2023年数据泄露成本报告

2023 年数据泄露成本报告 目录 03 →有助于降低数据泄露成本的几项建议 完整的结论 执行摘要 –2023 年报告新增内容–重要结论 –我们如何计算数据泄露的成本–数据泄露常见问题解答–研究的局限性 –全球关注重点–初始攻击媒介–发现攻击–数据泄露生命周期–关键成本因素–勒索软件和破坏性攻击–业务合作伙伴供应链攻击–软件供应链攻击–法规环境–云泄露–大规模泄露–安全性投资–安全 AI 和自动化–事件响应–威胁情报–漏洞和风险管理–攻击面管理–托管安全服务提供商(MSSP) 06 →波耐蒙研究所 (PonemonInstitute) 和 IBM Security 简介–采取下一步行动 –地理统计数据–行业统计数据–行业定义 01 执行摘要 《数据泄露成本报告》为 IT、风险管理和安全主管提供了可量化的论据和佐证，以帮助各方更好地管理安全投资、风险情况和战略决策流程。2023 年版是该报告连续第 18 年发布的版本。 本报告中提及的年份是指报告发布的年份，而不一定是泄露事件发生的年份。所调研的泄露事件发生在16 个国家和地区，涉及 17 个不同行业。 今年的研究由波耐蒙研究所 (Ponemon Institute) 独立进行并由 IBM Security® 发起、分析和发布，调研了2022 年 3 月至 2023 年 3 月期间受数据泄露影响的553 家组织。 在本报告中，我们将研究数据泄露的根本原因以及短期和长期后果。我们还将探讨能让公司减少损失的各类因素和技术，同时避免采取那些会导致成本增加的因素和技术。 2023 年报告新增内容 随着泄露成本不断增加，本报告可为各方提供重要洞察成果，可帮助安全和 IT 团队更好地管理风险并限制潜在损失。报告分为五个主要部分： –如何识别泄露行为：无论源于组织自身的安全团队、其他第三方还是攻击者–执法部门参与抵御勒索软件攻击而产生的影响–勒索软件运行手册和工作流程的影响–与监管罚款相关的特定成本–公司是否以及如何计划因泄露而增加安全投资–以下缓解策略产生的影响：• 威胁情报• 漏洞和风险管理• 攻击面管理 (ASM)• 托管安全服务提供商 (MSSP) 每年，我们都会不断改进数据泄露成本报告，覆盖新出现的内容，以匹配新技术、新兴策略和近期事件。今年的研究首次探讨了： –介绍重要结论和 2023 年新增内容的执行摘要–对完整调查结论的深入分析，包括按地理区域和行业划分的数据泄露成本–IBM Security 专家根据本报告的结果提出的安全建议–组织统计数据与行业定义–研究方法，包括如何计算成本 445 万美元 泄露的平均总成本 2023 年，数据泄露的平均成本达到 445 万美元，创下历史新高。相较于2022 年的 435 万美元，该成本增加了 2.3%。拉长时间线来看，平均成本较2020 年报告中的 386 万美元增加了 15.3%。 重要结论 本报告所述主要结论基于 IBM Security 对波耐蒙研究所 (Ponemon Institute) 所汇编的研究数据的分析而得出。本报告中成本金额的计量单位为美元 (USD)。 51% 因数据泄露而计划增加安全投资的组织所占比例 虽然数据泄露的成本持续上升，但报告参与者在是否因数据泄露而计划增加安全投资的问题上几乎各持己见。确定需要额外投资的首要领域包括事件响应 (IR) 规划和测试、员工培训以及威胁检测和响应技术。 176 万美元 针对数据泄露造成的财务影响，广泛采用安全AI 和自动化可获得良好的效果在识别并遏制安全泄露事件方面，安全 AI 和自动化被证明是能够降低成本以及缩短时间的重要投资。广泛采用这些功能的组织在识别并遏制泄露方面耗费的时间平均缩短了 108 天。报告还指出，与不使用安全 AI 和自动化功能的组织相比，数据泄露成本降低了 176 万美元。 