2022年數(shù)據(jù)泄露平均成本創(chuàng)下435萬美元的歷史新高

時(shí)間：2022-08-11 14:10:24

關(guān)鍵字： AI 軟件供應(yīng)鏈自動(dòng)化技術(shù)

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] （全球TMT2022年8月11日訊）根據(jù)最新發(fā)布的《2022年數(shù)據(jù)泄露成本報(bào)告》，數(shù)據(jù)泄露的平均成本創(chuàng)下435萬美元的歷史新高，比2021年增長了2.6%，自2020年以來增長了12.7%。今年的研究首次發(fā)現(xiàn)，83%受訪組織已經(jīng)不是第一次發(fā)生數(shù)據(jù)泄露事件；60%的受訪組織在事后...

（全球TMT2022年8月11日訊）根據(jù)最新發(fā)布的《2022年數(shù)據(jù)泄露成本報(bào)告》，數(shù)據(jù)泄露的平均成本創(chuàng)下435萬美元的歷史新高，比2021年增長了2.6%，自2020年以來增長了12.7%。今年的研究首次發(fā)現(xiàn)，83%受訪組織已經(jīng)不是第一次發(fā)生數(shù)據(jù)泄露事件；60%的受訪組織在事后提高了商品和服務(wù)價(jià)格，把數(shù)據(jù)泄露造成的損失轉(zhuǎn)嫁到消費(fèi)者身上。

這是對全球550家來自不同行業(yè)和地域的組織在2021年3月至2022年3月期間所經(jīng)歷的數(shù)據(jù)泄露進(jìn)行的研究?！稊?shù)據(jù)泄露成本報(bào)告》是由Ponemon研究所獨(dú)立開展研究、由IBM Security進(jìn)行分析的年度報(bào)告，今年已進(jìn)入第17個(gè)年頭，也是全球安全行業(yè)的領(lǐng)先基準(zhǔn)報(bào)告之一。它為IT、安全和商業(yè)領(lǐng)袖提供了一個(gè)視角，讓他們了解可能增加數(shù)據(jù)泄露相關(guān)成本的風(fēng)險(xiǎn)因素，以及哪些安全實(shí)踐和技術(shù)可以幫助他們減輕安全風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。

83%受訪組織已經(jīng)不是第一次發(fā)生數(shù)據(jù)泄露事件；60%的受訪組織在事后提高了商品和服務(wù)價(jià)格

2022年報(bào)告的重要洞察

自2020年以來，企業(yè)和組織對安全AI和自動(dòng)化技術(shù)的使用躍升了近五分之一。采用安全AI與自動(dòng)化技術(shù)可為企業(yè)節(jié)省數(shù)百萬美元，這是此次研究發(fā)現(xiàn)的最具成本效益的技術(shù)因素。

部署了安全AI和自動(dòng)化的組織的比例從2020年的59%增長到2022年的70%，增長率達(dá)18.6%。表示已經(jīng) "全面部署 "安全AI和自動(dòng)化技術(shù)的受訪組織（約占31%），其數(shù)據(jù)泄露平均成本要比未部署相關(guān)技術(shù)的企業(yè)低305萬美元——沒有部署安全AI和自動(dòng)化的組織其數(shù)據(jù)泄露成本平均為620萬美元，全面部署了這些技術(shù)的組織其數(shù)據(jù)泄露成本平均為315萬美元。

安全AI和自動(dòng)化的投資回報(bào)率，還可以從另一個(gè)指標(biāo)--即時(shí)間指標(biāo)當(dāng)中體現(xiàn)出來。安全AI和自動(dòng)化降低了成本，而且還大大縮短了識(shí)別和控制數(shù)據(jù)泄露的時(shí)間（即泄露生命周期）。在全面部署這些技術(shù)后，數(shù)據(jù)泄露的平均生命周期比沒有部署安全AI和自動(dòng)化的平均周期要短74天。

已經(jīng)全面部署專注于安全的AI和自動(dòng)化技術(shù)的受訪組織（約占31%），其數(shù)據(jù)泄露平均成本要比未部署相關(guān)技術(shù)的企業(yè)低305萬美元；在全面部署這些技術(shù)后，企業(yè)和組織的數(shù)據(jù)泄露平均生命周期比沒有部署的企業(yè)和組織的平均周期要短74天。

