的企業(yè)相比，他們節(jié)省了約150萬(wàn)美元。
 

3、勒索軟件和破壞性攻擊造成的數(shù)據(jù)泄露成本更多

2022年，勒索軟件和破壞性攻擊造成的數(shù)據(jù)泄露成本比平均成本更高，而涉及勒索軟件的違規(guī)事件占比增長(zhǎng)了41%。此次是該報(bào)告首次研究勒索軟件和破壞性攻擊的成本。2022年，勒索軟件攻擊的平均成本--不包括贖金成本--略有下降，從462萬(wàn)美元降至454萬(wàn)美元，而破壞性攻擊的成本從469萬(wàn)美元增至512萬(wàn)美元，而全球平均成本為435萬(wàn)美元。勒索軟件造成的漏洞占比從2021年的7.8%增長(zhǎng)到2022年的11%，增長(zhǎng)率為41%。

組4、建事件應(yīng)急響應(yīng)團(tuán)隊(duì)和組織攻防演練的企業(yè)更能減輕數(shù)據(jù)泄露的成本。

組建事件響應(yīng)（IR）團(tuán)隊(duì)和廣泛測(cè)試IR計(jì)劃是減輕數(shù)據(jù)泄露成本的兩個(gè)最有效的方法。然而，在有IR計(jì)劃的研究企業(yè)中（73%），37%沒(méi)有定期測(cè)試他們的計(jì)劃。企業(yè)必須通過(guò)桌面演習(xí)或在模擬環(huán)境（如網(wǎng)絡(luò)靶場(chǎng)）中運(yùn)行漏洞場(chǎng)景來(lái)定期測(cè)試其IR計(jì)劃，這一點(diǎn)至關(guān)重要。

5、AI安全部署和自動(dòng)化技術(shù)的投資回報(bào)率更可觀

部署了安全AI和自動(dòng)化的組織的比例從2020年的59%增長(zhǎng)到2022年的70%，增長(zhǎng)率達(dá)18.6%。表示已經(jīng) "全面部署 "安全AI和自動(dòng)化技術(shù)的受訪組織（約占31%），其數(shù)據(jù)泄露平均成本要比未部署相關(guān)技術(shù)的企業(yè)低305萬(wàn)美元??沒(méi)有部署安全AI和自動(dòng)化的組織其數(shù)據(jù)泄露成本平均為620萬(wàn)美元，全面部署了這些技術(shù)的組織其數(shù)據(jù)泄露成本平均為315萬(wàn)美元。

安全AI和自動(dòng)化的投資回報(bào)率，還可以從另一個(gè)指標(biāo)--即時(shí)間指標(biāo)當(dāng)中體現(xiàn)出來(lái)。安全AI和自動(dòng)化降低了成本，而且還大大縮短了識(shí)別和控制數(shù)據(jù)泄露的時(shí)間（即泄露生命周期）。在全面部署這些技術(shù)后，數(shù)據(jù)泄露的平均生命周期比沒(méi)有部署安全AI和自動(dòng)化的平均周期要短74天。

6、關(guān)鍵性基礎(chǔ)設(shè)施組織數(shù)據(jù)泄露的平均成本482萬(wàn)美元

關(guān)鍵性基礎(chǔ)設(shè)施組織包括金融服務(wù)、工業(yè)、技術(shù)、能源、運(yùn)輸、通信、醫(yī)療健康、教育和公共部門(mén)等行業(yè)的單位。28%的關(guān)鍵性基礎(chǔ)設(shè)施組織經(jīng)歷了破壞性或勒索軟件的攻擊，而17%的組織因?yàn)樯虡I(yè)伙伴被破壞而經(jīng)歷了漏洞事件。關(guān)鍵性基礎(chǔ)設(shè)施組織的數(shù)據(jù)泄露的平均成本為482萬(wàn)美元，比其他行業(yè)組織的平均成本高100萬(wàn)美元。

7、云環(huán)境數(shù)據(jù)泄露占比45%，混合云環(huán)境中相對(duì)成本更低。

研究中45%的數(shù)據(jù)泄露事件發(fā)生在云中。采用混合云企業(yè)的數(shù)據(jù)泄露事件平均成本是380萬(wàn)美元，而私有云中的數(shù)據(jù)泄露成本是424萬(wàn)美元，公共云中的數(shù)據(jù)泄露成本高達(dá)502萬(wàn)美元。與單一采用公有云或私有云模式的企業(yè)相比，采用混合云模式的企業(yè)其數(shù)據(jù)泄露事件的周期也更短。與公有云采用者相比，混合云采用者識(shí)別和控制漏洞的時(shí)間要少48天。

8、XDR技術(shù)可幫助企業(yè)縮短近一個(gè)月的數(shù)據(jù)泄露時(shí)間。

那些采用XDR技術(shù)的44%的企業(yè)在響應(yīng)時(shí)間上有很大的優(yōu)勢(shì)。與沒(méi)有實(shí)施XDR的組織相比，部署了XDR的組織的數(shù)據(jù)泄露生命周期平均縮短了29天。

