IBM 最新报告：安全漏洞成本飙升，但半数存在漏洞企业不愿增加安全投入

报告发现，人工智能及自动化让数据泄露处理周期缩短了108天;未寻求法律帮助的勒索软件受害者平均遭受47万美元的额外损失; 只有三分之一的企业能够依靠自身检测到漏洞。

北京2023年7月25日/美通社/ -- IBM Security 于7月24日发布了其年度《数据泄露成本报告》（Cost of a Data Breach Report），报告显示，2023年全球数据泄露的平均成本达到445万美元，创该报告有史以来以来最高记录，也较过去3年均值增长了15%。同一时期内，检测安全漏洞和漏洞恶化带来的安全成本上升了42%，占安全漏洞总成本的比值也来到史上最高，这也表明，企业应对漏洞的调查和处理正在变得更加复杂。

IBM_1

该报告发现，面对不断增加的数据漏洞成本和发生频次，各企业的应对方式却大相径庭：虽然95%的受访企业都经历过不止一次的数据泄露事件，但被泄露企业更有可能将安全事件的成本转嫁给消费者(57%的企业这样做)，而不是增加安全投资(仅有51%的企业有此意愿)。

2023年《数据泄露成本报告》是对全球553家企业组织自2022年3月至2023年3月期间经历的真实数据泄露事件的深入调研分析。该报告已连续发布18年，IBM Security是该报告的赞助方及分析方，而调研工作则由致力于隐私、数据保护和信息安全政策的专业研究机构Ponemon Institute开展。 这份2023年最新报告中的主要发现包括:

人工智能加速威胁应对– 人工智能和自动化对被调研组织的漏洞识别和遏制速度帮助最大。与研究中未部署这些技术的组织相比，广泛使用人工智能和自动化的组织的数据泄露处理周期会短上 108 天（二者分别为 214 天和 322 天）。

沉默意味着更高代价– 研究中诉诸法律的勒索软件受害者与那些选择不求助法律的勒索软件受害者相比，平均能减少 47万美元的数据泄露成本。尽管求助法律能降低损失，但在被调研的勒索软件受害者中，有37% 并未求助执法部门。

威胁检测存在鸿沟– 在所有被研究的数据泄露中，只有三分之一是由被调研企业内部安全团队检测到的，而网络攻击者披露的数据泄露占比则为 27%。与企业自行发现数据泄露相比，攻击者发布数据泄露会造成平均 100 万美元的额外损失。

IBM全球安全服务部总经理Chris McCurdy表示："就网络安全而言，无论对于防御者还是攻击者来说，时间都意味着金钱。正如报告所示，早期检测和快速响应可以显著降低安全漏洞的影响。相关安全团队必须重视对手的杀手锏并集中力量阻止对方攻击。在攻击者实现目标之前，企业需要抓紧对威胁检测和响应方法等进行投资，例如应用人工智能和自动化技术提高防御的速度和效率，这对于打破目前这种平衡状态至关重要。"

每一秒都是代价

根据 2023年的报告，与未部署这些技术的组织相比，全面部署安全人工智能和自动化的被研究组织数据泄露周期平均缩短了 108 天，并且相关安全事件的成本显著降低。事实上，广泛部署安全人工智能和自动化的被研究组织与未部署这些技术的组织相比，数据泄露成本平均降低了近 180 万美元，这是报告中提到的最大的成本节约项。

与此同时，现在攻击者们完成勒索软件攻击的平均时间又降低了。好消息是，由于近 40% 的被研究组织尚未部署安全人工智能和自动化，因此，它们仍有相当大的机会通过这些技术手段来进一步提高检测和响应速度。

别掉入勒索软件的"沉默"陷阱

一些被研究组织在遭勒索软件攻击后仍不愿与执法部门接触，因为他们担心这只会使情况变得复杂。今年，IBM 《数据泄露成本报告》首次深入研究了这个情况，并证明，结论与担忧的恰恰相反。无执法部门介入的情况下，被攻击组织的数据泄露生命周期比有执法组织介入的情况平均长 33 天。而这种"沉默"意味着巨大的代价。研究表明，相比采取法律行动的勒索软件受害者，未采取法律行动的受害者平均要承受高出 47 万美元的数据泄露成本。

IBM_2

尽管执法部门不懈地寻求与勒索软件受害者协作，但 37% 的受访者仍然选择避免让其介入。此外，据报道，近一半 (47%) 的勒索软件受害者向攻击者支付了赎金。显然，各组织应该纠正这些关于勒索软件的误解，支付赎金并规避执法部门介入很可能只会增加安全事件成本并延迟响应速度。

自有安全团队不易发现漏洞

在威胁检测和响应方面，企业已经取得了一定的进展。根据 IBM今年早些时候发布的《2023 IBM SecurityX-Force威胁情报指数》，去年被各企业自身安全团队阻止的勒索软件攻击占总数的比例已经有所上升。然而，对手仍在不遗余力寻找防线的突破口。该报告发现，只有三分之一被研究组织遭受的攻击行为是由其自有安全团队或工具检测到的，而 27% 是由攻击者们披露的，另有40% 是由执法部门等中立第三方披露的。

自主发现漏洞的组织所承受的漏洞损失，比由攻击者披露所承受的损失低了近 100 万美元（前者430 万美元，而后者达523 万美元 ）。与内部发现的漏洞相比，攻击者披露的漏洞的生命周期也延长了近 80 天（分别为241 天与320 天）。早期检测可以节省大量成本和时间，这表明，依据这些策略进行投资从长远来看可以获得可观的回报。

IBM_3

这份2023年最新报告中的其它重要发现还包括：

跨环境泄露数据现象普遍– 在被研究的数据泄露事件中，近 40%的数据泄露会导致跨多个数据环境（包括公共云、私有云和本地云）的数据丢失，这表明攻击者能够在避免被检测到的同时危害多个环境。研究发现，涉多个环境的数据泄露也会导致更高的泄露成本（平均 475 万美元）。

医卫相关违规成本继续飙升– 到2023 年，医疗保健领域研究的数据泄露的平均成本将达到近 1100 万美元，自2020 年以来这一数据上涨了 53%。根据《2023 IBM SecurityX-Force威胁情报指数》，威胁行为实施者以医疗记录为杠杆，给受攻击组织带来了更大的支付赎金的压力。事实上，在所研究的所有行业中，客户个人身份信息是最常被泄露的数据类型，也是成本最高的。

DevSecOps 的优势– 对所有行业中具有高水平 DevSecOps（开发、安全和运维） 的企业组织进行研究发现，其数据泄露的全球平均成本比那些采用低水平或不使用 DevSecOps 方法的组织低了近 170 万美元。

关键基础设施泄露造成的损失超过 500 万美元– 与去年相比，被研究的关键基础设施相关组织的平均数据泄露成本上升了 4.5%，从 482 万美元增加到了 504 万美元，比全球数据泄露平均成本高出 59 万美元。

审核编辑 黄宇