IBM近日发布了年度《数据泄露成本报告》,显示2023年全球数据泄露平均成本达到445万美元,创下该报告的历史新高,比过去3年增加了15%。
安全检测和升级成本在同一时间段内跃升了42%,在泄漏成本中占比最高,表明事件调查的复杂性也在上升。
报告称,企业在如何处理日益增加的数据泄漏成本和频率问题上存在分歧。研究发现,虽然95%的组织经历过不止一次数据泄漏你,但发生数据泄漏的企业更有可能将事件成本转嫁给消费者(57%),而不是增加安全投资(51%)。
根据IBM的2023年威胁情报指数,防御者去年阻止勒索软件攻击的比例更高。然而,对手仍在寻找突破防御漏洞的方法。该报告发现,只有三分之一的数据泄露事件是由组织自己的安全团队或工具检测到的,而其中27%的数据泄露是由攻击者披露的,40%是由执法部门等中立第三方披露的。
发现漏洞并进行事件响应的组织所遭受的损失比攻击者披露的损失低了近100万美元(523万美元vs.430万美元)。与内部发现漏洞的攻击者相比,攻击者披露的漏洞的生命周期也延长了近80天(320天与241天)。早期检测可以节省大量成本和时间,这表明对检测的投资从长远来看可以获得回报。
在研究的数据泄露事件中,40%导致跨多个环境(包括公共云、私有云和本地)的数据丢失,这表明攻击者能够在避免检测的同时危害多个环境。研究发现,影响多个环境的数据泄露也会导致更高的泄露成本(平均475万美元)。
2023年,医疗行业的数据泄露平均成本将达到近1100万美元,自2020年以来上涨了53%。根据2023年X-Force威胁情报报告,网络犯罪分子已开始让下游更容易获取被盗数据。威胁行为者以医疗记录为杠杆,加大了对受攻击组织支付赎金的压力。在所研究的所有行业中,客户个人身份信息是最常被泄露的记录类型,也是成本最高的。
对具有高水平DevSecOps的所有行业组织的研究发现,其数据泄露的全球平均成本比那些采用低水平或不使用DevSecOps方法的组织低近170万美元。与去年相比,所研究的关键基础设施组织的平均数据泄露成本上升了4.5%,从482万美元增加到504万美元,比全球平均水平高出59万美元。