9、人員不足相比有足夠團(tuán)隊(duì)的企業(yè)在數(shù)據(jù)泄露成本高50多萬(wàn)美元。

研究中只有38%的企業(yè)表示他們配備有安全團(tuán)隊(duì)和足夠的人員，這種技能差距導(dǎo)致人員不足的組織的數(shù)據(jù)泄露成本比人員充足的安全團(tuán)隊(duì)高出55萬(wàn)美元。

10、 近2成的違規(guī)事件是由供應(yīng)鏈泄露引起，不僅成本更高，比平均生命周期高出26天。

近年來(lái)的一些重大攻擊是通過(guò)供應(yīng)鏈到達(dá)組織的，比如組織由于商業(yè)伙伴或供應(yīng)商的妥協(xié)而被攻破。2022年，19%的違規(guī)事件是供應(yīng)鏈攻擊，平均成本為446萬(wàn)美元，略高于全球平均水平。供應(yīng)鏈泄露事件的平均生命周期比全球平均生命周期長(zhǎng)26天。

11、支付勒索贖金企業(yè)的數(shù)據(jù)泄露總成本更高

根據(jù)2022年數(shù)據(jù)泄露成本報(bào)告，與選擇不支付贖金的企業(yè)相比，支付了勒索贖金要求的企業(yè)的平均泄露成本減少了61萬(wàn)美元（不包括支付的贖金金額）。然而，考慮到平均贖金支付金額（根據(jù)Sophos的數(shù)據(jù)，2021年達(dá)到81.2萬(wàn)美元），選擇支付贖金的企業(yè)的數(shù)據(jù)泄露總成本反而更高，而且還無(wú)意中為未來(lái)的勒索軟件攻擊提供資金，這些資金本可用于補(bǔ)救和恢復(fù)工作。

盡管全球努力阻止勒索軟件的持續(xù)存在，但網(wǎng)絡(luò)犯罪的工業(yè)化推動(dòng)了它的存在。IBM Security X-Force發(fā)現(xiàn)，受訪企業(yè)勒索軟件攻擊的持續(xù)時(shí)間在過(guò)去三年中下降了94%——從兩個(gè)多月銳減到不足4天。

以指數(shù)級(jí)速度縮短的勒索軟件攻擊生命周期可能會(huì)引發(fā)影響更大的攻擊，因?yàn)榫W(wǎng)絡(luò)安全事件響應(yīng)者只有非常短的機(jī)會(huì)窗口來(lái)檢測(cè)和遏制攻擊。隨著“贖金時(shí)間”減少到幾個(gè)小時(shí)，企業(yè)必須提前對(duì)事件響應(yīng)手冊(cè)進(jìn)行嚴(yán)格測(cè)試，這一點(diǎn)至關(guān)重要。但該報(bào)告指出，多達(dá)37%的已制訂事件響應(yīng)計(jì)劃的組織沒(méi)有定期對(duì)其進(jìn)行測(cè)試。

此外，更多要點(diǎn)如下

• 17個(gè)不同地域和17個(gè)行業(yè)的數(shù)據(jù)泄露平均成本，包括最高的國(guó)家（美國(guó)--944萬(wàn)美元）。
• 事件響應(yīng)團(tuán)隊(duì)和定期測(cè)試的事件響應(yīng)計(jì)劃對(duì)成本的影響（平均節(jié)省266萬(wàn)美元）。
• 導(dǎo)致漏洞的最常見(jiàn)攻擊載體的頻率和平均成本，包括被盜憑證（19%，450萬(wàn)美元）、網(wǎng)絡(luò)釣魚(yú)（16%，491萬(wàn)美元）和云端錯(cuò)誤配置（15%，414萬(wàn)美元）。
• 安全措施和技術(shù)的影響，包括風(fēng)險(xiǎn)量化技術(shù)、身份和訪問(wèn)管理、多因素認(rèn)證和危機(jī)管理團(tuán)隊(duì)。
• 安全漏洞的影響，包括安全系統(tǒng)的復(fù)雜性、云遷移中的攻擊、遠(yuǎn)程工作和合規(guī)失敗。
• 超過(guò)100萬(wàn)條記錄的巨型數(shù)據(jù)泄露事件成本（包括最大的高達(dá)6000萬(wàn)條記錄的數(shù)據(jù)泄露事件）接近4億美元。

報(bào)告所展示的結(jié)論揭示了近年來(lái)企業(yè)數(shù)據(jù)和網(wǎng)絡(luò)安全的重要趨勢(shì)，企業(yè)必須關(guān)注到越來(lái)越高的數(shù)據(jù)泄露成本和越來(lái)越短的攻擊生命周期，意識(shí)到自身網(wǎng)絡(luò)安全建設(shè)存在的問(wèn)題，確認(rèn)自身的安全防御能力是否到位。正如Charles Henderson所說(shuō)，正確的策略與正確的技術(shù)相結(jié)合，在企業(yè)受到攻擊時(shí)可以發(fā)揮重要作用。