47 万美元 53.3% 1/3 82% 涉及存储在云端（公共、私有或多个环境）中各类数据泄露所占比例2023 年，云环境成为网络攻击者的常见目标。攻击者通常会入侵多个环境，39% 的漏洞跨越多个环境，造成的损失高于平均水平，达到475 万美元。 组织自身的安全团队或工具发现的漏洞数量仅有三分之一的公司通过自己的安全团队发现了数据泄露事件，这凸显了亟需更好的威胁检测手段。67% 的漏洞是由良性第三方或攻击者自己报告的。当攻击者披露漏洞时，相较于内部检测，组织会损失近 100 万美元。 自 2020 年以来，医疗数据泄露成本增加了 53.3%自 2020 年以来，受到严格监管的医疗保健行业的数据泄露成本大幅上升。根据报告，医疗保健行业数据泄露造成的损失已连续 13 年位居榜首，耗费的平均成本高达 1,093 万美元。 未让执法部门参与抵御勒索软件攻击的组织所承受的额外成本 今年的研究表明，将执法部门排除在勒索软件事件之外会导致更高的成本。虽然 63% 的回应者表示他们的数据泄露事件有执法部门介入，但 37% 的回应者表示没有执法部门介入，却还是多支付了 9.6% 的费用，并且泄露生命周期延长了 33 天。 149 万美元 144 万美元 168 万美元 102 万美元 发现并解决漏洞用时超过 200 天与用时不到200 天的漏洞之间的平均成本差异识别并遏制泄露所耗费的时间（称为泄露生命周期）仍然会对整体财务情况造成不可忽视的影响。对于那些识别并遏制泄露所耗费时间不到 200 天的事件，给组织造成了 393 万美元的损失。那些耗费时间超过 200 天的事件，成本为 495 万美元，相差 23%。 具备高水平的 IR 规划和测试的组织所节省的成本 通过采用高水平的 DevSecOps 部署来节省成本 安全系统复杂性较高的组织会产生更高的数据泄露成本 除了成为组织的优先投资之外，IR 规划和测试还可成为控制数据泄露成本的高效策略。具有高水平 IR 规划和测试的组织比低水平的组织节省了 149 万美元。 2023 年，依据报告统计，安全系统复杂性较低或不复杂的组织产生的平均数据泄露成本为384 万美元。安全系统复杂性较高的组织平均成本为 528 万美元，增大了 31.6%。 软件开发流程 (DevSecOps) 中的集成安全性测试在 2023 年显示出可观的投资回报率。与DevSecOps 采用率低或未采用的组织相比，采用率高的组织节省了 168 万美元。与其他降低成本的因素相比，DevSecOps 展示了最大的成本节省效果。 02 完整的结论 在这部分中，我们将整体内容划分为 18 个主题，详细介绍本报告得出的主要结论。主题安排顺序如下： –全球关注重点–初始攻击媒介–识别攻击–数据泄露生命周期–关键成本因素–勒索软件和破坏性攻击–业务合作伙伴供应链攻击–软件供应链攻击–监管环境–云泄露–大规模泄露–安全性投资–安全 AI 和自动化–事件响应–威胁情报–脆弱性和风险管理–攻击面管理–托管安全服务提供商 全球关注重点 445 万美元 《数据泄露成本报告》使用来自 16 个不同国家/地区、超过 553 起数据泄露的数据，并考虑了数百个成本因素，提供了数据泄露成本的全球概况。本节将阐述全球平均水平的关键指标。我们还会探讨国家/地区和行业之间每笔记录的平均比较成本。 数据泄露的全球平均总成本 图 2：数据泄露的每条记录成本也达到新高。2023 年，数据泄露相关的每笔记录的平均成本为 165 美元，比 2022 年的平均成本 164 美元略有增加。这与 2021 年至 2022 年相对较小的增长相吻合，其中成本仅增长 3 美元。在过去七年中，每笔记录的平均成本最大增幅发生在 2020 年至 2021 年期间，平均成本从 146美元上升到 161 美元，涨幅为 10.3%。这项研究调查了 2,200 至 102,000 笔记录规模不等的泄露情况。1 图 1：数据泄露的成本攀升至新高。 