写在前面:本文包括两部分,第一部分是对IBM 数据泄露成本报告新内容的总结。第二部分是IBM 数据泄露成本报告原文,但也做了节选,删掉了一些介绍成本变化的报表及后部分对地区和行业的介绍、研究方法等。Verizon的数据泄露调查报告和IBM数据泄露成本报告,是数据安全领域最重要的两个报告。连续两篇供大家对比。IBM报告中有几个现象很有意思,发生数据泄露的组织,51%后续会提高产品售价,我们经常在报告中看到某个组织遭受勒索软件攻击,以为和自己无关,其实很多组织最后把成本分摊给消费者。82%的数据泄露发生在云端,既说明云端的安全还有很多需要加强的地方,也说明本地安全可做的工作日益减少。作者:John Zorabedian,2023年7月24日 数据泄露的成本持续增长, 最新研究显示,全球平均成本达到创纪录的445万美元,在三年内增长了15%。医疗健康行业的成本继续高居榜首,连续第13年成为成本最高的行业。然而,随着泄露成本持续攀升,研究指出了遏制数据泄露成本的新机会。 研究由波耐蒙研究所(Ponemon Institute)独立进行,IBM安全(IBM Security)分析并发布,构成了第18期年度数据泄露成本报告。本报告是安全行业领先的基准研究,旨在帮助IT、风险管理和安全领导者识别其安全态势中的差距,并发现哪些措施可以最成功地将代价高昂的数据泄露造成的财务和声誉损失降至最低。 2023年版的报告分析了553家组织的真实数据泄露事件,采访了数千人,分析了数百个成本因素,得出了报告中的结论。(报告中的数据泄露发生在2022年3月至2023年3月之间,因此本文中提到的年份是指研究的年份,而不一定是数据泄露的年份。) 以下是《2023年数据泄露成本报告》中的一些主要发现。- 安全AI和自动化、DevSecOps方法和事件响应计划引领了成本节约的道路。在安全AI和自动化的带领下,一些最有效的安全工具和流程帮助将平均泄露成本降低了数百万美元。与那些很少或没有使用安全AI和自动化的公司相比,广泛使用安全AI和自动化的公司平均节省了176万美元。与此同时,拥有积极主动的安全计划和流程的组织也获得了巨大的收益。使用高水平DevSecOps方法(一种在软件开发周期中集成安全性的方法)平均为组织节省了168万美元。充分使用事件响应计划和测试事件响应计划的组织也获益不菲,平均减少了149万美元的成本。
- AI和ASM(攻击面管理)加快了对泄露的识别和控制。检测和遏制事件方面,广泛使用安全AI和自动化的组织比没有使用安全AI和自动化的组织平均快108天。此外,使用ASM帮助组织从攻击者的角度寻找安全弱点的解决方案与没有ASM的解决方案相比,平均减少了83天的响应时间。
- 当数据存储在多个环境中时,成本很高,并且需要更长的时间来遏制漏洞。存储在云中的数据占所有数据泄露的82%,只有18%的泄露涉及本地数据存储。研究中39%的数据泄露涉及存储在多个环境中的数据,这比其他类型的泄露成本更高,更难以控制。花费292天,比全球平均水平长15天,才控制住跨越多个环境的漏洞。存储在多个环境中的数据也造成了约75万美元的平均泄露成本。
- 拥有内部团队识别泄露的组织在控制成本方面表现得更好。研究中只有33%的泄露是由组织的内部工具和团队发现的,而执法部门等中立第三方发现了40%的漏洞,其余27%的漏洞是由攻击者披露的,例如勒索软件攻击。然而,与攻击者披露的漏洞相比,那些在内部识别泄露的组织平均节省了100万美元。在安全方面的投资主要集中在事件响应规划和测试、员工培训以及威胁检测和响应工具方面。尽管只有51%的组织表示他们在数据泄露事件发生后增加了安全投资,但根据该研究,那些增加投资的组织将重点放在有效控制数据泄露成本的领域,以获得可观的投资回报率。其中50%的组织计划投资于事件响应计划和测试;46%组织投资员工培训;38%的组织投资SIEM等威胁检测和响应工具。
