IBM 2022 年的研究显示,数据安全漏洞的平均成本再创历史新高,达到 435 万美元,60% 的企业选择提高产品和服务的价格以缓冲所造成的损失。
数据安全漏洞的平均成本再创历史新高,每次事件达到 435 万美元,在过去两年中增长了 12.7%。即使产品和服务的成本在通货膨胀和供应链限制的情况下攀升,一些企业也在将责任推卸给客户。
根据 IBM 的 2022 年数据泄露成本报告,今年的数字比去年的 424 万美元增长了 2.6% ,该报告进一步显示,83% 的受访公司经历过不止一次数据泄露。该报告由 Ponemon Institute 进行,分析了 2021 年 3 月至 2022 年 3 月期间受数据泄露影响的 17 个全球市场的 550 家组织。
只有 17% 的人表示这是他们的第一次违规行为。此外,60% 的人表示,由于数据泄露造成的损失,他们提高了产品和服务的价格标签。他们还在事件发生后很长时间内继续记录损失,其中近一半的此类成本是在事件发生一年多后发生的。
美国组织的平均数据泄露成本最高,增长 4.3% 至 944 万美元,其次是中东地区,今年的平均成本为 746 万美元,高于 2021 年的 693 万美元。加拿大、英国、和德国位列前五,每次违规的平均损失分别为 564 万美元、505 万美元和 485 万美元。
在分析的 17 个市场中,包括日本、韩国和法国在内的 6 个市场各自的平均违规成本有所下降。
总体而言,公司平均需要 207 天来识别违规行为和 70 天来控制它,总体上低于去年的平均 212 天识别和 75 天控制违规行为。
大约 19% 的数据泄露是供应链攻击的结果,平均成本为 446 万美元,生命周期比全球平均 277 天长 26 天,后者衡量了识别和遏制数据泄露的总时间。供应链违规是由于商业伙伴是最初的妥协点。
人为错误(包括员工或外部承包商的疏忽行为)占事件的 21%,而 IT 故障(由公司 IT 系统中断或故障导致数据丢失的结果)是 24% 的数据泄露事件的原因。后者包括源代码错误或流程故障,例如自动通信错误。
约 11% 的违规行为是勒索软件攻击,高于去年的 7.8%,增长率为 41%,但此类攻击的平均成本从 2021 年的 462 万美元小幅下降至 454 万美元。
报告发现,来自被盗或泄露凭证的攻击仍然是数据泄露的最常见原因,占今年所有事件的 19%。因凭据被盗或受损而导致的违规事件平均每起事件造成 450 万美元的损失,并且最长的生命周期为 243 天来识别和 84 天来遏制违规行为。
网络钓鱼是数据泄露的第二大常见原因,占整体攻击的 16%,但成本最高,平均损失 491 万美元。
在行业中,医疗保健的平均违规成本达到创纪录的 1010 万美元,比 2021 年增加了近 100 万美元,并成为最昂贵行业的排名。事实上,该行业的违规成本自 2020 年以来已攀升 41.6%。
金融服务行业的平均违规成本为 597 万美元,位居第二,其次是制药、技术和能源,分别为 501 万美元、497 万美元和 472 万美元。
运行关键基础设施的组织的平均违规成本为 482 万美元,比其他行业组织的平均成本高出 100 万美元。关键基础设施公司来自金融服务、能源、运输、医疗保健和政府等行业。
在这些组织中,28% 的组织遭受了破坏性或勒索软件攻击,17% 的组织指出供应链合作伙伴受到威胁。
IBM 研究还研究了采用和未采用零信任、扩展检测和响应 (XDR) 以及人工智能 (AI) 等安全策略和技术的公司之间数据泄露影响的差异。
该报告指出,在没有零信任策略的关键基础设施组织中,近 80% 的平均违规成本高达 540 万美元,比采用零信任框架的组织高出 117 万美元。总体而言,41% 的组织表示他们部署了零信任安全框架,高于去年的 35%,其余 59% 的组织没有这样做。
此外,那些部署了安全 AI 和自动化工具的企业的违规成本比未实施任何此类工具的同行低 305 万美元。与采用安全 AI 和自动化技术的公司相比,他们还需要 74 天的时间来识别和遏制违规行为。
今年使用此类工具的组织数量达到 70%,高于 2020 年的 59%。
此外,与拥有成熟云安全环境的公司相比,43% 处于早期阶段或尚未在其云平台上部署安全实践的公司平均损失至少 660,000 美元。
研究中约 44% 的数据泄露发生在云中,发生在混合云环境中的数据泄露平均损失 380 万美元,相比之下,私有云的数据泄露为 424 万美元,公共云的数据泄露为 502 万美元。
与远程工作相关的违规事件每起事件造成的损失为 499 万美元,其平均成本也比不考虑远程工作的违规事件高出近 100 万美元。
大约 44% 的公司实施了 XDR 技术,与未部署此类工具的同行相比,他们发现漏洞的生命周期平均缩短了大约一个月,后者需要 304 天才能识别和遏制漏洞。
在遭受勒索软件攻击的组织中,与选择不支付的组织相比,那些支付了610,000 美元的违规成本(不包括赎金成本)。
此外,62% 的公司表示,他们没有足够的人员来支持其网络安全需求,其泄露成本平均比人员充足的公司高 550,000 美元。