醫(yī)療健康行業(yè)的數(shù)據(jù)泄露成本突破千萬，飆升至1010萬美元，連續(xù)12年成為所有行業(yè)中平均數(shù)據(jù)泄露成本最高的。

根據(jù)普華永道的數(shù)據(jù)，美國的醫(yī)療健康行業(yè)的數(shù)據(jù)泄露成本自2020年以來出現(xiàn)了6%至7%的增長，該行業(yè)因數(shù)據(jù)泄露而上升的成本已經(jīng)遠(yuǎn)遠(yuǎn)超過同期因通脹給該行業(yè)帶來的成本飆升。醫(yī)療健康行業(yè)的數(shù)據(jù)泄露成本在過去兩年激增了42%，從2020年的713萬美元增長到2022年的1010萬美元。醫(yī)療健康行業(yè)已經(jīng)連續(xù)12年成為數(shù)據(jù)泄露成本最高的行業(yè)。

醫(yī)療健康行業(yè)的數(shù)據(jù)泄露成本突破千萬沒有，飆升至1010萬美元，連續(xù)12年成為所有行業(yè)中平均數(shù)據(jù)泄露成本最高的。

與2021年相比，2022年有更多的組織部署了零信任，節(jié)省成本約100萬美元。

這是該報(bào)告第二年研究零信任安全框架對數(shù)據(jù)泄露平均成本的影響。部署零信任架構(gòu)的企業(yè)占比從2021年的35%增加到2022年的41%。在2022年的報(bào)告中，其余59%沒有部署零信任的組織，比那些部署了零信任的組織的數(shù)據(jù)泄露平均成本高出了100萬美元。而那些部署了成熟的零信任安全框架的企業(yè)，他們節(jié)省的成本甚至更大--與處于零信任計(jì)劃初始階段的企業(yè)相比，他們節(jié)省了約150萬美元。

2022年，勒索軟件和破壞性攻擊造成的數(shù)據(jù)泄露成本比平均成本更高，而涉及勒索軟件的違規(guī)事件占比增長了41%。

此次是該報(bào)告首次研究勒索軟件和破壞性攻擊的成本。2022年，勒索軟件攻擊的平均成本--不包括贖金成本--略有下降，從462萬美元降至454萬美元，而破壞性攻擊的成本從469萬美元增至512萬美元，而全球平均成本為435萬美元。勒索軟件造成的漏洞占比從2021年的7.8%增長到2022年的11%，增長率為41%。

事件響應(yīng)團(tuán)隊(duì)和定期測試事件響應(yīng)計(jì)劃對成本的影響是平均節(jié)省266萬美元。

組建事件響應(yīng)（IR）團(tuán)隊(duì)和廣泛測試IR計(jì)劃是減輕數(shù)據(jù)泄露成本的兩個(gè)最有效的方法。然而，在有IR計(jì)劃的研究企業(yè)中（73%），37%沒有定期測試他們的計(jì)劃。企業(yè)必須通過桌面演習(xí)或在模擬環(huán)境（如網(wǎng)絡(luò)靶場）中運(yùn)行漏洞場景來定期測試其IR計(jì)劃，這一點(diǎn)至關(guān)重要。

2022年報(bào)告當(dāng)中有哪些新內(nèi)容？

2022年的研究報(bào)告在研究方面有了新的突破，一些新的發(fā)現(xiàn)顯示了漏洞的成本如何受到包括供應(yīng)鏈損害、關(guān)鍵性基礎(chǔ)設(shè)施和技能差距等因素的影響。該研究還探討了安全技術(shù)，包括XDR(Extended Detection and Response)擴(kuò)展檢測和響應(yīng)和云安全，如何影響數(shù)據(jù)泄露成本。

以下是其中的一些發(fā)現(xiàn)：

- 482萬美元是關(guān)鍵性基礎(chǔ)設(shè)施組織數(shù)據(jù)泄露的平均成本。

所研究的關(guān)鍵性基礎(chǔ)設(shè)施組織的數(shù)據(jù)泄露的平均成本為482萬美元，比其他行業(yè)組織的平均成本高100萬美元。關(guān)鍵性基礎(chǔ)設(shè)施組織包括金融服務(wù)、工業(yè)、技術(shù)、能源、運(yùn)輸、通信、醫(yī)療健康、教育和公共部門等行業(yè)的組織。28%的關(guān)鍵性基礎(chǔ)設(shè)施組織經(jīng)歷了破壞性或勒索軟件的攻擊，而17%的組織因?yàn)樯虡I(yè)伙伴被破壞而經(jīng)歷了漏洞事件。

