根據 ForgeRock 的研究顯示,2022年美國資料洩露的平均成本預計為950萬美元,而2021年全球平均成本差不多是這個數字的一半。根據 IBM 和 Ponemon Institute 2021年的報告,全球平均資料洩露成本約為424萬美元,比2019年的386萬美元增長了10%,創下曆史新高。
随着勒索攻擊的數量激增,到2021年底全球網絡犯罪的成本達到6萬億美元/年的峰值。
Ponemon Institute 和 IBM Security 的報告将數百個成本因素納入研究統計,包括法律、監管及技術活動、品牌資産損失、客戶流失和員工流失。該研究範圍包含17個國家和17個行業的共計537起資料洩露事件,通過近3500次采訪收集資料。該報告的主要目的是鼓勵企業通過解決網絡安全風險和改善整體安全狀況來降低資料洩露的成本。
本文将會讨論2021年資料洩露成本報告中一些重要結果,并總結經驗,通過資料保護、資料安全及資料洩露預防政策來降低資料洩露的風險和成本。
2021年 IBM 資料洩露成本報告主要發現
IBM 和 Ponemon Institute 的資料洩露成本報告有 12 個主要發現:
1. 資料洩露成本較往年增加10%
機關:百萬美元
資料來源:2021 資料洩露成本報告(IBM & Ponemon)
2021 年平均資料洩露的成本為 424 萬美元,比 2020 年的調查結果增長 10%。這也創下了 IBM 和 Ponemon Institute 報告曆史資料洩露成本新高。
2. 遠端辦公成為資料洩露的原因之一
由于遠端辦公導緻資料洩露并造成平均107萬美元的損失。遠端辦公的員工需要花費更多時間和精力來避免資料洩露。據調研和通路結果顯示,提供遠端辦公的企業中,50%的企業需要至少58天的時間來識别和控制資料洩露。
3. 醫療行業資料洩露成本最高
醫療保健行業的資料洩露成本連續11年保持最高。平均成本從2020年的713萬美元增加到2021年的923萬美元,漲幅29.3%。
4. 業務流失造成的損失占資料洩露成本的38%
資料洩露成本占比最大的因素是業務流失損失。這包括客戶流失和獲得新業務的額外成本,以及在網絡攻擊期間系統不可用導緻的損失。
5. 客戶 PII 失竊是資料洩露中最常見且代價最大損失
在 IBM 和 Ponemon Institute 的研究中,44% 的洩露事件中包含了客戶個人身份資訊(Personal Identifiable Information, PII)。每條客戶 PII 記錄的平均成本為 180 美元。
6. 憑據洩露成為最常被利用的初始攻擊媒介
4種主要初始攻擊媒介分别造成的損失為:
- 商務電子郵件詐騙(Business Email Compromise, BEC) - 501萬美元
- 網絡釣魚 - 465 萬美元
- 内部人員惡意行為 - 461 萬美元
- 社交工程詐騙 - 447萬美元
7. 識别和遏制洩露的平均時長為287天
洩露被發現的時間越長,财務影響就越大。287 天遠高于降低資料洩露成本的絕對最大門檻值 200 天。在200天内發現并遏制的資料洩露事件的平均成本為361萬美元。但200多天才能識别的平均成本為487萬美元,相差 126 萬美元。
8. 涉及至少5000萬條記錄的資料洩露成本高出100倍
涉及至少5000萬條記錄的大型洩露事件的成本是一般資料洩露事件的100倍。涉及5000萬至6500萬條記錄的洩露在2021年的平均成本為4.01億美元,而 2020 年為3.92億美元。
9. 零信任政策将資料洩露的平均成本降低了176萬美元
實施零信任架構的公司平均資料洩露成本為328萬美元。相比之下,沒有實施零信任政策的企業處理資料洩露的成本為501萬美元,多出了176萬美元。
10. Security AI 和自動化控制将資料洩露成本降低了80%
Security AI 和自動化控制幫助企業更快地檢測和控制資料洩露,因為這些工具能夠有效減少處理資料洩露的時間。
11. 混合雲環境中的資料洩露成本比公有、私有和本地雲少119萬美元
混合雲環境資料洩露的平均成本為 361 萬美元,比其他形式的雲環境低23%。
12. 勒索軟體導緻企業産生平均462萬美元損失
勒索軟體造成的損失平均為462萬美元,高于資料洩露的平均成本424萬美元。
資料洩露的影響、原因及應對思路
根據研究,時間是影響資料洩露成本的最大因素。發現洩露的時間越長,網絡犯罪分子可以竊取的敏感資料就越多。當系統中斷和客戶流失導緻業務損失時,延遲修複的負面财務影響會進一步加劇。
資料洩露會影響組織多久?
