IBM：数据泄露平均成本488万美元，增幅高达10%

近日，IBM发布了 《2024年数据泄露成本报告》（Cost of a Data Breach Report 2024）。报告显示，全球数据泄露事件的平均成本在今年达到 488万美元，而随着其破坏性越来越大，组织对网络安全团队的要求也进一步提高。与上一年相比，数据泄露带来的成本增加了 10%，是自 2020年来增幅最大的一年；70% 的受访企业表示，数据泄露造成了重大或非常重大的损失。

报告指出，数据泄露导致的业务损失以及事后的客户和第三方响应成本，推动了成本的同比增加，这显示其“附加伤害”已日益加剧：不仅导致企业成本上升，还扩大了副作用的影响面；即使在少数（12%）从数据泄露完全恢复的企业中，大多数企业的恢复时间都超过 100天。

《2024年数据泄露成本报告》对全球 604 家机构在 2023 年 3 月至 2024 年 2 月期间的真实数据泄露事件展开了深入分析。这项由 Ponemon Institute 开展、IBM 支持并执行分析的研究报告已连续发布 19 年，对6000多个组织的数据泄露事件进行了研究，已成为网络安全领域的重要行业指标。

此外，《2024年数据泄露成本报告》对以下新产生的问题进行了深入研究：

• 组织是否经历了长期运营中断，例如无法处理销售订单、生产设施完全关闭、客户服务无效；
• 泄露是否包括存储在未管理数据源中的数据，也称为影子数据；
• 组织在四个安全操作领域（预防、检测、调查和响应）中使用AI和自动化的程度；
• 勒索攻击的性质，例如勒索软件和赎金攻击或仅勒索和数据泄露；
• 恢复数据、系统或服务到泄露前状态所需的时间；
• 如果组织被要求这样做，他们报告泄露所需的时间；
• 涉及执法机构的组织在勒索软件攻击后是否支付了赎金。

 | 报告核心观点 |

1. 涉及影子数据的泄露比例达到35%，这表明数据的扩散使其更难跟踪和保护。影子数据盗窃与16%的数据泄露成本增加相关，研究人员发现，跨环境存储数据被证明是一种常见的存储策略，占数据泄露的40%。这些数据泄露也需要更长的时间来识别和遏制，相比之下，仅存储在一种环境中的数据泄露较少，无论该环境是公共云(25%)、本地(20%)还是私有云(15%)。
2. 企业的安全团队人员配备不足。与前一年相比，更多企业面临严重的安全专家短缺问题（增加了 26%）；与那些安全团队水平较低或不存在安全人员短缺问题的组织相比，这些组织的平均数据泄露成本要多出 176万美元。
3. 人工智能驱动的预防工作取得成效。三分之二的受访企业正在其安全运营中心（SOC）中部署安全人工智能（AI）和自动化技术。当企业在预防阶段广泛使用AI和自动化工具，其平均数据泄露成本与未使用这些技术的组织相比要少 220万美元，这也是 2024年报告中披露的最大成本节约。
4. 46%的入侵涉及客户个人识别信息(PII)，包括税务识别号码、电子邮件电话号码和家庭地址，知识产权(IP)记录紧随其后(43%)。与去年相比，IP记录的成本大幅上升，从去年的156美元/条上升到今年的173美元/条。涉及利用员工和员工访问权限的类似攻击也需要很长时间才能解决。例如，网络钓鱼攻击平均持续261天，而社交工程攻击平均持续257天。
5. 数据可见性问题亟待改善。40% 的数据泄露事件涉及混合环境中存储的数据，包括公有云、私有云和本地部署。这些数据泄露事件的平均成本超过 500万美元，识别事件并遏制发展所需的时间也最长（283天）。
6. 在所有行业中，工业部门是所有行业中成本增长最高的，平均每起数据泄露事件比去年增加 83万美元。这一成本飙升可能反映了工业组织需要为更快速的响应做好准备，因为该行业的组织对运营停机时长非常敏感。工业组织识别和遏制数据泄露的时间也超过了行业的中位数，识别时间为 199天，遏制时间为 73 天。
7. 与其他载体相比，恶意内部攻击造成的损失最高，平均为499 万美元。其他成本高昂的攻击载体包括商业电子邮件泄露、网络钓鱼、社会工程和被盗或被盗凭据。AI可能在创建其中一些网络钓鱼攻击中发挥了作用，例如AI使非英语使用者也能比以往更容易创建语法正确且看似可信的网络钓鱼信息。

