IBM發(fā)布《2022年數(shù)據(jù)泄露成本報告》:網(wǎng)絡(luò)攻擊成企業(yè)夢魘，消費者也要為此買單

新聞要點：60%遭遇數(shù)據(jù)泄露事件的企業(yè)事后提高了產(chǎn)品價格；近80%關(guān)鍵性基礎(chǔ)設(shè)施組織未采用零信任安全策略；安全人員配備不足的企業(yè)需額外支付55萬美元的數(shù)據(jù)泄露成本。

IBM Security日前發(fā)布了《2022年數(shù)據(jù)泄露成本報告》[1]（下文簡稱報告），報告揭示，數(shù)據(jù)泄露事件給企業(yè)和組織造成的經(jīng)濟(jì)損失和影響力度達(dá)到前所未有的水平，單個數(shù)據(jù)泄露事件給來自全球的受訪組織造成平均高達(dá)435萬美元的損失，創(chuàng)下該年度報告發(fā)布17年以來的最高紀(jì)錄。報告分析，全球數(shù)據(jù)泄露成本在過去兩年間上漲近13%，不僅如此，數(shù)據(jù)泄露事件可能是導(dǎo)致企業(yè)商品和服務(wù)成本上漲的因素之一。實際上，除了全球通貨膨脹和供應(yīng)鏈問題等因素導(dǎo)致的商品價格飆升之外，60%的受訪組織表示他們在遭遇數(shù)據(jù)泄露事件之后提高了自身產(chǎn)品或服務(wù)的價格。

[1]《2022年數(shù)據(jù)泄露成本報告》由Ponemon Institute操刀，由IBM贊助與分析。

IBM報告發(fā)現(xiàn)，83%的受訪組織遭遇過不止一次的數(shù)據(jù)泄露事件，而網(wǎng)絡(luò)攻擊不斷所導(dǎo)致的數(shù)據(jù)泄露事件更是成為企業(yè)“揮之不去的夢魘”。數(shù)據(jù)泄露事件給企業(yè)帶來的“后遺癥”也隨著時間推移不斷加劇，這些后遺癥往往會持續(xù)很長時間，近50%的數(shù)據(jù)泄露成本是在事后一年多才產(chǎn)生的。

這項由Ponemon研究院操刀、由IBM Security贊助的《2022年數(shù)據(jù)泄露成本報告》深入分析了全球550個組織在2021年3月至2022年3月期間所遭遇的真實數(shù)據(jù)泄露事件。

2022年報告的重要發(fā)現(xiàn)包括：

·關(guān)鍵性基礎(chǔ)設(shè)施在采用零信任安全策略（Zero Trust）方面還很滯后——近80%受訪的關(guān)鍵性基礎(chǔ)設(shè)施組織尚未采用零信任策略，其數(shù)據(jù)泄露的平均成本高達(dá)540萬美元，比已采用零信任策略的組織高出117萬美元。未采用零信任策略的組織所遭遇的數(shù)據(jù)泄露事件當(dāng)中，約28%是由勒索軟件或破壞性攻擊造成的。

·支付贖金的行為不可取——研究發(fā)現(xiàn)，發(fā)生數(shù)據(jù)泄露事件時，選擇向威脅方支付勒索軟件贖金的企業(yè)只比拒付贖金企業(yè)的平均成本少61萬美元，但這并未包括贖金本身，如果將高昂的贖金（Sophos數(shù)據(jù)顯示，2021年平均贖金高達(dá)81.2萬美元）納入成本考量，交付贖金的受害企業(yè)其經(jīng)濟(jì)損失可能會更大。由此可見，簡單地支付贖金并不可取。

·云中安全尚不成熟——報告顯示，約有43%的受訪組織尚未開始在其跨云環(huán)境中部署安全措施或者還處在早期部署階段，這些組織的數(shù)據(jù)泄露成本要比已經(jīng)在跨云環(huán)境中部署了成熟的安全措施的組織平均高出66萬美元。

·專注于安全的AI與自動化技術(shù)可以為企業(yè)節(jié)省數(shù)百萬美元——已全面部署專注于安全的AI和自動化技術(shù)的受訪組織，其數(shù)據(jù)泄露平均成本要比未部署相關(guān)技術(shù)的企業(yè)低305萬美元。此次研究發(fā)現(xiàn)，部署專注于安全的AI和自動化技術(shù)，是企業(yè)應(yīng)對數(shù)據(jù)泄露最具成本效益的因素。

