未采用“零信任”方法的組織數(shù)據(jù)泄露平均成本高達(dá)504萬美元

近日，已經(jīng)步入17個年頭的《2021年數(shù)據(jù)泄露成本報告》重磅發(fā)布，這份全球性報告已成為網(wǎng)絡(luò)安全行業(yè)中領(lǐng)先的基準(zhǔn)報告之一，綜合了來自17個國家和地區(qū)、17個行業(yè)的537個組織機(jī)構(gòu)的研究結(jié)果，以展示全球平均情況。由Ponemon Institute操刀、由IBM Security贊助和分析的年度數(shù)據(jù)泄露成本報告，揭示受訪組織出現(xiàn)了以下趨勢：

2020-2021年間數(shù)據(jù)泄露的

平均總成本增加了10%：

數(shù)據(jù)泄露成本從386萬美元上升到424萬美元，成為本報告有史以來最高的年度平均總成本。

遠(yuǎn)程辦公

造成的影響:

眾多組織在疫情期間迅速轉(zhuǎn)向遠(yuǎn)程辦公，導(dǎo)致數(shù)據(jù)泄露的成本增加。與未采用遠(yuǎn)程辦公的組織相比,采用遠(yuǎn)程辦公的組織的數(shù)據(jù)泄露成本平均高出100萬美元(分別為496萬美元和389萬美元)。

證書被盜

導(dǎo)致數(shù)據(jù)泄露：

研究顯示，用戶證書被盜是最常見的數(shù)據(jù)泄露根本原因。與此同時，客戶個人數(shù)據(jù)(如姓名、電子郵件、密碼)是數(shù)據(jù)泄露事件中最常見的被泄露的信息—44%的泄露事件涉及此類數(shù)據(jù)。這些因素的疊加會導(dǎo)致螺旋效應(yīng)，因為用戶名/密碼的泄露為攻擊者提供了未來發(fā)動更多數(shù)據(jù)盜竊的籌碼。

零信任方法有助于降低

數(shù)據(jù)泄露事件的平均成本：

未部署零信任方法的組織，其數(shù)據(jù)泄露的平均成本為504萬美元。然而，部署成熟的零信任方法的組織，其數(shù)據(jù)泄露的平均成本為328萬美元，比未部署零信任方法的組織少176萬美元，相差2.3%。

超大規(guī)模

數(shù)據(jù)泄露：

導(dǎo)致5,000萬至6,500萬條記錄泄露的超大規(guī)模數(shù)據(jù)泄露的平均成本為4.01億美元。這比報告中研究的大多數(shù)數(shù)據(jù)泄露事件（泄露數(shù)量在1,000-100,000條之間）的成本高出近100倍。

按行業(yè)分析：

醫(yī)療行業(yè)的數(shù)據(jù)泄露成本最高（923萬美元），其次是金融行業(yè)（572萬美元）和制藥行業(yè)（504萬美元）。雖然零售、媒體、酒店和公共部門的總體成本較低，但較去年也有大幅增加。

按國家/地區(qū)分析：

美國的數(shù)據(jù)泄露成本最高，每次事件的成本高達(dá)905萬美元，其次是中東（693萬美元）和加拿大（540萬美元）。

識別和遏制數(shù)據(jù)泄露事件

所需的時間越長，成本就越高：

花費超過200天的時間來識別和遏制數(shù)據(jù)泄露事件的平均成本為487萬美元，而花費不到200天來識別和遏制數(shù)據(jù)泄露事件的平均成本僅為361萬美元。總體而言，識別和遏制數(shù)據(jù)泄露事件平均需要287天，比上一份報告長7天。

遠(yuǎn)程辦公與上云對數(shù)據(jù)泄露的影響

隨著整個社會在疫情期間更加依賴數(shù)字交互，企業(yè)在不斷適應(yīng)網(wǎng)絡(luò)世界的過程中也逐漸接受了遠(yuǎn)程辦公和云環(huán)境。報告發(fā)現(xiàn)，這些因素對數(shù)據(jù)泄露響應(yīng)產(chǎn)生了重大影響。接受調(diào)查的組織之中有近20%表示，遠(yuǎn)程辦公是導(dǎo)致數(shù)據(jù)泄露的一個因素，而此類數(shù)據(jù)泄露則給公司造成高達(dá)496萬美元的損失(比平均水平高出近15%)。

在云遷移項目期間遭遇數(shù)據(jù)泄露事件的企業(yè)所承擔(dān)的成本比平均水平高出18.8%。然而，該研究還發(fā)現(xiàn)，那些在整體云現(xiàn)代化戰(zhàn)略中走得更遠(yuǎn)的企業(yè)(進(jìn)入“成熟”階段)能夠?qū)?shù)據(jù)泄露事件做出更有效的檢測和響應(yīng)，比處于“早期”階段的企業(yè)平均快77天。此外，在此次研究涉及的云數(shù)據(jù)泄露事件當(dāng)中，實施混合云方法的組織其數(shù)據(jù)泄露成本(361萬美元)低于主要采用公有云的組織(480萬美元)或主要采用私有云的組織(455萬美元)。

現(xiàn)代化企業(yè)的數(shù)據(jù)泄露成本較低

采用人工智能、安全分析和數(shù)據(jù)加密是降低數(shù)據(jù)泄露成本的三大緩解因素。與沒有廣泛采用這些工具的企業(yè)相比，使用這些工具的企業(yè)可節(jié)省125萬至149萬美元。

研究表明，采用零信任安全方法的企業(yè)能夠更好地應(yīng)對數(shù)據(jù)泄露事件。零信任方法是假設(shè)用戶身份或網(wǎng)絡(luò)本身可能已經(jīng)受到攻擊，在此前提下依靠人工智能和分析來持續(xù)驗證用戶、數(shù)據(jù)與資源之間的連接。擁有成熟的零信任策略的組織,其平均數(shù)據(jù)泄露成本為328萬美元，比未部署該方法的組織低176萬美元。

報告還顯示，與前幾年相比，更多企業(yè)正在部署安全自動化，從而節(jié)省了大量成本。大約65%的受訪企業(yè)表示，他們在企業(yè)安全環(huán)境中部分或全面部署了自動化，而兩年前這一比例僅為52%。那些已“全面部署”安全自動化策略的組織因每次數(shù)據(jù)泄露而承擔(dān)的平均成本為290萬美元，而那些未部署自動化的組織的平均成本要高出一倍多，達(dá)到671萬美元。