報(bào)告發(fā)現(xiàn),人工智能及自動(dòng)化讓數(shù)據(jù)泄露處理周期縮短了108天; 未尋求法律幫助的勒索軟件受害者平均遭受47萬(wàn) 美元的額外損失; 只有三分之一的企業(yè)能夠依靠自身檢測(cè)到漏洞。
北京2023年7月25日 /美通社/ -- IBM Security 于7月24日發(fā)布了其年度《數(shù)據(jù)泄露成本報(bào)告》(Cost of a Data Breach Report),報(bào)告顯示,2023年全球數(shù)據(jù)泄露的平均成本達(dá)到445萬(wàn)美元,創(chuàng)該報(bào)告有史以來(lái)以來(lái)最高記錄,也較過(guò)去3年均值增長(zhǎng)了15%。同一時(shí)期內(nèi),檢測(cè)安全漏洞和漏洞惡化帶來(lái)的安全成本上升了42%,占安全漏洞總成本的比值也來(lái)到史上最高,這也表明,企業(yè)應(yīng)對(duì)漏洞的調(diào)查和處理正在變得更加復(fù)雜。
該報(bào)告發(fā)現(xiàn),面對(duì)不斷增加的數(shù)據(jù)漏洞成本和發(fā)生頻次,各企業(yè)的應(yīng)對(duì)方式卻大相徑庭:雖然95%的受訪企業(yè)都經(jīng)歷過(guò)不止一次的數(shù)據(jù)泄露事件,但被泄露企業(yè)更有可能將安全事件的成本轉(zhuǎn)嫁給消費(fèi)者(57%的企業(yè)這樣做),而不是增加安全投資(僅有51%的企業(yè)有此意愿)。
2023年《數(shù)據(jù)泄露成本報(bào)告》是對(duì)全球553家企業(yè)組織自2022年3月至2023年3月期間經(jīng)歷的真實(shí)數(shù)據(jù)泄露事件的深入調(diào)研分析。該報(bào)告已連續(xù)發(fā)布18年,IBM Security是該報(bào)告的贊助方及分析方,而調(diào)研工作則由致力于隱私、數(shù)據(jù)保護(hù)和信息安全政策的專業(yè)研究機(jī)構(gòu)Ponemon Institute開展。 這份2023年最新報(bào)告中的主要發(fā)現(xiàn)包括:
IBM 全球安全服務(wù)部總經(jīng)理 Chris McCurdy 表示:"就網(wǎng)絡(luò)安全而言,無(wú)論對(duì)于防御者還是攻擊者來(lái)說(shuō),時(shí)間都意味著金錢。正如報(bào)告所示,早期檢測(cè)和快速響應(yīng)可以顯著降低安全漏洞的影響。相關(guān)安全團(tuán)隊(duì)必須重視對(duì)手的殺手锏并集中力量阻止對(duì)方攻擊。在攻擊者實(shí)現(xiàn)目標(biāo)之前,企業(yè)需要抓緊對(duì)威脅檢測(cè)和響應(yīng)方法等進(jìn)行投資,例如應(yīng)用人工智能和自動(dòng)化技術(shù)提高防御的速度和效率,這對(duì)于打破目前這種平衡狀態(tài)至關(guān)重要。"
每一秒都是代價(jià)
根據(jù) 2023年的報(bào)告,與未部署這些技術(shù)的組織相比,全面部署安全人工智能和自動(dòng)化的被研究組織數(shù)據(jù)泄露周期平均縮短了 108 天,并且相關(guān)安全事件的成本顯著降低。事實(shí)上,廣泛部署安全人工智能和自動(dòng)化的被研究組織與未部署這些技術(shù)的組織相比,數(shù)據(jù)泄露成本平均降低了近 180 萬(wàn)美元,這是報(bào)告中提到的最大的成本節(jié)約項(xiàng)。
與此同時(shí),現(xiàn)在攻擊者們完成勒索軟件攻擊的平均時(shí)間又降低了。好消息是,由于近 40% 的被研究組織尚未部署安全人工智能和自動(dòng)化,因此,它們?nèi)杂邢喈?dāng)大的機(jī)會(huì)通過(guò)這些技術(shù)手段來(lái)進(jìn)一步提高檢測(cè)和響應(yīng)速度。
別掉入勒索軟件的"沉默"陷阱