《数据泄露成本报告》中有很多高质量的研究,但最有价值的部分是IBM安全专家根据报告中的发现提出的安全建议。https://securityintelligence.com/posts/whats-new-2023-cost-of-a-data-breach-report/ 《数据泄露成本报告》为IT、风险管理和安全领导者提供了可量化的证据,帮助他们更好地管理安全投资、风险概况和战略决策制定流程。2023年版是该报告连续第18年发布。今年的研究由Ponemon Institute独立进行,由IBM Security®赞助、分析和发布,研究了在2022年3月至2023年3月期间受到数据泄露影响的553家组织。 本报告中提到的年份是指报告发布的年份,不一定是泄露的年份。所研究的数据泄露事件发生在16个国家和地区,涉及17个不同的行业。 整个本报告中,我们将研究数据泄露的根本原因以及短期和长期后果。我们还将探讨使公司能够减少损失的因素和技术,以及那些导致成本增加的因素和技术。 每年,我们将继续改进数据泄露成本报告,以适应新技术、新兴策略和新近发生的事件。今年的研究首次探讨了:-如何发现泄露:是组织自己的安全团队、第三方还是攻击者 随着泄露成本的持续增加,本报告提供了重要的见解,以帮助安全和IT团队更好地管理风险并限制潜在损失。该报告分为五个主要部分:-深入分析报告内容,包括按地理区域和行业划分的泄露成本 本文描述的主要发现基于IBM Security对Ponemon Institute编制的研究数据的分析。本报告中的成本金额以美元计算。 数据泄露的平均总成本在2023年达到了445万美元的历史新高。这比2022年的435万美元成本增加了2.3%。从长期来看,平均成本比2020年报告中的386万美元增加了15.3%。 虽然数据泄露成本持续上升,但报告参与者在是否因数据泄露而增加安全投资的问题上几乎平分。确定为进一步投资的主要领域包括事件响应计划和测试、员工培训以及威胁检测和响应技术。176万美元 安全AI和自动化对泄露行为的财务影响 安全AI和自动化被证明是降低成本和最大限度地减少发现和控制泄露时间的重要投资。广泛使用这些功能的组织平均缩短了108天的时间来发现和控制泄露。他们还报告说,与没有使用安全AI和自动化功能的组织相比,数据泄露成本降低了176万美元。 只有三分之一的公司通过自己的安全团队或工具发现了数据泄露,这凸显了对更好的威胁检测的需求。67%的泄露行为是由善意的第三方或攻击者自己报告的。当攻击者披露漏洞时,与内部检测相比,组织损失了近100万美元。47万美元 在勒索软件攻击中未引入执法部门的组织所遭受的额外成本 今年的研究表明,将执法部门排除在勒索软件事件之外会导致更高的成本。虽然63%的受访者表示他们引入执法部门,但37%的受访者也多支付了9.6%的费用,泄露生命周期多增加了33天。53.3% 自2020年以来,医疗健康数据泄露成本增加了53.3% 自2020年以来,高度监管的医疗健康行业的数据泄露成本大幅上升。连续第13年,医疗健康行业报告的数据泄露成本最高,平均成本为1093万美元。82% 存储在云中数据的泄露比例—公有云、私有云或多云 云环境是2023年网络攻击者的常见目标。攻击者通常可以访问多个环境,39%的泄露行为跨越多个环境,造成的损失高于平均水平,为475万美元。168万美元 采用高水平DevSecOps实现成本节约 2023年,软件开发过程(DevSecOps)中的集成安全测试显示出可观的投资回报率。与那些低采用率或没有采用率的组织相比,高采用率的组织节省了168万美元。与其他降低成本的因素相比,DevSecOps显示出最大的成本节约。149万美元 具有高水平事件响应计划和测试的组织实现成本节约 除了作为组织的优先投资之外,事件响应计划和测试已经成为控制数据泄露成本的一种非常有效的策略。具有高水平事件响应计划和测试的组织比低水平的节省了149万美元。144万美元 安全系统复杂性水平较高的组织的数据泄露成本增加 安全系统复杂性较低或没有安全系统复杂性的组织在2023年平均数据泄露成本为384万美元。