- 45%的數(shù)據(jù)泄露事件發(fā)生在云中，但在混合云環(huán)境中，數(shù)據(jù)泄露成本較低。

研究中45%的數(shù)據(jù)泄露事件發(fā)生在云中。發(fā)生在混合云環(huán)境中的數(shù)據(jù)泄露事件的平均成本是380萬美元，而私有云中的數(shù)據(jù)泄露成本是424萬美元，公共云中的數(shù)據(jù)泄露成本高達(dá)502萬美元。與單一采用公有云或私有云模式的企業(yè)相比，采用混合云模式的企業(yè)其數(shù)據(jù)泄露事件的周期也更短。與公有云采用者相比，混合云采用者識(shí)別和控制漏洞的時(shí)間要少48天。

- XDR技術(shù)幫助減少了近一個(gè)月的漏洞生命周期。

那些采用XDR技術(shù)的44%的企業(yè)在響應(yīng)時(shí)間上有很大的優(yōu)勢。與沒有實(shí)施XDR的組織相比，部署了XDR的組織的數(shù)據(jù)泄露生命周期平均縮短了29天。XDR功能可以幫助大大降低平均數(shù)據(jù)泄露成本和泄露周期。例如，IBM Security QRadar XDR通過利用其跨工具的單一統(tǒng)一工作流程，使企業(yè)能夠更快地檢測和消除威脅。

- 技能短缺使企業(yè)在數(shù)據(jù)泄露成本高出50多萬美元。

研究中只有38%的企業(yè)表示他們的安全團(tuán)隊(duì)有足夠的人員配備。這種技能差距導(dǎo)致人員不足的組織的數(shù)據(jù)泄露成本比人員充足的安全團(tuán)隊(duì)高出55萬美元。

- 近五分之一的違規(guī)事件是由供應(yīng)鏈泄露引起的，其成本更高，并需要近一個(gè)月的時(shí)間來控制。

近年來的一些重大攻擊是通過供應(yīng)鏈到達(dá)組織的，比如組織由于商業(yè)伙伴或供應(yīng)商的妥協(xié)而被攻破。2022年，19%的違規(guī)事件是供應(yīng)鏈攻擊，平均成本為446萬美元，略高于全球平均水平。供應(yīng)鏈泄露事件的平均生命周期比全球平均生命周期長26天。

更多看點(diǎn)

《2022年數(shù)據(jù)泄露成本報(bào)告》包含大量信息，可幫助企業(yè)了解潛在的財(cái)務(wù)風(fēng)險(xiǎn)，并根據(jù)各種因素確定成本基準(zhǔn)。此外，該報(bào)告還包括基于IBM Security對研究的分析而提出的安全最佳實(shí)踐建議。

全球發(fā)現(xiàn)：17個(gè)不同地域和17個(gè)行業(yè)的數(shù)據(jù)泄露平均成本，包括最高的國家（美國--944萬美元）。
事件響應(yīng)團(tuán)隊(duì)和定期測試的事件響應(yīng)計(jì)劃對成本的影響（平均節(jié)省266萬美元）。
導(dǎo)致漏洞的最常見攻擊載體的頻率和平均成本，包括被盜憑證（19%，450萬美元）、網(wǎng)絡(luò)釣魚（16%，491萬美元）和云端錯(cuò)誤配置（15%，414萬美元）。
安全措施和技術(shù)的影響，包括風(fēng)險(xiǎn)量化技術(shù)、身份和訪問管理、多因素認(rèn)證和危機(jī)管理團(tuán)隊(duì)。
安全漏洞的影響，包括安全系統(tǒng)的復(fù)雜性、云遷移中的攻擊、遠(yuǎn)程工作和合規(guī)失敗。
超過100萬條記錄的巨型數(shù)據(jù)泄露事件成本（包括最大的高達(dá)6000萬條記錄的數(shù)據(jù)泄露事件）接近4億美元。