数据泄露报告 2024

执行摘要 目录 执行摘要2024 年报告新增内容重要结论030405 有助于降低数据泄露成本的几项建议07 关于 IBM 和波耐蒙研究所(Ponemon Institute)10 执行摘要 IBM 的年度《数据泄露成本报告》可为 IT、风险管理与安全领导者提供及时、可量化的证据，以便指导他们制定战略决策。此外，报告也有助于读者更好地管理风险状况和安全措施投资。本年度的报告为该系列的第 19 份报告，其中反映了技术变革带来的各种变化，例如影子数据（即驻留在未管理的数据源中的数据）的兴起，以及数据泄露所造成业务中断的范围和成本。 该报告的相关研究由波耐蒙研究所 (Ponemon Institute) 独立进行并由 IBM 发起、分析和发布，其中调研了 2023 年 3 月至 2024 年 2月期间受数据泄露影响的 604 家组织。研究人员调查了 16 个国家或地区的 17 个行业的各大组织，而泄露的记录数量则从 2,100 条到113,000 条不等。为了洞察分析实际状况，波耐蒙研究所的研究人员访谈了 3,556 名安全负责人与高管层领导，他们对其组织中发生的数据泄露事件均有第一手了解。 此项研究的成果为一份基准报告，可供业务领导者与安全负责人参考，有助于加强其安全防御并推动创新，尤其是如何在安全领域采用AI ，以及针对生成式 AI 举措如何实施安全保障。 2024 年报告新增内容 每年，我们都会不断改进《数据泄露成本报告》，以反映新的技术、新兴策略和近期事件。今年的研究首次探讨了： 在本年度的报告中，我们将主要介绍两大发展趋势。首先，一场数据泄露的全球平均成本较去年增长了 10%，达到 488 万美元，为新冠疫情以来的最大增幅。业务中断以及泄露后的客户支持与修复，是导致此成本飙升的主要因素。当被问及如何应对这些成本时，半数以上的组织表示会转嫁给客户。由于通胀导致的定价压力，市场竞争本已十分激烈，再让客户吸纳这些成本，很可能会引发问题。 –组织是否长期受运营中断的困扰，例如无法处理销售订单、生产设施完全关停、客户服务无法有效开展–泄露事件是否涉及存储在未管理的数据源中的数据（也称为“影子数据”）–组织在安全措施运作的四个领域（预防、检测、调查和响应）中，使用了多少 AI 和自动化技术–敲诈攻击的性质如何，例如是否为敲诈加勒索软件攻击，还是仅为敲诈加数据渗漏–将数据、系统或服务恢复到泄露前状态所需的时间–有义务报告泄露事件的组织，实际用了多长时间来报告此类事件–遭受勒索软件攻击后，请执法部门介入的组织是否支付了赎金 其次，研究人员还发现，对于攻防双方的防御一方而言，将 AI 和自动化运用于安全领域，已经产生回报，且在一些实例中将泄露成本平均降低了 220 万美元。借助 AI 与自动化解决方案，可以缩短从识别到遏制泄露事件及其损害的整个过程所需时间。换言之，缺乏 AI 与自动化加持的防御方，可能需要更长时间来检测和遏制泄露事件，成本也会随之上升，且会高于已使用相关解决方案的组织。 正如我们在整个行业中所观察到的，网络安全团队普遍人手不足。本年度的研究发现，半数以上发生泄露的组织面临严重的安全专员短缺，且这一技能缺口相较去年的百分比增幅达到了两位数。随着威胁态势的蔓延，安全专业人员的短缺问题也变得日益严重。当组织中几乎所有职能领域不断竞相采用生成式 AI，可以预见随之而来的将是前所未有的风险，网络安全团队势必将要承受更大压力。 本报告将呈现源于此项研究的洞察和建议，旨在帮助读者降低数据泄露可能引发的财务和声誉损失。 重要结论 本报告所述的主要结论，均基于 IBM 对波耐蒙研究所汇总的研究数据的分析。 488 万美元 泄露的平均总成本 一场数据泄露的平均成本从 2023 年的 445 万美元上升至 488 万美元，增幅达 10%，创下自新冠疫情以来的最高。造成此成本上升的原因包括：业务损失（其中包括运营停机和客户流失）和泄露后响应成本（例如，配备客户服务帮助台人员和支付更高的监管罚款）。