安全系统复杂程度较高的企业报告的平均成本为528万美元,同比增长31.6%。102万美元 发现和解决漏洞所需时间超过200天与不到200天之间的平均成本差异 发现和遏制漏洞—称为漏洞生命周期—继续成为整体财务影响的组成部分。发现和遏制时间低于200天的泄露行为使组织损失了393万美元;超过200天的花费495万美元—相差23%。 本节,我们将详细介绍报告中的18个主题。按以下顺序: 数据泄露的结果,大多数组织会继续提高服务和产品的价格。大多数(57%)的受访者表示,数据泄露导致其所售产品定价上涨,将成本转嫁给消费者。这一发现与我们2022年的报告相似,当时60%的受访者表示他们提高了价格。 网络钓鱼和被盗或泄露凭证是两种最常见的初始攻击方式。网络钓鱼和被盗或泄露的凭证分别占泄露行为的16%和15%,网络钓鱼以微弱优势超过被盗凭证,这也是2022年报告中最常见的方式。云配置错误占11%,其次是9%的商业电子邮件泄露。今年,该报告首次将零日(未知)漏洞和已知的、未修补的漏洞作为数据泄露的来源进行了研究,发现超过5%的泄露事件源自尚未修复的已知漏洞。虽然相对罕见,仅占6%,但恶意内部人员发起的攻击造成的损失最高,平均为490万美元,比每次数据泄露的全球平均成本(445万美元)高出9.6%。网络钓鱼是最常见的攻击方式,也是第二昂贵的攻击方式,价值476万美元。系统错误导致的数据泄露成本最低,平均为396万美元,也是最不常见的,发生率为5%![]()
40%的漏洞是由善意的第三方或外部人员发现的,而33%的漏洞是由内部团队和工具发现的,27%的漏洞是攻击者作为勒索软件攻击的一部分披露的。 数据泄露生命周期定义为从最初发现泄露到遏制泄露之间的时间。“发现时间”描述的是以天为单位发现事件所需的时间。“遏制时间”指的是组织在检测到漏洞后解决情况并恢复服务所需的时间(以天为单位)。这两个指标有助于确定组织的事件响应和遏制流程的有效性。 组织内采用的安全技术和实践类型是影响数据泄露平均成本的众多因素之一。本节量化了27个成本因素,以帮助安全和风险决策者了解这些因素增加或降低成本的程度。这些因素并不是相加的,因此将多个成本因素加在一起来计算泄露的潜在成本与本研究方法不一致。今年,《数据泄露成本报告》考虑了几个新的因素,包括供应链泄露、ASM工具、数据安全和保护软件、端点检测和响应(EDR)工具、威胁情报、主动威胁狩猎、事件响应团队以及安全编排、自动化和响应(SOAR)工具。 对于高度缺乏安全技能的组织来说,一次泄露的平均成本为536万美元。 最有效降低成本的三个因素是采用DevSecOps方法、员工培训以及事件响应计划和测试。最大的成本增加是安全系统的复杂性、安全技能的短缺和不遵守法规。 今年,勒索软件和破坏性攻击分别占恶意攻击的24%和25%。与2022年的报告一样,我们研究了这类攻击的生命周期,以及支付赎金与不支付赎金的影响。这项研究在计算数据泄露的总成本时并未包括赎金成本。在2023年的报告中,我们首次研究了让执法部门参与遏制勒索软件攻击的影响。 每四次攻击中就有一次是破坏性攻击,导致系统无法运行,另外24%涉及勒索软件。业务伙伴和软件供应链攻击分别占攻击的15%和12%。 37%的勒索软件受害者选择不让执法部门来帮助遏制勒索软件的泄露,但那些选择让执法部门来帮助遏制勒索软件泄露的受害者,总体而言,遭受的勒索软件泄露成本较低。当执法部门不参与时,勒索软件泄露的平均成本为511万美元,当执法部门参与时,平均成本为464万美元,相差9.6%,即47万美元。 在执法部门的参与下,识别和控制勒索软件漏洞的总时间为273天,比306天缩短了11.4%,即缩短了33天。在执法部门的参与下,控制勒索软件漏洞的平均时间为63天,比没有执法部门参与的80天缩短了23.8%。很明显,执法部门的参与可以帮助减少勒索软件入侵的成本和持续时间。 