本文来自微信公众号“数世咨询”,作者/nana。
IBM发布其2023年《数据泄露成本》报告,揭示几个全球数据泄露趋势。当然,数据泄露代价高昂在现阶段已经不再是什么新闻了。有意思的是企业如何响应威胁和用哪些技术来降低与每个IT团队的噩梦场景相关的成本。
数据泄露成本再次上升,平均成本达到445万美元,过去三年中增长了15%。同期,与升级和检测相关的成本激增42%。有鉴于此,在应对数据泄露的财务负担越来越重的背景下,仅有51%的受访实体决定加强其安全投资的事实就很是令人惊讶了。
关于数据泄露成本的头条统计数据很有意思,但深入挖掘这些趋势真的有助于企业节省资金吗?企业想要知道自己的安全预算应该投向何方,购买哪些技术才最划算。万幸,报告中有很多数据可供挖掘,或许会有所帮助。虽不能担保各家企业的盈亏线,但数据泄露风险降低和潜在成本节约方面还是可以给出点意见的。
01
考虑行业特定风险
医疗保健行业连续十二年位列数据泄露事件影响最大的行业。医疗企业数据泄露事件平均损失1093万美元,几乎是列第二位的金融行业数据泄露成本的两倍之多(金融行业数据泄露平均成本590万美元)。能源行业和制造业遭遇数据泄露事件的影响也在增加。此外,值得注意的一点是,不仅仅是行业巨头受到影响,员工数量500人以下的中小企业,其2023年数据泄露平均成本也上升了(331万美元)——此前两年的平均成本分别是292万美元和295万美元。
网络犯罪分子并非随机选择攻击目标。他们知道哪些行业处理敏感数据,也清楚哪些行业的利润增长会创新高。他们还会考虑企业的规模及其网络防御的坚固程度。我们很有必要站在攻击者的角度看待自身,考虑他们想要得到什么,获得的难度有多大。
以医疗保健企业为例:能够信任保护着客户健康数据的那些系统吗?有没有强大且有效的访问安全措施来保障凭证不落入网络犯罪分子之手?渗透测试和红队测试可能会抛出一些有价值的信息,揭示你怀疑可能存在的漏洞,以及你压根儿没意识到的漏洞。
02
快速检测被盗凭证是关键
即便设置了有效的密码策略,为员工密码被盗(即便是强密码)做好准备也是很重要的。成本最高的四大事件类型中,网络钓鱼(占16%,平均成本476万美元)和被盗凭证(占15%,平均成本462万美元)依然是最常见的初始攻击途径,其他两种是恶意内部人员(占6%,但平均成本490万美元)和商务电邮入侵(占9%,平均成本467万美元)。
必须进行的安全意识培训可以帮助调整用户行为,使其更具网络意识,并且有助于挫败一些网络钓鱼攻击。强有力的多因素身份验证(MFA)也可以限制被盗凭证的影响(在只有密码被盗的情况下)。但最终用户不可能识别出每一次网络钓鱼攻击,MFA也远未到无懈可击的程度。所以,尽管安排了种种预防措施,又该如何判断员工凭证是否被盗呢?
举个例子,Specops Password Policy的Breached Password Protection(被盗密码防护)功能就可以持续扫描,查找被盗密码。如果在Specops保存了超30亿个(数量还在不断增加)被盗密码的数据库中发现了最终用户的密码,最终用户便会收到电子邮件或短信通知。
03
快速事件响应省下大笔资金
在数据泄露检测时间方面一直没有什么大的进展,平均检测时间仍然需要200多天。这也反映出入侵后在网络上横向移动的战术在很大程度上仍是攻击者的标准操作流程。发现问题后的修复过程也仍需要70多天,所以需要在灾备和应急计划领域投入更多精力。
这意味着我们仍需改进威胁检测,还需加强内部网络控制而不仅仅是边界控制。企业内部安全团队或工具仅检测出了三分之一(33%)的数据泄露。攻击者自己披露的数据泄露占27%,而有40%是被执法部门等第三方发现的。
越早检测出数据泄露显然越好。200天内发现数据泄露的公司平均损失393万美元,超过200天才发现问题的公司平均损失495万美元。还好,我们至少有工具可用。报告指出,威胁情报用户在发现数据泄露方面节省了大量时间,比不使用威胁情报的平均少花费4周时间。制定了良好事件响应计划的企业,数据泄露损害成本降低了61%,比全球平均成本少付出266万美元。
04
了解攻击面变得愈加重要
报告发现,82%的被泄露数据存储在云端,仅18%是本地存储。此外,39%的数据泄露横跨多个云环境(包括公有云和私有云),泄露成本高达475万美元,高于平均水平。错误配置的云环境和已知及未知(零日)漏洞在受访企业中也很普遍。
尽管云更灵活、可扩展,且更适合当今员工分散各地的工作模式,但也扩大了企业需要保护的攻击面。攻击者也在利用企业及其供应商之间的可见性缺失。源自供应链攻击的数据泄露占所有数据泄露的12%,此类攻击的检测时间(294天)也高于平均水平。
不过,也不尽然是坏消息,因为有网络安全工具提供支持。采用外部攻击面管理(External Attack Surface Management:EASM)的企业识别并控制数据泄露的时间减少了25%(采用EASM为254天,不用攻击面管理(ASM)是337天)。数据还显示,追求基于风险的漏洞管理而非仅CVE的企业,其数据泄露成本大幅降低(减少了18.3%)。
05
要点总结
IBM 2023《数据泄露成本》报告的结论:了解自身漏洞所处位置,准确掌握自身攻击面,制定有效事件响应计划,设置工具处理被盗凭证,就能降低遭受数据泄露的风险。即便真的发生了最坏情况,做到以上几点的企业也更容易恢复,对盈亏的影响不至于太大。
