根据Ponemon和IBM Security近日联合发布的《2022年数据泄露成本报告》，2022年全球数据泄露规模和平均成本均创下历史新高，数据泄露事件的平均成本高达435万美元。

调查结果显示，过去两年数据泄露成本增加了近13%，同时数据泄露事件也可能导致商品和服务成本上升。事实上，由于通货膨胀和供应链问题，全球商品成本已经飙升，60%的受访企业因数据泄露而提高了产品或服务价格。

网络攻击的持续性意味着数据泄露将对企业造成持续的“难以消除的影响”，IBM报告发现83%的受访企业和机构经历过不止一次数据泄露。另一个随着时间推移而浮现的负面因素是“数据泄露后遗症”，其影响在企业发生数据泄露事件后仍会持续很长时间，因为近50%的数据泄露成本是在数据泄露事件发生一年多之后产生的。

《2022年数据泄露成本报告》基于2021年3月至2022年3月期间对全球550家组织所经历的真实数据泄露事件的深入分析。报告的关键发现如下：

2022年数据泄露成本报告的十大关键发现

1.关键基础设施零信任策略滞后

将近80%的关键基础设施组织都没有采用零信任策略，平均数据泄露成本上升到540万美元，与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中，28%与勒索软件或破坏性攻击有关。

2.支付赎金并非有效策略

研究显示，在遭受勒索软件攻击后选择支付赎金并不能降低数据泄露成本。选择支付赎金的受害者与选择不支付赎金的受害者相比，平均泄露成本仅减少了61万美元——但这不包括赎金本身的成本。考虑到高昂的赎金成本，组织蒙受的经济损失可能会更高，这表明简单地支付赎金可能不是一种有效的策略。

3.云安全不成熟的代价高昂

43%的研究组织处于云安全的早期阶段，或者尚未开始在其云环境中应用安全实践，与云环境安全成熟度较高的受访组织相比，平均数据泄露成本高出66万美元。

4.人工智能和自动化安全技术可节约数百万美元的泄露成本

与未部署该技术的受访组织相比，完全部署人工智能和自动化安全技术的组织平均减少了305万美元的违规成本——这是研究中观察到的最大幅度的成本节省。

5.网络钓鱼成为代价最高的数据泄露原因

虽然凭据被盗仍然是最常见的泄露原因(19%)，但网络钓鱼是第二大(16%)也是最昂贵的原因，给受访组织造成高达491万美元的平均泄露成本。

6.安全人才短缺导致数据泄露成本飙升

62%的受访组织表示没有足够的人员来满足安全需求，这些企业的平均数据泄露成本比安全人才充足的企业高出55万美元。

7.医疗行业数据泄露成本高企不下

连续第12年，医疗行业都是数据泄露成本最高的行业，而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元，达到创纪录的1010万美元。

“企业需要将他们的安全防御放在进攻端，并击败攻击者。是时候阻止对手实现其目标并开始尽量减少攻击的影响了。越多的企业试图完善他们的安全边界而不是投资于检测和响应，越多的数据泄露事件会加剧生活成本的增加。”IBM Security X-Force全球负责人Charles Henderson说：“这份报告表明，只有将正确的策略与正确的技术相结合，才能在企业受到攻击时发挥重要作用。”

8.过度信任关键基础设施组织

过去一年，全球对关键基础设施目标的担忧似乎在增加，许多政府的网络安全机构都敦促对破坏性攻击保持警惕。报告显示，勒索软件和破坏性攻击占所研究的关键基础设施组织的28%的违规行为，突显了攻击者正在积极寻求破坏依赖这些组织的全球供应链，包括金融服务、工业、运输和医疗等。

在拜登政府发布网络安全行政命令一年后（该命令强调围绕零信任方法来加强国家网络安全的重要性），但接受调研的关键基础设施组织中只有21%采用零信任安全模型。除此之外，关键基础设施组织中17%的违规行为是由于业务合作伙伴遭到入侵造成的，这凸显了过度信任环境带来的安全风险。

9.支付赎金得不偿失

根据2022年数据泄露成本报告，与选择不支付赎金的企业相比，支付了勒索赎金要求的企业的平均泄露成本减少了61万美元（不包括支付的赎金金额）。然而，考虑到平均赎金支付金额（根据Sophos的数据，2021年达到81.2万美元），选择支付赎金的企业的数据泄露总成本反而更高，而且还无意中为未来的勒索软件攻击提供资金，这些资金本可用于补救和恢复工作。

尽管全球努力阻止勒索软件的持续存在，但网络犯罪的工业化推动了它的存在。IBM Security X-Force发现，受访企业勒索软件攻击的持续时间在过去三年中下降了94%——从两个多月锐减到不足四天。

以指数级速度缩短的勒索软件攻击生命周期可能会引发影响更大的攻击，因为网络安全事件响应者只有非常短的机会窗口来检测和遏制攻击。随着“赎金时间”减少到几个小时，企业必须提前对事件响应手册进行严格测试，这一点至关重要。但该报告指出，多达37%的已制订事件响应计划的组织没有定期对其进行测试。

10.混合云的数据泄露成本较低

报告显示混合云环境是所研究组织中最普遍(45%)的基础架构。采用混合云模型的企业的平均数据泄露成本为380万美元，而仅采用公共云或私有云模式的企业的平均数据泄露成本分别为502万美元和424万美元。事实上，报告调研的混合云用户识别和控制数据泄露的平均时间为262天，比全部调查对象的平均时间277天快15天。

报告强调，受访者45%的数据泄露事件发生在云中，这凸显了云安全的重要性。然而，43%的受访者表示他们只是处于早期阶段或尚未开始实施云安全实践，这部分用户的数据泄露成本更高。

与在所有环境中持续应用安全实践的企业相比，未在其云环境中实施安全实践的企业平均需要额外108天的时间来识别和遏制数据泄露。

来源:GoUpSec