IBM Security 战略与产品设计部副总裁 Kevin Skapinetz 表示：“很多企业陷入了数据泄露、遏制发展和应对后果的持续循环中。现在，企业一方面投资加强安全防御，另一方面将数据泄露的损失转嫁给消费者，从而使安全成为新的经营成本。随着生成式人工智能迅速渗透企业，攻击面不断扩大，这一循环很快就会难以为继，迫使企业重新评估安全措施和应对策略。要想保持竞争优势，企业应该投资于新的人工智能驱动的防御系统，并培养必要技能，应对生成式人工智能带来的新风险和新机遇。”

安全人员短缺导致数据泄露成本上升

2023年，一半以上的受访企业存在严重或高级别的安全人员短缺问题，导致数据泄露成本大幅增加：对于存在高级安全人员短缺问题的企业，数据泄露成本为 574万美元；而对于存在低级别人员短缺问题或不存在人员短缺问题的企业，数据泄露成本则为 398万美元。目前，企业正在争先恐后地采用生成式人工智能 (Gen AI) 技术，预计这将给安全团队带来新的风险。事实上，根据 IBM 商业价值研究院的一项调查显示，51% 的受访企业领导者担心生成式 AI 带来不可预测的风险和新的安全漏洞，47% 的受访者则担心会出现针对AI的新型攻击。

与去年（51%）相比，更多企业（63%）计划增加安全预算，而随着安全技能培训成为投资重点，预计安全人员短缺问题在短期内可得到缓解。受访企业还计划投资于事件响应规划和测试、威胁检测和响应技术（如 SIEM、SOAR 和 EDR）、身份和访问管理以及数据安全保护工具。

借助人工智能跑赢时间

67% 的受访企业已经部署了 AI 和自动化驱动的安全工具，这一比例较上一年增加了近 10%；20% 的企业已经使用了某种形式的生成式AI安全工具。平均而言，广泛采用安全 AI 和自动化技术的企业，发现和遏制数据泄露事件的时间比未使用这些技术的企业快 98天。同时，全球的平均数据泄露生命周期从上一年的 277天减少到 258天，创下 7年来的新低，这表明AI和自动化技术有助于加速威胁缓解和补救，为防御者争取更多时间。

数据泄露生命周期的缩短也得益于内部检测的增加：42% 的数据泄露事件是由企业自己的安全团队或工具检测到的，这一比例在上一年仅为 33%。与攻击者披露入侵活动相比，内部检测将数据泄露生命周期缩短了 61天，为企业节省了近 100万美元的成本。

数据安全漏洞助长知识产权盗窃

《2024年数据泄露成本报告》显示，40% 的数据泄露事件涉及在多个环境中存储的数据，超过三分之一的数据泄露事件涉及影子数据（即存储在非管理数据源中的数据），这凸显了跟踪和保护数据面临的严峻挑战。

这些数据可见性的差距导致针对知识产权（IP）的盗窃行为急剧上升 (27%)，其相关成本比上一年增加近 11%，达到每条记录 173美元。随着生成式 AI 逐渐渗透到混合环境中的数据和其他高度专有的数据，知识产权可能会变得更容易获取。而随着关键数据在各种环境中的使用日益增多，企业需要重新评估围绕这些数据的安全和访问控制措施。

 | 其他观点 |

凭证盗窃是最常见的初始攻击载体之一。凭证盗窃和破解占数据攻击行为的 16%，在常见的初始攻击载体中居于首位。识别和遏制此类攻击的时间也最长（将近 10个月）。

执法部门的介入有助于企业减少赎金。与其他被勒索软件攻击的企业相比，引入执法部门的企业平均节省近 100万美元的数据泄露成本，这还不包括他们已经支付的赎金。大多数求助于执法部门的勒索软件受害者（63%）可以避免支付赎金。

面向关键基础设施的企业承担了最高的数据泄露成本。医疗健康、金融服务、制造、科技和能源企业的数据泄露成本领先其他行业。其中，医疗健康企业已连续 14年承担了最高的数据泄露成本，平均数据泄露成本达到 977万美元。

数据泄露成本被转嫁到消费者身上。63% 的企业表示，今年因数据泄露事件而增加了商品或服务成本，这一比例比去年 (57%) 略有上升，这也意味着大多数受访企业已连续第三年采取该举措。

 | 修复措施 |

将安全构建到软件开发和部署的每个阶段

监管要求继续变得日益复杂，特别是随着技术与日常活动越来越紧密地联系在一起，软件的功能变得更加丰富和复杂。DevSecOps是降低成本的重要方法，将安全构建到组织所依赖的任何工具或平台中，以吸引其员工或客户至关重要。