IBM Security X-Force全球負(fù)責(zé)人Charles Henderson表示：

“面對攻擊，企業(yè)應(yīng)先發(fā)制人，采取主動出擊的安全保護(hù)策略，阻止攻擊者達(dá)成不法目的，并將攻擊造成的影響降到最低。越是試圖完善其周邊防御、而非加大檢測和風(fēng)險響應(yīng)投入的企業(yè)，就越有可能遭遇更多的數(shù)據(jù)泄露事件，導(dǎo)致成本飆升。從這份報告可以看出，當(dāng)企業(yè)遭遇攻擊時，采用正確的策略和技術(shù)可以帶來截然不同的結(jié)果。”

關(guān)鍵性基礎(chǔ)設(shè)施組織的“過度信任”

過去一年，全球各界對關(guān)鍵性基礎(chǔ)設(shè)施遭遇攻擊的擔(dān)憂與日俱增，多國政府的網(wǎng)絡(luò)安全機構(gòu)紛紛敦促關(guān)鍵性基礎(chǔ)設(shè)施組織加強警惕破壞性攻擊。報告顯示，在受訪的關(guān)鍵性基礎(chǔ)設(shè)施組織中，勒索軟件和破壞性攻擊在數(shù)據(jù)泄露事件中的占比為28%。威脅者正在通過攻擊這些關(guān)鍵性基礎(chǔ)設(shè)施組織來破壞與之相依存的全球供應(yīng)鏈，而這些關(guān)鍵性基礎(chǔ)設(shè)組織施涉及金融服務(wù)、工業(yè)、運輸和醫(yī)療衛(wèi)生等領(lǐng)域。

盡管各國政府一直在呼吁相關(guān)組織加強警惕，但在受訪的關(guān)鍵性基礎(chǔ)設(shè)施組織當(dāng)中，只有21%采用了零信任安全模式。不僅如此，在關(guān)鍵性基礎(chǔ)設(shè)施組織所遭遇的數(shù)據(jù)泄漏事件當(dāng)中，有17%是源自業(yè)務(wù)合作伙伴遭受到的攻擊，可見其“過度信任“的環(huán)境所帶來的安全風(fēng)險面之大。

支付贖金的企業(yè)并未占到“便宜”

報告顯示，選擇向威脅者支付勒索軟件贖金的企業(yè)，只比拒付贖金企業(yè)的平均泄露成本少61萬美元，但這并不包括已經(jīng)支付的贖金。如果計入平均贖金金額（Sophos數(shù)據(jù)顯示，2021年贖金額高達(dá)81.2萬美元），支付贖金帶來的經(jīng)濟(jì)損失可能會更大。而企業(yè)支付贖金的行為無意中還為未來的勒索軟件攻擊提供了資金，這些資金原本可以用于企業(yè)數(shù)據(jù)泄露的補救和恢復(fù)工作。

盡管全球各國在遏制勒索軟件攻擊方面做出了重大努力，但是網(wǎng)絡(luò)犯罪產(chǎn)業(yè)化仍在推動勒索軟件的發(fā)展。IBM Security X-Force發(fā)現(xiàn)，在過去三年中，受訪企業(yè)遭遇勒索軟件攻擊的持續(xù)時間從原來的兩個多月降至四天以內(nèi)，下降了94%。網(wǎng)絡(luò)攻擊生命周期的指數(shù)級縮短，可能帶來影響更為嚴(yán)重的攻擊，因為這使得網(wǎng)絡(luò)安全事件響應(yīng)人員進(jìn)行檢測和遏制攻擊的窗口期變得非常短。隨著“系統(tǒng)首次受攻擊到全面受攻擊的時間”驟減至幾個小時，組織必須把提前嚴(yán)格測試事件響應(yīng)（IR）手冊的工作提上首要日程。但從報告的調(diào)查結(jié)果來看，雖然高達(dá)37%的受訪組織已經(jīng)制定了IR計劃，但并未對其進(jìn)行定期測試。

