根據(jù)IBM近日發(fā)布的《2023年數(shù)據(jù)泄露成本報(bào)告》，2023年數(shù)據(jù)泄漏平均成本高達(dá)445萬美元，創(chuàng)下歷史新高。醫(yī)療、金融、制藥、能源和工業(yè)五大行業(yè)的數(shù)據(jù)泄漏成本最高，其中醫(yī)療行業(yè)的平均成本(1093萬美元)顯著高于其他行業(yè)。

報(bào)告的四個(gè)主要發(fā)現(xiàn)如下：

發(fā)現(xiàn)一、數(shù)據(jù)泄露的平均成本在2023年達(dá)到歷史新高，但企業(yè)安全投資卻存在分歧。

自2017年以來，數(shù)據(jù)泄露的平均成本幾乎一直在穩(wěn)步上升。2017年，平均成本“僅”362萬美元。2023年達(dá)到445萬美元的歷史新高。過去三年，平均違規(guī)成本增加了15%。

平均數(shù)據(jù)泄漏成本最高的行業(yè)分別是：醫(yī)療(1093萬美元)、金融(590萬美元)、制藥(482萬美元)、能源(478萬美元)和工業(yè)(473萬美元)。

醫(yī)療行業(yè)攻擊平均成本幾乎是其他行業(yè)的兩倍，原因主要包括：醫(yī)療機(jī)構(gòu)的攻擊面巨大;醫(yī)療機(jī)構(gòu)更關(guān)注運(yùn)營結(jié)果而非安全性;以及醫(yī)療數(shù)據(jù)的價(jià)值較高，并且受到嚴(yán)格監(jiān)管，監(jiān)管/合規(guī)處罰可能會(huì)導(dǎo)致更高的攻擊成本。

從地理分布來看，數(shù)據(jù)泄漏平均成本最高的國家和地區(qū)分別是：美國(948萬美元)、中東(807萬美元)和加拿大(513萬美元)。在大多數(shù)情況下，威脅行為者會(huì)優(yōu)先針對富裕地區(qū)。

根據(jù)平均成本和頻次的綜合統(tǒng)計(jì)，造成數(shù)據(jù)泄漏損失/成本最高的三種攻擊方式如下：

• 網(wǎng)絡(luò)釣魚是最常見的攻擊方式，也是組織損失第二大的破壞行為(476萬美元)。
• 被盜或被泄露的憑證也很常見，而且造成的損失/成本相當(dāng)高(462萬美元)。
• 惡意內(nèi)部人員是不常見的攻擊媒介，但造成的損失/成本最高(490萬美元)。

對于發(fā)生數(shù)據(jù)泄露事件后是否增加安全投資的問題，51%的受訪者表示將增加安全支出(出現(xiàn)顯著分歧)，其中：

• 50%將投資于事件響應(yīng)規(guī)劃和測試
• 46%將投資于員工安全意識(shí)培訓(xùn)
• 38%將投資于威脅檢測和響應(yīng)技術(shù)
• 32%將投資身份與訪問管理(IAM)
• 31%投資托管安全服務(wù)(MSS)
• 25%投資數(shù)據(jù)安全工具
• 10%投資網(wǎng)絡(luò)安全保險(xiǎn)

發(fā)現(xiàn)二：使用DevSecOps方法、部署事件響應(yīng)團(tuán)隊(duì)并使用安全和人工智能自動(dòng)化可節(jié)省大量成本。

報(bào)告發(fā)現(xiàn)，人工智能和自動(dòng)化安全技術(shù)的使用對數(shù)據(jù)泄露的平均成本有直接影響。與根本不使用人工智能和自動(dòng)化的組織相比，廣泛投資和部署人工智能和自動(dòng)化的組織每次違規(guī)平均節(jié)省176萬美元，此外還縮短了108天的事件響應(yīng)時(shí)間。

與低水平或根本不使用DevSecOps方法或事件響應(yīng)規(guī)劃和測試的組織相比，使用高水平DevSecOps方法或事件響應(yīng)規(guī)劃和測試的組織節(jié)省了數(shù)百萬美元：

