泄露成本比前一年增加了10%,這是自疫情以來最大的年度增長,因為70%的被泄露組織報告稱泄露事件導致了重大或非常重大的中斷。
業務損失和泄露后的客戶及第三方響應成本推動了年度成本的飆升,數據泄露的附帶損害愈加嚴重。數據泄露對企業的破壞性影響不僅推高了成本,還延長了泄露后的影響,對于少數(12%)能夠完全恢復的被泄露企業,大多數需要超過100天的時間才能恢復。
AI驅動的預防措施見效
與前一年相比,更多企業面臨嚴重的人員短缺(增加了26%),并且觀察到比那些沒有安全人員短缺問題的組織平均高出176萬美元的泄露成本。
三分之二的研究對象在其安全運營中心(SOC)中部署了安全AI和自動化技術,當這些技術廣泛用于預防工作流程時,企業的泄露成本平均減少了220萬美元,相比之下,那些沒有在這些工作流程中使用這些技術的組織成本節省最大,這是2024年《數據泄露成本報告》中揭示的最大成本節省。
40%的泄露涉及跨多個環境(包括公有云、私有云和本地)的數據存儲,這些泄露平均成本超過500萬美元,并且識別和遏制所需時間最長(283天)。
IBM安全策略與產品設計副總裁Kevin Skapinetz表示:“企業陷入了不斷循環的泄露、遏制和后果響應中,這個循環現在通常包括投資于加強安全防御并將泄露費用轉嫁給消費者——使安全成為新的經營成本。”
“隨著GenAI迅速滲透到企業中,擴大了攻擊面,這些費用將很快變得不可持續,迫使企業重新評估安全措施和響應策略。為了領先一步,企業應投資于新的AI驅動防御措施,并開發應對GenAI帶來的新興風險和機遇所需的技能。”Skapinetz繼續說道。
安全人員短缺增加了泄露成本
研究表明,超過一半的企業去年面臨嚴重或高度的人員短缺,導致顯著更高的泄露成本(高水平為574萬美元,而低水平或無短缺為398萬美元),這一情況發生在企業爭相采用GenAI技術的時候,這些技術預計會為安全團隊帶來新的風險。
事實上,根據IBM商業價值研究院的一項研究,51%的受訪商業領導者對不可預測的風險和新出現的安全漏洞感到擔憂,47%則擔心新攻擊會針對AI。
隨著人員配備挑戰的加劇,更多的企業表示計劃增加安全預算(63%對比去年的51%),員工培訓成為計劃投資的首要領域。企業還計劃投資于事件響應規劃和測試、威脅檢測和響應技術(如SIEM、SOAR和EDR)、身份和訪問管理以及數據安全保護工具。
使用AI來爭取時間
報告發現,67%的企業部署了安全AI和自動化技術,比前一年增長了近10%,其中20%表示使用了一些形式的生成型AI安全工具。廣泛使用安全AI和自動化技術的組織在檢測和遏制事件方面平均比未使用這些技術的組織快98天。
同時,全球數據泄露生命周期平均值降至7年來最低的258天,低于前一年的277天,這表明這些技術可能通過改進威脅緩解和修復活動幫助防御者爭取時間。
泄露生命周期縮短還可以歸因于內部檢測的增加:42%的泄露是由企業自己的安全團隊或工具檢測到的,而前一年這一比例為33%。內部檢測縮短了數據泄露生命周期61天,并且比由攻擊者披露的泄露節省了組織近100萬美元的泄露成本。
數據安全缺陷助長知識產權盜竊
根據2024年《數據泄露成本報告》,40%的泄露涉及跨多個環境存儲的數據,超過三分之一的泄露涉及影子數據(存儲在未管理的數據源中的數據),這突顯了跟蹤和保護數據的日益增長的挑戰。
這些數據可見性差距導致知識產權(IP)盜竊急劇上升(27%)。與這些被盜記錄相關的成本也比前一年增加了近11%,達到每記錄173美元。隨著GenAI計劃將這些數據和其他高度專有的數據推向表面,IP可能變得更加容易獲取。隨著關鍵數據在環境中變得更加動態和活躍,企業需要重新評估其周圍的安全和訪問控制。
被盜/泄露的憑證以16%的比例成為最常見的初始攻擊向量,這些泄露的識別和遏制時間最長,接近10個月。
關鍵基礎設施組織面臨最高的泄露成本
通過引入執法機構,勒索軟件受害者平均比未引入執法機構的受害者節省了近100萬美元的泄露成本,這個節省不包括支付贖金的那些受害者的贖金支付。大多數(63%)引入執法機構的勒索軟件受害者還能夠避免支付贖金。
醫療保健、金融服務、工業、技術和能源組織在各行業中承擔了最高的泄露成本。連續第14年,醫療保健參與者的泄露成本在各行業中最高,平均泄露成本達到977萬美元。
63%的企業表示,他們將因今年的泄露而提高商品或服務的成本,略高于去年的57%,這是連續第三年大多數被研究的組織表示將采取這一行動。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號