資料洩露成本研究發現,平均而言,53%的資料洩露成本産生在第一年,31%則産生在第二年,16%産生在事件發生後兩年以上。
與監管不嚴的行業相比,高度監管行業的組織(如醫療保健組織和金融服務)資料洩露影響的時間更長遠,第二年和第三年的資料洩露成本上升。第一年産生了 47% 的成本,在第二年産生了 33%,在資料洩露2年後産生了20%。
平均資料洩露生命周期有多長?
資料洩露生命周期是指資料洩露發生到洩露被遏制的時間。2019年,發現洩露平均需要206天,控制洩露平均需要73天,也就是說資料洩露生命周期為279天。而在2021年,平均發現洩露時間為 212 天,平均遏制時間為75 天,資料洩露生命周期總計為287天。
在前文有強調過,資料洩露被檢測和控制的越迅速,對應的成本就越低。與生命周期超過200天的洩露事件相比,生命周期少于200天的平均損失成本為361萬美元,比生命周期超過200天的洩露事件成本少126萬美元。
最常見和代價最大的洩露原因是?
根據資料洩露成本報告研究顯示,最常見的初始攻擊媒介是憑據洩露,其次是網絡釣魚、雲配置錯誤和第三方軟體中的漏洞。
2021年最主要的5個資料洩露攻擊途徑及成本是:
- 商業電子郵件詐騙 - 501 萬美元
- 網絡釣魚 - 465 萬美元
- 内部人員惡意行為 - 461萬美元
- 社交詐騙 - 447萬美元
- 第三方軟體的漏洞 - 433萬美元
人為錯誤和系統故障造成的洩露成本是多少?
資料洩漏通常涉及使用者憑據,而這些無意的暴露通常是由人為錯誤引起的。人為錯誤是網絡釣魚攻擊和社交詐騙的主要促成因素,而人為錯誤導緻的資料洩露成本平均成本估算為463萬美元。
小型企業是否受到資料洩露的影響?
2021年,員勞工數在500到1000人之間的企業平均資料洩露成本最低,為263萬美元。員工數量在500人以内的平均資料洩露成本出乎意料的更高,為298萬美元。員工數量規模達10000-25000人的企業所産生的資料洩露成本最高,為552萬美元。
造成資料洩露成本成倍增加的因素
- 洩露超過5000萬條記錄 - 資料洩露成本增加100倍
- 缺乏應對 COVID-19 的數字化轉型 - 資料洩露成本比平均高出75萬美元
- 遠端辦公模式 – 資料洩露生命周期延長多達58天
- 缺乏安全自動化 – 未能有效減少80%的洩露成本
降低資料洩露成本的方式
資料加密、資料丢失防護、威脅情報共享和 DevSecOps 的廣泛實施和使用都與較低的平均資料洩露成本相關。
在這些因素中,資料加密産生了最大的積極影響。使用高标準加密方法(至少256次 AES 加密)的企業平均違規成本為 362 萬美元。而使用低标準加密方式或不使用加密方法的企業平均資料洩露成本為487萬美元。
![mysql5.7的sql優化[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)