2023 年数据泄露成本关键要点

中科天齐软件安全中心
122 阅读7分钟

根据IBM发布的数据泄露成本报告显示:

  • 数据泄露的平均总成本在2023年达到了445万美元的历史新高,比去年的435万美元增长了2.3%。
  • 即使数据泄露成本上升,受访公司对是否增加安全投资仍存在49%至51%的分歧。确定的投资领域包括事件计划和响应、员工培训、威胁检测和响应技术。
  • 人工智能和自动化投资可以降低成本,缩短识别和控制数据泄露的时间。
  • 云环境是常见的攻击目标,攻击者经常可以访问多个环境,39%的攻击跨越多个实例,平均成本为475万美元。
  • 采用DevSecOps和事件响应(IR)计划和测试是节省成本的主要方式,DevSecOps平均为组织节省了168万美元,IR计划和测试节省了149万美元。
  • 安全复杂性低或无安全复杂性的数据泄露平均成本为384万美元,而安全系统复杂性较高的组织报告的平均成本为528万美元,增长了31.6%。

损失数据

2023年,数据泄露的平均成本再次从2022年的435万美元上升到445万美元。这一增幅为2.3%。今年,美国以948万美元的最高平均成本位居榜首,其次是中东地区,为807万美元。这些数字随后急剧下降,加拿大为513万美元,德国为467万美元,最后是日本,为452万美元。

1.png

按行业划分成本并没有太大变化,医疗保健行业每次违规造成的平均成本最高,为1093万美元,其次是金融、制药、能源和技术,排在前五名。值得注意的是,仅仅因为一个行业每次违规的平均成本很高,并不意味着它就是最受攻击的行业。IBM威胁情报报告称,制造业是2023年最常见的目标行业。下图显示了按部门划分的违规成本。

2.png

常见的攻击媒介仍旧是网络钓鱼是使用最广泛,占16%,其次是被盗或泄露的凭证,云配置错误,泄露的商业电子邮件和0day漏洞。

安全投资

全球数据泄露的成本一直在上升。考虑到这一点,许多人会认为组织会增加在安全投资上的支出。在发生数据泄露事件后,51%的公司表示会增加支出,49%的公司表示不会增加支出。对于那些增加支出的组织来说,最常见的投资类型是IR计划和测试(51%),其次是员工培训(46%)。

在组织内部,可以看到对安全AI和自动化的投资利用率开始提高,并且它们对成本的节省引起人们关注。在接受调查的组织中,只有28%的组织广泛使用安全人工智能和自动化工具,而33%的组织使用有限。这使得近40%的人在安全操作中仅依靠人工输入。下图描绘了人工智能的使用情况,以及其在数据泄露事件中提供的成本节约效益。

3.png

如上所示,广泛使用安全人工智能和自动化的组织与根本没有使用的组织相比有39.3%的差异。即使在有限的使用情况下,这仍然提供28.1%的差异。值得注意的是,未使用人工智能或自动化的组织的数据泄露平均成本比2023年的数据泄露平均成本高出18.6%。

云存储中的数据泄露

在数据泄露过程中有很多变数。攻击媒介是什么,采取了哪些失效的防护措施,数据存储在哪里?最常见的是,数据泄露涉及多个环境,包括云和内部部署。下面的图表显示了存储位置和相关成本。

4.png

在图4.1中,数据显示了数据泄露的最大比例,数据存储在多个环境中占39%,其次是公共云,占27%。从图4.2开始,与跨多种类型环境存储数据相关的违规成本达到475万美元,而与私有云数据存储相关的违规成本最低,为398万美元,成本差异为17.6%。

关键成本因素

今年最有效的成本缓解措施是DevSecOps、员工培训以及IR计划和测试。DevSecOps方法在降低成本方面影响显著。这可以归因于在软件开发生命周期的每个阶段自动化集成安全性。这使得开发团队能够更快地交付更好、更安全的代码,因此也更便宜。IR计划和测试是组织正在着手解决的另一个重要的安全部分。

5.png

图5.1显示了前3个降低成本因素之间的成本节约情况。DevSecOps采用者的平均成本为354万美元,与数据泄露的平均成本相比相差22.8%,而那些使用DevSecOps水平较低或没有使用DevSecOps的人的成本要高得多,为522万美元,比数据泄露的平均成本高出15.9%。

前三个增加成本的因素包括安全系统复杂性、安全技能短缺和不符合法规。从安全系统复杂性说起,大多数人认为复杂的安全系统是件好事,但事实并非总是如此。当安全系统变得过于复杂时,其相互依赖性会对上下游产生负面影响。

6.png

安全系统复杂程度高的组织遭受一次入侵的平均成本为528万美元。与数据泄露的平均成本相比,有17.1%的差异。据估计,安全技能短缺将导致增加18.6%的成本,而不遵守法规可能导致数据泄露的成本增加12.6%。

有助于降低数据泄露成本的建议

IBM Security概述了组织可以采取的以下措施,帮助减少数据泄露对财务和声誉的影响:

相信DevSecOps方法。将安全性构建到SDLC和部署的每个阶段,并进行定期安全测试,如静态测试、动态测试等。在使用商业软件、现成软件或自己开发软件时,安全性应该是每个组织的首要考虑因素。开发人员应该坚持采用“设计安全,默认安全”的思维方式。

确保混合云解决方案具有最新的数据保护。迅速采用新的云应用程序和服务可能会增加敏感数据没有得到适当保护的风险。在2023年的报告中,大多数(82%)遭受数据泄露的组织将数据存储在云环境中。面对这些挑战的组织应该寻求适用于所有平台的数据安全和合规性技术,能够保护跨各种环境移动的数据。

在组织的安全实践中采用人工智能和自动化,以提高速度和效率。人工智能和自动化越来越多地用于简化和加强安全。与没有使用这些工具的组织相比,结合了人工智能和自动化的组织节省了180万美元的成本,识别和控制漏洞的时间缩短了100多天。此策略与威胁检测和响应工具一起打包,可以帮助组织检测新威胁并准确定位安全警报。

了解攻击面,并实施和实践事件响应。了解组织所在行业最相关的攻击暴露在哪里,并确定这些需求的优先级。在2023年报告中,IR规划和测试已成为降低成本的前三大因素。与没有计划和演练IR的组织相比,计划和演练IR的组织的数据泄露成本降低了149万美元。

参读链接:

www.tripwire.com/state-of-se…

avatar
文章
阅读
粉丝