所有类型的组织都应该确保他们正在开发的软件以及他们正在部署的商业软件中的安全处于重要位置。应用程序开发人员必须继续加速采用设计安全原则和默认安全原则，以确保安全是在数字化转型项目的初始设计阶段考虑的核心需求，而不是简单地在事后解决。同样的原则也被应用到云环境中，以支持云原生应用程序的开发，这些应用程序努力保护用户隐私并最大限度地减少攻击面。

从攻击者的角度进行应用程序测试或渗透测试也可以使组织有机会在漏洞变成泄露之前发现和修复漏洞。没有任何技术或应用程序是彻底安全的，添加更多的功能会带来新的风险。正在进行的应用程序测试可以帮助组织识别新的漏洞。

多云数据现代化防护

数据正在以前所未有的规模在多云环境中被创建、共享和访问。新的云应用程序和服务的快速采用加剧了“影子数据”的风险—敏感数据没有被跟踪或管理—增加了安全和合规风险。而不断变化的法规体系和对违规行为的严厉惩罚，加剧了这些数据泄露的成本和风险。

面对这些挑战，获得数据在混合云中的可见性和控制应该是所有类型组织的首要任务，并应包括关注强大的加密、数据安全和数据访问策略。企业应该寻求适用于所有平台的数据安全和合规性技术，使他们能够在跨数据库、跨混合云环境部署的应用程序和服务移动时保护数据。数据活动监控解决方案可以帮助确保适当的控制生效，同时主动执行这些策略，例如早期检测可疑活动和阻止对关键数据存储的实时威胁。

此外，数据安全态势管理等新技术可以帮助查找云中的未知和敏感数据，包括云服务提供商内的结构化和非结构化资产、软件即服务(SaaS)属性和数据湖。这有助于识别和减轻底层数据存储配置、授权和数据流中的漏洞。

随着组织继续向混合多云操作进一步发展，部署强大的身份和访问管理(IAM)策略至关重要，其中包括多因素身份验证(MFA)等技术，特别注重管理具有更高访问级别的特权用户帐户。

使用安全AI和自动化提高速度和效率

目前组织依旧未在其运营中广泛使用安全AI和自动化，这意味着许多组织有很大的机会提高其速度、准确性和效率。

安全团队可以从嵌入在他们的工具集中的安全AI和自动化中获益。例如，在威胁检测和响应工具中使用安全AI和自动化，可以帮助分析人员更准确地检测新威胁，并更有效地对安全警报进行上下文分析和分类。这些技术还可以自动化部分威胁调查过程，或建议采取行动以加快响应速度。此外，AI驱动的数据安全和身份解决方案可以通过识别高风险交易，以最小的用户阻力保护它们，并更有效地将可疑行为拼接在一起，从而帮助推动积极主动的安全态势。

在安全操作中应用AI时，要寻找能够提供可靠且成熟的用户案例的技术，这些用例已经证明了准确性、有效性和透明度，以消除潜在的偏见、盲点或漂移。组织应该为采用AI规划一个运营模型，以支持随着威胁和技术能力的发展而持续学习。

组织还可以从紧密集成核心安全技术的方法中受益，以实现更流畅的工作流程和跨公共数据池共享看法的能力。首席信息安全官(CISO)和安全运营(SecOps)负责人也可以使用威胁情报报告对新出现的威胁来帮助进行模式识别和威胁可见性。

通过了解攻击面和事件响应来强化弹性

了解与您的行业和组织最相关的攻击暴露情况，并相应地优先考虑您的安全策略。攻击面管理之类的工具或对手模拟之类的技术可以帮助组织获得攻击者的视角，以了解其独特的风险概况和漏洞，包括哪些漏洞容易被利用。

此外，拥有一个已经精通正确协议和工具的团队来响应事件已被证明可以显著降低识别和控制违规行为成本和时间。报告显示，事件响应规划和测试可有效降低泄露成本与没有或没有这些对策的组织相比，具有高水平这些对策的组织的数据泄露成本大幅下降，事件解决时间大大缩短。因此，组织需要组建一个专门的事件响应团队，起草事件响应剧本，并定期在桌面演习或模拟环境(如网络靶场)中测试事件响应计划。

参考来源：Freebuf，《Cost of a Data Breach Report 2024》