本文来自微信公众号“安全学习那些事儿”。
2023年7月25日,IBM Security于7月24日发布的《2023年数据泄露报告》显示,2023年全球数据泄露的平均成本达到445万美元,创下历史新高。据悉,这一报告来源于2022年3月至2023年3月期间全球553个公司真实数据泄露事件的分析。
2023年全球数据泄露成本相较过去3年增长了15%,其中企业“检测漏洞”和“升级相关硬件”的成本跃升了42%,是数据泄露成本中最高的部分,IBM认为,“这表明数据泄露调查正在向更复杂的方向转变”。而企业在计划如何处理日益增加的数据泄露成本方面也存在分歧。研究发现,虽然95%的企业经历过不止一次的数据泄露事件,但这些企业中,有57%选择将事件成本转嫁给消费者,而非自身承担。
此外,IBM还认为积极部署人工智能,可以降低数据泄露的风险,据称,广泛使用人工智能的公司数据泄露生命周期缩短了108天,且平均节省176万美元。
IBM同时认为,实际上执法部门介入有益于企业快速处理数据泄露事件,数据表明没有执法部门介入的公司平均多经历了33天的漏洞生命周期。此外,选择让执法部门介入的公司平均节省了47万美元的违规成本。尽管如此,研究中仍有37%的勒索软件受害者,在被勒索软件攻击时,选择不让执法部门介入。
此外,在数据泄露案例中,只有33%公司的安全团队检测到了相关入侵,剩下40%的数据泄露实际上是执法部门等中立第三方披露后,公司自己才知道遭受了入侵,而还有27%是攻击者自己披露的。与自行发现数据泄露的研究公司相比,后来才知道数据遭到泄露的公司平均要多花100万美元成本,漏洞的生命周期也延长了近80天。
在被研究的数据泄露事件中,近40%的数据泄露会导致跨多个数据环境(包括公共云、私有云和本地云)的数据丢失,这表明攻击者能够在避免被检测到的同时危害多个环境。研究发现,涉多个环境的数据泄露也会导致更高的泄露成本(平均475万美元)。
关键基础设施泄露造成的损失超过500万美元–与去年相比,被研究的关键基础设施相关组织的平均数据泄露成本上升了4.5%,从482万美元增加到了504万美元,比全球数据泄露平均成本高出59万美元。