• 使用DevSecOps方法的組織節(jié)省168萬美元
• 擁有事件響應(yīng)團(tuán)隊(duì)和定期測試的組織節(jié)省149萬美元

發(fā)現(xiàn)三：當(dāng)泄露的數(shù)據(jù)存儲(chǔ)在多個(gè)環(huán)境中時(shí)，成本最高，并且需要更長時(shí)間才能控制泄露。

39%的泄露數(shù)據(jù)存儲(chǔ)在多種類型的環(huán)境中：公共云、私有云、混合云，甚至本地。此類數(shù)據(jù)的泄露成本也高出了75萬美元。

多環(huán)境數(shù)據(jù)泄漏事件遏制的時(shí)間也是最長的，達(dá)到了291天。這比總體平均時(shí)間長15天：

發(fā)現(xiàn)四：企業(yè)內(nèi)部安全團(tuán)隊(duì)檢測到攻擊行為可以大大縮短遏制時(shí)間，降低節(jié)省成本。

通過內(nèi)部安全團(tuán)隊(duì)檢測識(shí)別攻擊行為(241天)的組織能夠比通過第三方(273天)或者攻擊者披露(320天)更快地遏制攻擊行為。

組織內(nèi)部安全團(tuán)隊(duì)自己檢測到攻擊的平均泄漏成本也較低，為430萬美元，而第三方通知的平均成本為468萬美元，攻擊者披露的平均成本為523萬美元。所花費(fèi)的時(shí)間和組織花費(fèi)的金錢之間存在著非常緊密的相關(guān)性。

當(dāng)執(zhí)法機(jī)構(gòu)參與識(shí)別和緩解攻擊時(shí)，識(shí)別和遏制攻擊行為的平均成本和時(shí)間顯著減少。當(dāng)執(zhí)法機(jī)構(gòu)參與時(shí)，平均泄漏成本為464萬美元，不參與時(shí)，平均成本為511萬美元。此外，執(zhí)法機(jī)構(gòu)參與的攻擊平均遏制時(shí)間為276天，未參與是306天。

最后，報(bào)告給出了企業(yè)數(shù)據(jù)安全能力建設(shè)的四大建議：

一、將安全性融入到軟件和硬件開發(fā)的每個(gè)階段并定期進(jìn)行測試

• 采用DevSecOps方法
• 在初始設(shè)計(jì)階段采用設(shè)計(jì)安全和默認(rèn)安全原則
• 將相同的原則應(yīng)用于云環(huán)境
• 進(jìn)行應(yīng)用程序測試或滲透測試

二、跨混合云環(huán)境保護(hù)數(shù)據(jù)

• 獲得對混合云環(huán)境中數(shù)據(jù)的可見性和控制
• 保護(hù)在數(shù)據(jù)庫、應(yīng)用程序和服務(wù)之間移動(dòng)中的數(shù)據(jù)
• 部署數(shù)據(jù)活動(dòng)監(jiān)控解決方案

三、使用人工智能和自動(dòng)化技術(shù)來提高速度和準(zhǔn)確性

• 在整個(gè)安全工具集中嵌入人工智能和自動(dòng)化，以增強(qiáng)威脅檢測、響應(yīng)和調(diào)查。
• 使用成熟的AI技術(shù)
• 集成核心安全技術(shù)以實(shí)現(xiàn)無縫工作流程和共享見解，使用威脅情報(bào)報(bào)告進(jìn)行模式識(shí)別和威脅可見性。

四、通過了解攻擊面并練習(xí)事件響應(yīng)(IR)來增強(qiáng)彈性

• 了解您的行業(yè)和組織面臨的攻擊風(fēng)險(xiǎn)
• 使用ASM工具或?qū)κ帜M技術(shù)，從攻擊者的角度了解風(fēng)險(xiǎn)態(tài)勢和漏洞
• 建立一支精通IR協(xié)議和工具的團(tuán)隊(duì)
• 制定IR計(jì)劃，進(jìn)行定期測試，并考慮聘請IR供應(yīng)商以加快事件響應(yīng)速度