这些成本合计高达 280 万美元，创下过去 6 年以来业务损失与泄露后活动合计金额的新高。 220 万美元 预防环节广泛运用 AI，实现成本节省 三分之二的被调查组织表示，正在其安全运营中心全面部署安全 AI和自动化技术，这一比例比去年提升了 10%。在攻击面管理 (ASM)、红队测试和态势管理等预防工作流中广泛部署 AI 的组织，泄露成本比未能运用 AI 的组织平均减少了 220 万美元。这是 2024 年报告中揭示的最大一项成本节省。 26.2% 网络技能缺口扩大 半数以上发生泄露的组织均面临严重的网络安全专员短缺问题。这一缺口比去年扩大了 26.2%，相当于泄露成本平均增加了 176 万美元。虽然有五分之一的组织表示已使用某种形式的生成式 AI 安全工具（有望提高产出和效率从而缩小缺口），但此技能缺口仍是一项不小的挑战。 499 万美元 1/3 涉及影子数据的泄露事件占比 恶意内部人员攻击的平均成本 较之其他攻击媒介，恶意内部人员攻击造成的损失最高，平均达 499万美元。其他代价高昂的攻击媒介则包括：商业电子邮件诈骗、网络钓鱼、社交工程，以及凭据被盗或泄露。生成式 AI 在制造某些网络钓鱼攻击中可能起到了一定作用。例如，不会英语的人利用生成式 AI，能比以往更轻松地炮制出语法正确、令人信服的网络钓鱼消息。 35% 的泄露事件涉及影子数据，这表明数据的激增使跟踪和保护数据变得更加困难。影子数据被窃取，相应地导致了漏洞成本增加16%。研究人员发现，跨多种环境存储数据是一种常见的策略，并占到泄露事件的 40%。这些泄露事件也需要更长的时间来识别和遏制。相比之下，仅存储在一种环境中的数据发生泄露的频率较低，且无论该环境是公有云 (25%)、本地部署 (20%) 还是私有云 (15%)。 100 万美元 46% 涉及客户个人数据的泄露事件的占比 遭受勒索软件攻击时，请执法部门介入可节省成本 接近半数的泄露事件涉及客户个人身份信息 (PII)，其中包括税务识别 (ID) 号、电子邮件地址、电话号码和家庭住址。知识产权 (IP) 记录则紧随其后（43% 的泄露事件涉及）。与去年相比，知识产权记录的成本大幅增加，从去年报告中的每条记录 156 美元上升到今年的173 美元。 遭受勒索软件攻击并请执法部门介入的组织中，有三分之二避免了赎金支付。这些组织最终还将攻击成本平均降低了近 100 万美元（不包括支付赎金的成本）。此外，借助执法部门的介入，识别和遏制泄露事件所用时间也从 297 天缩短到了 281 天。 830,000 美元 292 所有行业中最高的平均成本涨幅 识别和遏制涉及凭据被盗泄露事件的所用天数 在所有行业中，工业部门的成本涨幅最高。与去年相比，每次泄露事件的成本平均增加了 830,000 美元。这一成本飙升的情况，或许表明工业组织需要准备好加快响应速度，因为这一行业对运营停机极为敏感。尽管如此，工业组织识别数据泄露所用时间为 199天，遏制用时则为 73 天，仍高于所有行业的平均水平。 在所有攻击媒介中，凭据被盗或泄露事件的识别和遏制用时最长（292 天）。利用员工和员工访问权限的类似攻击，也需要很长时间才能解决。例如，网络钓鱼攻击的平均持续天数为 261 天，社交工程攻击的平均持续天数则为 257 天。 有助于降低数据泄露成本的几项建议 我们的建议包括成功的安全方法，这些方法可以帮助以更低的成本、更短的时间识别并遏制泄露事件。 了解自身的信息环境 大多数组织会将数据分布在多个环境中，其中包括本地数据存储库、私有云和公有云。然而，很多组织的数据存储库是不完整或过时的，这会使判断哪些数据遭泄露及其敏感或机密级别的过程被延误。此类延误可能会导致应对措施复杂化，并拉高泄露事件的成本。 安全团队应确保全面透视所有此类环境，以便在无论数据位于何处的情况下均可持续监控和保护数据。