混合云優(yōu)勢凸顯

在受訪組織中，混合云環(huán)境是企業(yè)最為普遍的基礎(chǔ)設(shè)施架構(gòu)，采用率達(dá)45%。采用混合云模式的企業(yè)數(shù)據(jù)泄露平均成本為380萬美元，低于單一采用公有云（502萬美元）或私有云（424萬美元）模式的企業(yè)。事實上，全球受訪組織從識別到遏制數(shù)據(jù)泄露的平均時間為277天，而采用混合云模式的受訪組織要比平均速度快15天。

報告強調(diào)，其調(diào)研的數(shù)據(jù)泄露事件當(dāng)中有45%是發(fā)生在云端，凸顯了云安全的重要性。然而，43%的受訪組織表示尚未開始在其跨云環(huán)境中部署安全措施或正處于早期部署階段，因此這些組織的數(shù)據(jù)泄露平均成本也更高[2]。與在所有領(lǐng)域持續(xù)部署安全措施的企業(yè)相比，尚未開始此項工作的企業(yè)平均需要多用108天才能識別并遏制數(shù)據(jù)泄露。

[2]其數(shù)據(jù)泄露平均成本為453萬美元，而在部署云安全實踐方面已步入成熟階段的受訪組織的平均成本為387萬美元。

IBM《2022年數(shù)據(jù)泄露成本報告》還有以下更多發(fā)現(xiàn)：

·網(wǎng)絡(luò)釣魚成為“最貴”的數(shù)據(jù)泄露誘因——憑證被盜仍然是導(dǎo)致數(shù)據(jù)泄露事件的最常見原因，占比19%；網(wǎng)絡(luò)釣魚位居第二，占比16%，然而卻是導(dǎo)致數(shù)據(jù)泄露最高成本的原因，給受訪組織造成平均高達(dá)491萬美元的泄露成本。

·醫(yī)療健康行業(yè)數(shù)據(jù)泄露成本呈兩位數(shù)增長，突破千萬量級，達(dá)到1010萬美元的歷史高位——醫(yī)療健康行業(yè)已經(jīng)連續(xù)12年成為數(shù)據(jù)泄露平均成本最高的行業(yè)，其數(shù)據(jù)泄露成本在今年增加了近100萬美元，達(dá)到歷史最高的1010萬美元。

·安全人員配備不足——62%的受訪組織表示，由于現(xiàn)有人手無法滿足組織的安全需求，他們的數(shù)據(jù)泄露平均成本比人員配備充足的組織高出了55萬美元。

參考資料：

1.如需下載《2022年數(shù)據(jù)泄露成本報告》的副本，請訪問：https://www.ibm.com/security/data-breach

2.歡迎聯(lián)系IBM Security X-Force團(tuán)隊獲取調(diào)查結(jié)果的個性化分析內(nèi)容：https://ibm.biz/book-a-consult.

關(guān)于IBM Security

IBM Security提供全球領(lǐng)先的集成式企業(yè)安全系列產(chǎn)品和服務(wù)。在享譽全球的IBM Security X-Force?研究團(tuán)隊的支持下，這些企業(yè)安全系列產(chǎn)品和服務(wù)旨在幫助企業(yè)高效管理風(fēng)險，從容應(yīng)對突發(fā)威脅。IBM旗下的IBM Security是集全球最廣泛的安全研究、開發(fā)和交付為一體的組織之一，每天為全球超過130個國家及地區(qū)的客戶監(jiān)測超過1500億起的安全事件，在全球范圍擁有超過10,000項安全專利。

關(guān)于IBM

IBM是全球領(lǐng)先的混合云、人工智能及企業(yè)服務(wù)提供商，幫助超過175個國家和地區(qū)的客戶，從其擁有的數(shù)據(jù)中獲取商業(yè)洞察，簡化業(yè)務(wù)流程，降低成本，并獲得行業(yè)競爭優(yōu)勢。金融服務(wù)、電信和醫(yī)療健康等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的超過4000家政府和企業(yè)實體依靠IBM混合云平臺和Red Hat OpenShift快速、高效、安全地實現(xiàn)數(shù)字化轉(zhuǎn)型。IBM在人工智能、量子計算、行業(yè)云解決方案和企業(yè)服務(wù)方面的突破性創(chuàng)新為我們的客戶提供了開放和靈活的選擇。對企業(yè)誠信、透明治理、社會責(zé)任、包容文化和服務(wù)精神的長期承諾是IBM業(yè)務(wù)發(fā)展的基石。