2021年7月28日,IBM Security公布了一项全球研究成果《2021年数据泄露成本报告》,指出每次数据泄露事件平均为公司带来424万美元的损失,为17年来之最。基于对500多个组织所经历的数据泄露事件展开深入分析,该研究认为,由于疫情影响,安全事件变得更加成本高昂且难以控制。疫情期间,企业被迫迅速调整其技术方法,许多公司鼓励或要求员工在家办公,60%的组织进一步转向基于云的活动。安全性可能落后于快速的IT变化,阻碍了组织响应数据泄露的能力。
摘译|贺佳瀛/赛博研究院研究员
来源|IBM Security
疫情期间,社会更为依赖数字交互,公司为适应全球的在线化,接受了远程工作和云,这可能加剧了数据泄露的成本。近20%的研究对象表示,远程工作是导致数据泄露的一个因素,这些泄露最终给公司造成了496万美元的损失。当远程工作不是导致数据泄露的因素时,平均总成本为389万美元,前者比后者高出近15%。
图:基于远程工作员工比例的平均泄露成本
超过60%的员工远程工作的组织,其数据泄露的平均成本高于总体平均成本。对于61-80%的员工远程工作的组织,平均成本为439万美元,比424万美元的总体平均成本高出15万美元。在81-100%的员工远程工作的组织中,数据泄露的平均成本为554万美元,比424万美元的总体平均成本高出130万美元。
研究对象中,在云迁移项目期间经历泄露事件的成本比平均水平高18.8%。然而,研究还发现,那些整体云现代化战略处于“成熟”阶段的企业,能够更有效地检测和响应事件——相较于处于早期阶段的企业平均快77天。此外,基于云的数据泄露研究表明,采用混合云的组织,其数据泄露成本(361万美元)低于主要采用公共云(480万美元)或主要采用私有云方法(455万美元)的组织。
报告揭示了一个日益严重的问题,即消费者数据(包括凭证)在数据安全事件中遭到泄露,然后可用于传播进一步的攻击。82%的受访者承认在多个帐户中重复使用密码,泄露的凭据既是数据泄露事件的主要原因,同时也是主要影响,导致企业面临复合风险。
图:泄露的数据类型
暴露的个人数据:近一半(44%)的泄露事件暴露了客户可识别个人数据,例如姓名、电子邮件、密码,甚至医疗保健数据——这是报告中最常见的泄露记录类型。这些因素的结合可能会导致螺旋效应,用户名/密码的泄露为攻击者提供了更多的手段。28%的违规事件中,匿名客户数据(如数据经过修改,删除个人可识别信息)遭到泄露,成为第二大常见的泄露记录类型。
图:每条泄露数据的平均成本
客户个人可识别信息的成本最高:与其他类型的数据相比,客户个人可识别信息(PII)的丢失成本最高(每条丢失或被盗的记录为180美元,而每条记录的总体平均值为161美元)。2020年,该成本为150美元,2021年同比增长20%。
最常见的攻击方法:泄露的用户凭证是攻击者最常见的切入点,在研究中占比20%。
更长时间的检测和遏制:因凭证泄露而导致的违规事件所需的检测时间最长——平均需要250天才能识别(而平均时间为212天)。
虽然某些IT转变增加了企业在疫情期间的数据泄露成本,但没有实施任何数字化转型项目、实现业务运营现代化的组织实际上具有更高的数据泄露成本。因COVID-19而未进行任何数字化转型的组织的违规成本比平均水平高75万美元(比平均水平高16.6%)。采用人工智能、安全分析和加密是降低泄露成本的前三大因素,相较而言可以为公司节省125万至149万美元。
图:零信任部署状态下的平均违泄露成本
研究表明,采用零信任安全方法的组织可以更好地处理数据泄露。这种方法假设用户身份或网络本身已经受到损害,依靠人工智能和分析持续验证用户、数据和资源之间的连接。拥有成熟零信任战略的组织的平均数据泄露成本为328万美元——比未部署该方法的组织低176万美元。零信任的成本取决于成熟度。对于那些没有部署零信任的组织而言,2021年违规的平均成本为504万美元。在部署的成熟阶段,一次违规的平均成本为328万美元。
图:按安全自动化部署级别划分的数据泄露平均成本