一些被研究組織在遭勒索軟件攻擊后仍不愿與執(zhí)法部門接觸,因?yàn)樗麄儞?dān)心這只會(huì)使情況變得復(fù)雜。今年,IBM 《數(shù)據(jù)泄露成本報(bào)告》首次深入研究了這個(gè)情況,并證明,結(jié)論與擔(dān)憂的恰恰相反。無(wú)執(zhí)法部門介入的情況下,被攻擊組織的數(shù)據(jù)泄露生命周期比有執(zhí)法組織介入的情況平均長(zhǎng) 33 天。而這種"沉默"意味著巨大的代價(jià)。研究表明,相比采取法律行動(dòng)的勒索軟件受害者,未采取法律行動(dòng)的受害者平均要承受高出 47 萬(wàn)美元的數(shù)據(jù)泄露成本。
盡管執(zhí)法部門不懈地尋求與勒索軟件受害者協(xié)作,但 37% 的受訪者仍然選擇避免讓其介入。此外,據(jù)報(bào)道,近一半 (47%) 的勒索軟件受害者向攻擊者支付了贖金。顯然,各組織應(yīng)該糾正這些關(guān)于勒索軟件的誤解,支付贖金并規(guī)避執(zhí)法部門介入很可能只會(huì)增加安全事件成本并延遲響應(yīng)速度。
自有安全團(tuán)隊(duì)不易發(fā)現(xiàn)漏洞
在威脅檢測(cè)和響應(yīng)方面,企業(yè)已經(jīng)取得了一定的進(jìn)展。根據(jù) IBM今年早些時(shí)候發(fā)布的《2023 IBM SecurityX-Force威脅情報(bào)指數(shù)》,去年被各企業(yè)自身安全團(tuán)隊(duì)阻止的勒索軟件攻擊占總數(shù)的比例已經(jīng)有所上升。然而,對(duì)手仍在不遺余力尋找防線的突破口。該報(bào)告發(fā)現(xiàn),只有三分之一被研究組織遭受的攻擊行為是由其自有安全團(tuán)隊(duì)或工具檢測(cè)到的,而 27% 是由攻擊者們披露的,另有40% 是由執(zhí)法部門等中立第三方披露的。
自主發(fā)現(xiàn)漏洞的組織所承受的漏洞損失,比由攻擊者披露所承受的損失低了近 100 萬(wàn)美元(前者430 萬(wàn)美元,而后者達(dá)523 萬(wàn)美元 )。與內(nèi)部發(fā)現(xiàn)的漏洞相比,攻擊者披露的漏洞的生命周期也延長(zhǎng)了近 80 天(分別為241 天與320 天)。早期檢測(cè)可以節(jié)省大量成本和時(shí)間,這表明,依據(jù)這些策略進(jìn)行投資從長(zhǎng)遠(yuǎn)來(lái)看可以獲得可觀的回報(bào)。
這份2023 年最新報(bào)告中的其它重要發(fā)現(xiàn)還包括:
醫(yī)衛(wèi)相關(guān)違規(guī)成本繼續(xù)飆升– 到 2023 年,醫(yī)療保健領(lǐng)域研究的數(shù)據(jù)泄露的平均成本將達(dá)到近 1100 萬(wàn)美元,自2020 年以來(lái)這一數(shù)據(jù)上漲了 53%。根據(jù)《2023 IBM SecurityX-Force威脅情報(bào)指數(shù)》,威脅行為實(shí)施者以醫(yī)療記錄為杠桿,給受攻擊組織帶來(lái)了更大的支付贖金的壓力。事實(shí)上,在所研究的所有行業(yè)中,客戶個(gè)人身份信息是最常被泄露的數(shù)據(jù)類型,也是成本最高的。
相關(guān)鏈接:
關(guān)于 IBM Security
IBM Security 通過(guò)集成的安全產(chǎn)品和服務(wù)組合,融合動(dòng)態(tài) AI 和自動(dòng)化能力,為全球大型企業(yè)和政府機(jī)構(gòu)保駕護(hù)航。這一產(chǎn)品組合輔以全球知名的 IBM Security X-Force 研究團(tuán)隊(duì)的支持,能讓相關(guān)組織準(zhǔn)確預(yù)知威脅、實(shí)時(shí)保護(hù)數(shù)據(jù),在不影響業(yè)務(wù)創(chuàng)新的前提下,快速精準(zhǔn)地做出安全響應(yīng)。IBM 分布于全球各地的安全專家,是數(shù)以千計(jì)的企業(yè)組織評(píng)估安全威脅、制定安全戰(zhàn)略、實(shí)施和管理安全轉(zhuǎn)型可信賴的合作伙伴。IBM 運(yùn)營(yíng)著全球范圍最廣泛的安全研究、開發(fā)和交付機(jī)構(gòu)之一,其每天在 130 多個(gè)國(guó)家和地區(qū)監(jiān)控 1500 多億起網(wǎng)絡(luò)安全事件,并在全球范圍內(nèi)獲得了 10000 多項(xiàng)安全專利。
External Communications
E-mail: kelvin.liu@ibm.com
Mobile: 86-15110254110