组织可在所有这些环境中应用数据安全状况管理(DSPM) 和其他解决方案（如身份和访问管理以及 ASM），以便提供一致且全面的保护。 安全团队必须特别关注混合环境和公有云。40% 的数据泄露涉及跨多个环境存储的数据，而当泄露的数据存储在公有云中时，导致的平均泄露成本最高（517 万美元）。安全团队必须更为深入地了解其所用每个云服务的具体风险和控制措施。 采用生成式 AI，勿忘安全第一 虽然各大组织正在快速推进生成式 AI，但眼下却只有24% 的生成式AI 计划拥有相应的安全保障。安全措施不足，数据和数据模型暴露于泄露的风险之下，进而可能破坏生成式 AI 项目意在创造的优势。 由于未管理的数据造成的影响，跨环境管理数据变得更为复杂。超过三分之一的数据泄露事件涉及影子数据。如今，安全团队必须假设其组织存在未管理的数据源。而非加密数据（包括 AI 工作负载中的数据）则会进一步加剧此风险。数据加密策略必须考虑数据的类型、用途和存储位置，以便在发生泄露事件时降低风险。 随着生成式 AI 采用范围的不断扩大，组织需要一个框架来保护生成式 AI 数据、模型及其使用，并制定 AI 治理控制措施。为此，组织需防止其训练数据被窃取和操纵，从而确保这些数据的安全。组织可使用数据发现和分类方法，检测用于训练或微调的敏感数据。此外，组织还可在加密、访问权限管理和合规性监控的过程中，落实数据安全控制措施。 对于生成式 AI，组织面临的不仅是影子数据的增长及其风险，更涉及到影子模型。组织必须将态势管理扩展到 AI 模型本身，保护敏感的 AI 训练数据，同时洞悉未经批准的影子 AI 模型的使用情况，以及AI 滥用或数据泄露的情况。 运用 AI 和自动化，增强预防策略 在整个组织中采用生成式 AI 模型和第三方应用程序，以及持续使用物联网 (IoT) 设备和“软件即服务”(SaaS) 应用程序，均会扩大攻击面，给安全团队带来压力。 为了确保生成式 AI 模型开发过程的安全，需扫描开发管道中的漏洞、加固集成，并严格实施策略和访问权限。为了保证生成式 AI 模型的使用安全，安全团队需监控是否存在恶意输入（如提示注入）以及包含敏感数据的输出。此外，安全团队还必须部署 AI 安全解决方案，以检测和应对特定于 AI 的攻击，例如数据投毒、模型规避和模型窃取。制定响应策略，以实现拒绝访问，并隔离和断开遭泄露的模型，也是至关重要的。 将 AI 和自动化技术运用于支持安全预防策略（包括在 ASM、红队测试和态势管理中），往往可以通过托管安全服务来实现。在本年度的研究中，将 AI 和自动化技术运用于安全预防领域的组织，相比其他三个安全领域（检测、调查、响应），从其 AI 投资中受益最大。相较于未在预防技术中部署 AI 的组织，有部署的组织平均节省了 222 万美元。 进一步加强网络安全响应培训 在泄露事件发生期间和之后，组织如何做出回应，以及如何与企业领导、监管机构和客户进行沟通，其重要性已经达到了前所未有的高度。在本年度的研究中，平均泄露成本涨幅的 75% 源于业务损失，其中包括停机、流失客户和订单，以及获取新客户的成本。此外，成本还包括泄露后的响应活动，例如设立客户帮助台、为受影响的客户提供信用监控，以及缴纳监管罚款。经验教训是：投资加强泄露后的响应能力，有助于降低数据泄露成本。 组织必须建立技术响应能力，并以战略规划作为补充，从而消除业务影响、保护客户，并保持运营连续性。开展治理并提前决策，有助于管理人员预见重大业务中断的处理方法，并精简相关行动流程，以便在发生攻击时使组织受益。 在生成式 AI 和其他 IT 计划导致威胁态势不断蔓延的情况下，有必要为非安全从业人员提供安全培训，其中包括在 AI 团队中工作的数据科学家和数据工程师。 为增强处理高影响力攻击的能力，组织可参加网络靶场危机模拟演习，形成针对泄露处置的肌肉记忆。此类演习可涵盖安全团队和业务领导者，让整个组织均可提高检测、遏制和应对泄