在充满变化和不确定的世界里,有些事情总是年复一年地进行着。这已经是第15份数据泄露成本报告了,由Ponemon研究所进行研究,IBM Security机构发布。通过提供安全事件可能对组织造成的财务影响的详细视图、历史数据揭示了数据泄露的原因和未来趋势。
今年的研究分析了2019年8月至2020年4月之间524个数据泄露事件,涉及17个地区和17个行业的各种规模的组织机构。2020年数据泄露成本报告似乎和以前一样,没有很大的起伏,包括全球数据泄露总成本,2020年平均为386万美元,比2019年研究下降约1.5%,但基本与往年持平。2020年研究中发现并修复数据泄露的平均时间为280天,几乎与2019年的平均279天相同。
然而,2020年也是不平凡的一年。许多组织因为新冠疫情已转向远程工作模式。根据《 2020年数据泄露成本报告》中的调查结果,组织转移到远程工作的受访者中有76%希望在家工作可能会增加数据泄露发现和修复的时间。此外,70%的受访者预计远程工作可能会增加数据泄露的成本。
这项报告真正的价值不仅仅是提供一个成本数据,更多的是了解影响成本的因素,这对于企业来说,是更有参考价值的,企业可以根据这些做出调整。
每年Ponemon 研究所都要求参与组织估算数百种影响数据泄露的成本,这些因素从业务损失到检测和响应活动,再到通知活动等等。为了适应不断变化的业务需求、新技术和新威胁,今年这份报告探讨了以前尚未涉及的因素,包括各种类型的威胁、组织因素和安全措施。
今年,该研究增加了对漏洞测试和红队测试的成本影响的分析,该分析使用对抗性方法进行渗透测试。与平均总成本386万美元相比,进行红队测试的组织表示其平均成本降低了约24.3万美元,而进行漏洞测试的组织表示,其平均成本比全球平均水平低约17.3万美元。
这项研究首次探讨了远程工作的成本影响和安全技能短缺这两项影响因素,这两个因素会增加成本。远程工作的组织涉及的成本比全球平均数386万美元高出近13.7万美元,而由于安全技能短缺,成本平均增加了25.7万美元。
报告的五项关键发现
这是2020年数据泄露成本报告中的五个重要发现,包括一些新的研究领域。
1.安全自动化和事件响应准备可有效降低成本
人们发现通过使用自动化程序尽快发现数据泄露行为,并培养好事件响应(IR)团队来修复数据泄露事件,可以大大降低数据泄露的财务损失。
在2020年的研究中,部署安全自动化技术(例如人工智能、机器学习、分析和自动化业务流程)的组织的数据泄露平均成本远远低于尚未部署这些技术的组织。实际上,在完全部署了安全自动化的组织中,一次泄露事件的平均成本为245万美元,而在没有安全自动化的组织中,平均成本为603万美元,相差358万美元。
同时,拥有IR团队并通过模拟数据泄露事件定期测试的组织的平均数据泄露成本为329万美元,而没有IR团队或未进行IR测试的组织的平均数据泄露成本为529万美元,相差200 万美元。
2.客户PII 成本高于其他记录类型
该报告首次根据数据记录类型深入分析了数据泄露事件的每条记录成本。客户个人身份信息(PII)是最昂贵的记录类型,每条丢失或被盗记录的平均成本为150美元,而知识产权的每条记录成本为147美元,匿名客户记录为143美元,员工PII为141美元 。客户PII是最经常泄露的数据类型,在80%的事件中均存在。
3.凭据受损和云配置错误是最大的攻击媒介
在2020年的研究中,恶意攻击造成了52%的数据泄露事件,比2019年的51%略有增加。2020年报告首次更深入地探讨了恶意攻击的类型,分析了九次初始攻击的成本和频率攻击媒介。最常见的初始攻击媒介包括凭据受损(占恶意破坏的19%),云配置错误(占19%)和第三方软件中的漏洞(占16%)。这三个攻击媒介也是成本代价最高的,由于凭证受损造成的平均损失为477万美元,第三方软件的漏洞平均为453万美元,云配置错误的平均损失为441万美元。
4.勒索软件和破坏性攻击的费用要比普通漏洞高
并非所有的数据泄露都涉及数据的盗窃或泄漏,有时记录被损坏或被劫持索要赎金。该报告首次分析了涉及恶意软件和勒索软件的成本。恶意软件平均成本为452万美元,勒索软件平均成本为444万美元。恶意攻击的平均总费用为427万美元。
5.国家间谍攻击比较少见,但是成本最高
2020年报告首次根据威胁参与者的主体类型或者说攻击者的动机进行了分析。最常见的是出于经济动机的攻击者(占恶意破坏的53%),而国家间谍攻击者(占13%)和黑客攻击者(占13%)占比较小。尽管不太常见,但由国家资助的攻击行为(443万美元)和黑客攻击行为(428万美元)的平均违规成本要高于出于经济动机的攻击行为(423万美元)。
具体报告参见:2020数据泄露成本报告