报告还发现,相较于前几年,更多公司正在部署安全自动化,从而节省了大量成本。大约65%接受调查的公司表示,在其安全环境中部分或完全部署了自动化,而两年前这一比例为52%。那些“完全部署”安全自动化策略的组织的平均泄露成本为290万美元——而没有自动化的组织成本达到671万美元,后者是前者的两倍多。
投资事件响应团队和计划也降低了研究对象的数据泄露成本。拥有事件响应团队并测试其事件响应计划的组织的平均泄露成本为325万美元,而未部署的组织的平均成本为571万美元(差异为54.9%)。
此外,2021年报告的其他发现包括:
响应时间:检测和遏制数据泄露的平均时间为287天(212天检测,75天遏制)——比上一年的报告长一周。
大型泄露事件:大型泄露的平均成本为4.01亿美元,泄露记录达到5000万到6500万条。这比报告中研究的大多数泄露(1000到10万条记录)高出近100倍。
按行业分类:疫情期间,部分行业(医疗保健、零售、酒店和消费制造/分销)面临巨大的运营变化,同时也经历了数据泄露成本的大幅增加。医疗保健领域的数据泄露成本最高(923万美元,比上一年增加了200万美元),其次是金融行业(572万美元)和制药行业(504万美元)。虽然整体成本较低,但零售、媒体、酒店和公共部门的成本较上年大幅增加。
按国家/地区划分:美国的数据泄露成本最高,每次事件为905万美元,其次是中东(693万美元)和加拿大(540万美元)
1、投资安全编排、自动化和响应(SOAR),改进检测和响应时间
在数据泄露成本研究中,人工智能和自动化能够显著减少识别和响应数据泄露的平均时间,并且其平均成本更低。SOAR和SIEM软件、托管检测和响应以及服务,可以通过自动化、流程标准化以及与现有安全工具的集成来帮助组织加速事件响应。人工智能、分析和自动编排等自动化技术可降低数据泄露平均成本。
2、采用零信任安全模型来防止对敏感数据的未授权访问
研究结果表明,只有35%的组织实施了零信任安全方法。处于零信任部署成熟阶段的组织,其平均违规成本比未部署零信任的组织少176万美元。随着组织转向远程工作,并且更为分离,混合多云环境、零信任策略可以帮助组织保护数据和资源,使其在有限的基础上和正确的环境中被访问。
3、对事件响应计划进行压力测试,提高网络韧性
研究中,已组建事件响应(IR)团队并测试其事件响应计划的组织,其平均的数据泄露总成本相较于没有IR团队或IR计划未经测试的组织少246万美元。“像战斗一样训练,像训练一样战斗”这句话意味着建立和测试事件响应手册,帮助优化快速有效地响应攻击的能力。
4、使用有助于保护和监控端点和远程员工的工具
研究中,超过60%员工进行远程工作的组织,其数据泄露成本高于平均水平。统一端点管理(UEM)和身份和访问管理(IAM)产品和服务可以帮助安全团队更深入地了解公司和自备(BYO)笔记本电脑、台式机、平板电脑、移动设备和物联网,包括终端中的可疑活动,加快调查和响应时间以控制影响。
5、投资于治理、风险管理和合规计划
面向审计、风险评估和公司治理合规性跟踪的内部框架治有助于提高组织检测数据泄露和加强遏制工作的能力。FAIR风险量化方法可以帮助确定安全事件的概率并计算相关的商业价值成本。量化潜在违规成本可以帮助企业进行资源分配相关决策。
6、采用开放式安全架构,最大限度地降低IT和安全环境的复杂性
研究中,IT和安全系统的复杂性以及广泛的云迁移是导致平均数据泄露成本更高的主要因素。能够在不同系统之间共享数据的安全工具可以帮助安全团队检测复杂的混合多云环境中的事件。托管安全服务提供商还可以通过持续监控和集成解决方案和服务来帮助简化安全风险。
7、通过策略和加密保护云环境中的敏感数据
随着云环境中托管数据的数量和价值不断增加,组织应采取措施保护云托管数据库。使用数据分类模式和保留程序来了解易受攻击的敏感信息并减少其数量,并使用数据加密和完全同态加密进行保护。使用漏洞扫描、渗透测试和红队演练来识别云托管数据库漏洞和错误配置。
*完整版报告:https://www.ibm.com/security/data-breac
