IBM 2022数据泄露成本报告:全球平均成本达435万美元,创历史新高!

IBM Security 发布了2022年数据泄露成本报告,揭示了比以往任何时候成本更高、影响更大的数据泄露事件,研究组织的数据泄露事件的全球平均成本达到了435万美元的历史新高。

IBM Security 发布了2022年数据泄露成本报告,揭示了比以往任何时候成本更高、影响更大的数据泄露事件,研究组织的数据泄露事件的全球平均成本达到了435万美元的历史新高。

 

图片
报告称过去两年中,违规成本增加了近13%,调查结果表明,这些事件也可能导致商品和服务成本上升。事实上,由于通货膨胀和供应链问题,全球商品成本已经飙升,60%的研究组织因违规而提高了产品或服务价格。
网络攻击的持续性也揭示了数据泄露对企业造成的“难以忘怀的影响”,IBM报告发现83%的组织在其一生中经历过不止一次数据泄露。另一个随着时间推移而上升的因素是数据泄露对这些组织造成的“后遗症”,这种影响在事件发生后仍会持续很长时间,因为近50%的数据泄露成本是在数据泄露事件发生一年多之后产生的
2022年数据泄露成本报告基于对2021年3月至2022年3月期间全球550家组织所经历的真实数据泄露事件的深入分析。该研究由IBM Security赞助和分析,由Ponemon研究所进行。

 

▌主要发现

▶ 关键基础设施滞后于零信任

 

几乎80%的关键基础设施组织没有采用零信任策略,平均违规成本上升到540万美元,与采用的那些相比增加了117万美元。而这些组织中28%的违规行为是勒索软件或破坏性攻击,攻击者寻求破坏依赖这些组织的全球供应链,包括金融服务、工业、运输和医疗保健等。

 

▶ 赎金不值得

 

研究中选择支付赎金要求的勒索软件受害者与选择不支付赎金的受害者相比,平均违规成本仅减少了61万美元——这还不包括赎金成本。考虑到赎金支付的高成本,经济损失可能会更高,这表明简单地支付赎金可能不是一种有效的策略。

 

▶ 云安全不成熟

 

43%的研究组织处于早期阶段或尚未开始在其云环境中应用安全实践,与在其云环境中具有成熟安全性的研究组织相比,平均数据泄露成本超过66万美元。

 

▶ 安全AI和自动化节约数百万美元成本

 

与未部署该技术的研究组织相比,完全部署安全 AI 和自动化的组织平均减少了305万美元的违规成本——这是研究中观察到的最大的成本节省

 

▶ 网络钓鱼成为代价最高的泄露原因

 

虽然窃取凭证仍然是最常见的泄露原因 (19%),但网络钓鱼是第二大 (16%) 也是最昂贵的原因,导致响应组织的平均泄露成本为491万美元

 

▶ 安全团队人员不足

 

62%的研究组织表示,他们没有足够的人员来满足他们的安全需求,比声称人员充足的组织多出平均55万美元的泄露成本。

 

▶ 医疗保健泄露成本首次破千万

 

连续第12年打破行业违规行为成本纪录,医疗保健领域的平均数据泄露成本增加了近100万美元,达到创纪录的1010万美元。
图片
企业需要将他们的安全防御放在进攻端,并击败攻击者。是时候阻止对手实现其目标并开始尽量减少攻击的影响了。企业越是努力完善其周边环境,而不是投资于检测和响应,违规行为就越会加剧成本的增加。” IBM Security X-Force全球负责人Charles Henderson说。
网络犯罪的工业化推动了勒索软件的发展,IBM Security X-Force 发现,勒索软件攻击的持续时间在过去三年中下降了 94%——从两个多月到不到四天。
这些以指数方式缩短的攻击生命周期可能会引发影响更大的攻击,因为网络安全事件响应者只有非常短的机会窗口来检测和遏制攻击。随着“赎金时间”减少到几个小时,企业必须提前对事件响应手册进行严格测试,这一点至关重要。但该报告指出,多达37%的已制定事件响应计划的组织没有定期对其进行测试。
针对报告中强调的缺少定期响应能力测试、安全团队的不足等问题,塞讯验证能够有针对性地帮助企业解决和优化。塞讯安全度量验证平台为企业提供持续性自动化的安全防御能力验证,通过可视量化的数据展示赋能企业各级各岗位人员对于凭证窃取、网络钓鱼、隐蔽隧道、数据上传等成本高昂的泄露原因,塞讯安全实验室也能够真实模拟还原,来帮助企业验证是否能够有效抵御。
报告所展示的结论揭示了近年来企业数据和网络安全的重要趋势,企业必须关注到越来越高的数据泄露成本和越来越短的攻击生命周期,意识到自身网络安全建设存在的问题,确认自身的安全防御能力是否到位。正如Charles Henderson所说,正确的策略与正确的技术相结合,在企业受到攻击时可以发挥重要作用。