数据泄露的全球平均成本已上升至 445 万美元，比 2022 年增加了 10 万美元。相较于 2022 年的 435 万美元，平均成本增加了2.3%。自 2020 年以来，数据泄露的平均总成本为 386 万美元，平均总成本增加了15.3%。 在今年的前五国家/地区名单中，日本是唯一不在 2022 年前五名单中的国家，去年排名第六。去年排名前 5 名的国家还包括英国 (UK)，其平均数据泄露成本为 505 万美元。今年，英国的平均成本大幅下降，为 421 万美元，比去年下降 16.6%，因此排在前五名之外。 数据泄露平均成本最高的前五个国家或地区与 2022 年相比发生了显著变化。 美国再次成为数据泄露平均总成本最高的国家，为 948 万美元，比去年的 944 万美元增加了 0.4%。与去年相似，中东地区的数据泄露平均总成本位居第二，从 746 万美元增加到 807万美元，增幅为 8.2%。 在加拿大，数据泄露的平均总成本从 564 万美元下降到 513 万美元，降幅为 9%。德国的平均成本也有所下降，从 485 万美元下降到467 万美元，降幅为 3.7%。日本的平均成本略有下降，从 457 万美元下降到 452 万美元，降幅为 1.1%。 图 4：在各个行业中，医疗保健行业连续 13 年录得损失最高的数据泄露成本。医疗保健行业的数据泄露成本仍为所有行业中最高，从 2022 年的 1,010 万美元增加到2023 年的 1,093 万美元，增幅为 8.2%。在过去三年中，医疗保健领域数据泄露的平均成本增长 53.3％，与 2020 年的平均成本 713 万美元相比，增加 300 多万美元。医疗保健行业受监管程度很高，美国政府始终将之视为关键基础设施行业。自新冠疫情开始以来，该行业的平均数据泄露成本显著上升。 与去年的排名相比，成本最高的五大行业发生了一些变化。科技行业跌出前五名，而工业部门则递补上来，从第七位上升到第五位，增幅为 5.8%。根据 IBM 威胁情报分析，制造业成为网络犯罪分子最常攻击的行业。 2022 年，各类组织需要 207 天才能识别泄露事件，而在 2023 年仅需 204 天。另一方面，组织在 2023 年平均需要 73 天来遏制泄露事件，而在 2022 年平均仅需 70 天。遏制和识别泄露事件的最长平均时间均发生在 2021 年，分别为 212 天和 75 天。 图 5：识别和遏制泄露事件的平均时间大致相同。 与 2022 年相比，泄露事件的平均识别时间(MTTI) 和平均遏制时间 (MTTC) 的变化微乎其微。平均识别时间是指组织识别安全泄露事件所需的时间。平均遏制时间是指识别安全泄露事件后解决所需的时间。 数据泄露的其他关键成本部分（业务成本损失、泄露后响应和通知）与 2022 年相比也发生了变化。业务成本损失下降 8.5%，从 2022年的 142 万美元下降到 2023 年的 130 万美元。业务成本损失包括系统停机造成的业务中断和收入损失、客户流失成本和获取新客户的成本以及声誉损失和商誉减少等活动。 图 6：损失的业务成本达到五年来最低水平。 去年的报告显示，检测和上报成本上升为数据泄露费用中最昂贵的类别，这表明数据泄露调查正在转向用时更长、更为复杂的局面。今年这一趋势仍在继续，检测和上报成本仍然位居榜首，从 144 万美元上升到 158 万美元，差额14 万美元，增幅为 9.7%。检测和上报成本包括支持公司合理检测漏洞的活动，并且可能包括取证和调查活动、评估和审计服务、危机管理以及高管和董事会沟通等。 值得注意的是，通知成本部分从 2022 年的31 万美元上升到 2023 年的 37 万美元，增长19.4%。泄露后响应成本仅增加了 20,000 美元。通知成本包括支持公司通知数据主体、数据保护监管机构和其他第三方的活动。 增幅为 21.4%。至于员工人数为 1,001–5,000名的组织，数据泄露的平均成本从 406 万美元