在遭受勒索软件攻击的组织中,那些拥有专门为勒索软件攻击设计的自动响应手册或工作流程的组织能够在68天内遏制它们,与没有自动响应手册或工作流程的组织的平均80天相比,减少了16%的时间。支付赎金只节省了最少的成本。在勒索软件攻击期间支付赎金的组织在总成本上只有很小的差异,分别为506万美元和517万美元,成本差异为11万美元或2.2%。然而,这个计算不包括赎金本身的成本。考虑到大多数勒索软件的高成本,支付赎金的组织最终可能比那些没有支付赎金的组织花费更多。在2022年的报告中,总成本节省为63万美元,总成本差异为13.1%,同样不包括赎金本身的成本。数据显示,支付赎金整体上变得越来越不利,从2022年到2023年的报告中,节省的费用减少了82.5%。 业务合作伙伴供应链泄露是源于对业务合作伙伴攻击导致的数据泄露。在今年的研究中,15%的组织将供应链泄露确定为数据泄露的来源。 今年,研究还首次调查了源自软件供应链攻击的攻击,在这种攻击中,攻击者渗透到软件供应商的网络中,并在供应商将软件发送给客户之前部署恶意代码来破坏软件。然后,受感染的软件会攻击客户的数据或系统。在今年的研究中,12%的组织将软件供应链攻击确定为数据泄露的来源。 研究考察了数据监管的程度如何影响数据泄露的成本。在数据监管水平较高的环境中,58%的成本在第一年之后继续增加。在低监管环境中,64%与泄露相关的成本更有可能在一年内得到解决。 数据泄露的成本往往会随着时间的推移而变化。随着数据泄露的识别和遏制以及受损数据的恢复或修复,每个泄露阶段可能会产生不同的成本。 低监管环境下的组织在第一年承担了近三分之二的数据泄露成本,而高监管环境下的组织在第一年承担的数据泄露成本不到一半。在低监管环境中,数据泄露成本在6-9个月的时间内达到了总成本的21%。在高监管环境下,数据泄露成本在两年之后达到峰值,占总成本的21%。在低监管环境中,大部分数据泄露成本在早期飙升,并随着时间的推移逐渐减少。在监管严格的环境下,泄露行为被发现两年后,成本波动并继续上升。 数据泄露的成本和持续时间取决于数据存储的位置。本研究的数据泄露包括跨越多个环境的数据(包括云和内部环境),这种类型的数据泄露也会导致更高的成本和更长的时间来识别和遏制数据泄露。 涉及存储在云环境(公共云、私有云或跨多个环境)中的数据泄露的份额82%。 39%的数据泄露涉及存储在多个环境中的数据,其次是27%的数据泄露涉及存储在公共云中的数据。私有云部署占16%,内部部署环境中发生的数据泄露占18%。 超过100万条记录泄露为大型数据泄露事件,这很少见。但由于它们的超大范围,产生了强大的影响。 今年的研究包括20个组织,这些组织因数据泄露而遭受了100万到6000万条记录的丢失或被盗。该研究采用了一种独特的方法来检查这些大型泄露。它们与该研究的其他553起数据泄露事件是分开考虑的,每起事件都包括不超过101,200份丢失或泄露的记录。 本节探讨组织在经历数据泄露后在安全方面所采用的投资策略。我们将探讨组织在数据泄露后增加支出的频率,以及他们如何选择分配资金。泄露之后,51%的组织增加安全投资。 在数据泄露后增加支出的51%的企业中,最常见的投资是事件响应计划和测试(占50%),其次是员工培训(占46%)。威胁检测和响应技术排在第三位,占38%,是本部分考虑的最重要的技术或工具投资。值得注意的是,这三项投资与今年关键成本因素部分探讨的与降低数据泄露成本相关的主要因素密切相关。安全保险是数据泄露后最不常见的投资,18%占比。 广泛使用安全AI和自动化的组织比没有使用的组织快108天发现和遏制数据泄露。 随着安全行业的安全AI和自动化用例不断发展,本报告研究了这些技术对数据泄露成本和时间线的影响。例子包括使用AI、机器学习、自动化和编排来增强或取代检测和调查威胁以及响应和遏制过程中的人为干预。与之相反的是由人工驱动的流程,通常涉及数十种工具和复杂的非集成系统,它们之间不共享数据。 虽然这是调查AI和自动化对网络安全影响的第六年,但今年我们将引入新的标准,考虑AI在整个组织安全过程中的渗透程度,而不是其部署水平(前几年分为从未部署到部分部署或完全部署)。 “广泛使用”是指在整个操作中集成安全AI和自动化,包括几种不同的工具集和功能。 “有限使用”是指在安全操作中仅将AI应用于一两个用例。 只有28%的组织在其网络安全流程中广泛使用安全AI和自动化工具,而33%的组织使用有限。这使得近40%的人在安全操作中完全依赖人工输入。 相比之下,广泛使用安全AI和自动化的组织节省的成本最高,数据泄露的平均成本为360万美元,与未使用相比减少了176万美元,差异为39.3%。即使是有限使用安全AI和自动化的组织,其数据泄露的平均成本也为404万美元,与没有使用相比,减少了132万美元或28.1%的差异。然而,没有使用安全AI和自动化的组织经历了536万美元的数据泄露平均成本。这比2023年数据泄露的平均成本(445万美元)高出18.6%。 事件响应战略和战术在减少数据泄露的影响方面发挥了重要作用。减少数据泄露持续时间的最有效的事件响应战略是将事件响应团队的组建与测试事件响应计划相结合。然而,有些组织只采取这两种战略中的一种。作为一个独立的工作,事件响应计划测试在减少发现和控制漏洞的总时间方面比组建一个事件响应团队更有效。 拥有事件响应团队和事件响应计划测试的组织比没有的组织发现漏洞的时间快54天。 今年报告的新内容是威胁情报服务对发现漏洞的平均时间的影响。威胁情报服务为安全主管提供有关网络威胁和漏洞的信息和见解,帮助他们改善组织的安全状况。 今年的新研究调查了组织如何考虑风险和漏洞的优先级,以及这如何影响数据泄露的成本。与仅依赖行业标准通用漏洞和暴露(CVE)和通用漏洞评分系统(CVSS)的组织相比,采用更主动和基于风险的漏洞管理(如漏洞测试、渗透测试或红队)的组织所经历的数据泄露成本低于平均水平。通常,主动的风险管理工作涉及组织的IT安全团队采用潜在攻击者的视角,以确定哪些漏洞是可利用的,并可能造成最大的伤害。 部署了健壮的基于风险的分析的组织的数据泄露成本398万美元。 超过三分之一的组织(36%)仅依靠CVE评分来确定漏洞的优先级,而大多数组织(64%)使用更复杂的基于风险的分析。 攻击面管理是一组有助于发现、分析、修复和监控组织潜在攻击面或漏洞的流程。与没有部署攻击面管理解决方案的组织相比,部署了攻击面管理解决方案的组织识别和遏控制数据泄露为其75%。 我们的研究首次探讨了与托管安全服务提供商合作对发现和控制漏洞的时间的影响。托管安全服务提供商为组织提供外包安全监控和管理的能力,通常使用高可用性安全操作中心提供全天候服务。托管安全服务提供商可以帮助组织增强其安全态势,而无需增加人员数量或投资于内部资源培训。 在本节中,IBM Security概述了组织可以采取的步骤,以帮助降低数据泄露对财务和声誉的影响。我们的建议包括成功的安全方法,这些方法可以降低成本,缩短发现和遏制漏洞的时间。1. 将安全构建到软件开发和部署的每个阶段,并定期进行测试 监管要求继续变得日益复杂,特别是随着技术与日常活动越来越紧密地联系在一起,软件的功能变得更加丰富和复杂。在对2023年报告中27个因素的特别分析中,DevSecOps是降低成本的首选方法,将安全构建到组织所依赖的任何工具或平台中,以吸引其员工或客户至关重要。 所有类型的组织都应该确保他们正在开发的软件以及他们正在部署的商业软件中的安全处于重要位置。应用程序开发人员必须继续加速采用设计安全原则和默认安全原则,以确保安全是在数字化转型项目的初始设计阶段考虑的核心需求,而不是简单地在事后解决。同样的原则也被应用到云环境中,以支持云原生应用程序的开发,这些应用程序努力保护用户隐私并最大限度地减少攻击面。 从攻击者的角度进行应用程序测试或渗透测试也可以使组织有机会在漏洞变成泄露之前发现和修复漏洞。没有任何技术或应用程序是彻底安全的,添加更多的功能会带来新的风险。正在进行的应用程序测试可以帮助组织识别新的漏洞。 数据正在以前所未有的规模在多云环境中被创建、共享和访问。新的云应用程序和服务的快速采用加剧了“影子数据”的风险—敏感数据没有被跟踪或管理—增加了安全和合规风险。本报告中大多数(82%)的数据泄露涉及存储在云环境中的数据,39%的泄露包括跨越多种类型环境的数据。不断变化的法规体系和对违规行为的严厉惩罚,加剧了这些数据泄露的成本和风险。 面对这些挑战,获得数据在混合云中的可见性和控制应该是所有类型组织的首要任务,并应包括关注强大的加密、数据安全和数据访问策略。企业应该寻求适用于所有平台的数据安全和合规性技术,使他们能够在跨数据库、跨混合云环境部署的应用程序和服务移动时保护数据。数据活动监控解决方案可以帮助确保适当的控制生效,同时主动执行这些策略,例如早期检测可疑活动和阻止对关键数据存储的实时威胁。此外,数据安全态势管理等新技术可以帮助查找云中的未知和敏感数据,包括云服务提供商内的结构化和非结构化资产、软件即服务(SaaS)属性和数据湖。这有助于识别和减轻底层数据存储配置、授权和数据流中的漏洞。 随着组织继续向混合多云操作进一步发展,部署强大的身份和访问管理(IAM)策略至关重要,其中包括多因素身份验证(MFA)等技术,特别注重管理具有更高访问级别的特权用户帐户。 在2023年的报告中,只有28%的组织在其运营中广泛使用安全AI和自动化,这意味着许多组织有很大的机会提高其速度、准确性和效率。与不使用安全AI和自动化相比,广泛使用安全AI和自动化节省了近180万美元的数据泄露成本,并将识别和控制泄露的时间缩短了100多天。 安全团队可以从嵌入在他们的工具集中的安全AI和自动化中获益。例如,在威胁检测和响应工具中使用安全AI和自动化,可以帮助分析人员更准确地检测新威胁,并更有效地对安全警报进行上下文分析和分类。这些技术还可以自动化部分威胁调查过程,或建议采取行动以加快响应速度。此外,AI驱动的数据安全和身份解决方案可以通过识别高风险交易,以最小的用户阻力保护它们,并更有效地将可疑行为拼接在一起,从而帮助推动积极主动的安全态势。 在安全操作中应用AI时,要寻找能够提供可靠且成熟的用户案例的技术,这些用例已经证明了准确性、有效性和透明度,以消除潜在的偏见、盲点或漂移。组织应该为采用AI规划一个运营模型,以支持随着威胁和技术能力的发展而持续学习。 组织还可以从紧密集成核心安全技术的方法中受益,以实现更流畅的工作流程和跨公共数据池共享看法的能力。首席信息安全官(CISO)和安全运营(SecOps)负责人也可以使用威胁情报报告对新出现的威胁来帮助进行模式识别和威胁可见性。 了解与您的行业和组织最相关的攻击暴露情况,并相应地优先考虑您的安全策略。攻击面管理之类的工具或对手模拟之类的技术可以帮助组织获得攻击者的视角,以了解其独特的风险概况和漏洞,包括哪些漏洞容易被利用。 此外,拥有一个已经精通正确协议和工具的团队来响应事件已被证明可以显着降低识别和控制违规行为成本和时间。在2023年的报告中,不仅事件响应规划和测试是降低成本的前三名,而且数据还显示,与没有或没有这些对策的组织相比,具有高水平这些对策的组织的数据泄露成本降低了149万美元,并且他们解决事件的时间缩短了54天。组建一个专门的事件响应团队,起草事件响应剧本,并定期在桌面演习或模拟环境(如网络靶场)中测试事件响应计划。聘请事件响应供应商也有助于加快对泄露行为的响应时间。 最后,组织应该考虑实施网络分段实践,以限制攻击的传播及其可能造成的损害程度,增强整体弹性并减少恢复工作。
文章来源: https://mp.weixin.qq.com/s?__biz=Mzg3NjU4MDI4NQ==&mid=2247485681&idx=1&sn=4783046f3e12c07a38163730988d0ccf&chksm=cf315423f846dd351fed05fef258c53a096f07edd21813680bf8f00b1064ba70413c000f2651&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh