《IBM：2024數據泄露成本報告（執行摘要）（11頁）.pdf》由會員分享，可在線閱讀，更多相關《IBM：2024數據泄露成本報告（執行摘要）（11頁）.pdf（11頁珍藏版）》請在三個皮匠報告上搜索。

1、數據泄露成本報告2024執行摘要22024 年數據泄露成本報告|執行摘要目錄執行摘要2024 年報告新增內容重要結論有助于降低數據泄露成本的幾項建議關于 IBM 和波耐蒙研究所(Ponemon Institute)030405071032024 年數據泄露成本報告|執行摘要執行摘要IBM 的年度 數據泄露成本報告 可為 IT、風險管理與安全領導者提供及時、可量化的證據，以便指導他們制定戰略決策。此外，報告也有助于讀者更好地管理風險狀況和安全措施投資。本年度的報告為該系列的第 19 份報告，其中反映了技術變革帶來的各種變化，例如影子數據（即駐留在未管理的數據源中的數據）的興起，以及數據泄露所造成

2、業務中斷的范圍和成本。該報告的相關研究由波耐蒙研究所(Ponemon Institute)獨立進行并由 IBM 發起、分析和發布，其中調研了 2023 年 3 月至 2024 年 2 月期間受數據泄露影響的 604 家組織。研究人員調查了 16 個國家或地區的 17 個行業的各大組織，而泄露的記錄數量則從 2,100 條到 113,000 條不等。為了洞察分析實際狀況，波耐蒙研究所的研究人員訪談了 3,556 名安全負責人與高管層領導，他們對其組織中發生的數據泄露事件均有第一手了解。42024 年數據泄露成本報告|執行摘要此項研究的成果為一份基準報告，可供業務領導者與安全負責人參考，有助于加強

3、其安全防御并推動創新，尤其是如何在安全領域采用 AI，以及針對生成式 AI 舉措如何實施安全保障。在本年度的報告中，我們將主要介紹兩大發展趨勢。首先，一場數據泄露的全球平均成本較去年增長了 10%，達到 488 萬美元，為新冠疫情以來的最大增幅。業務中斷以及泄露后的客戶支持與修復，是導致此成本飆升的主要因素。當被問及如何應對這些成本時，半數以上的組織表示會轉嫁給客戶。由于通脹導致的定價壓力，市場競爭本已十分激烈，再讓客戶吸納這些成本，很可能會引發問題。其次，研究人員還發現，對于攻防雙方的防御一方而言，將 AI 和自動化運用于安全領域，已經產生回報，且在一些實例中將泄露成本平均降低了 220 萬

4、美元。借助 AI 與自動化解決方案，可以縮短從識別到遏制泄露事件及其損害的整個過程所需時間。換言之，缺乏 AI 與自動化加持的防御方，可能需要更長時間來檢測和遏制泄露事件，成本也會隨之上升，且會高于已使用相關解決方案的組織。正如我們在整個行業中所觀察到的，網絡安全團隊普遍人手不足。本年度的研究發現，半數以上發生泄露的組織面臨嚴重的安全專員短缺，且這一技能缺口相較去年的百分比增幅達到了兩位數。隨著威脅態勢的蔓延，安全專業人員的短缺問題也變得日益嚴重。當組織中幾乎所有職能領域不斷競相采用生成式 AI，可以預見隨之而來的將是前所未有的風險，網絡安全團隊勢必將要承受更大壓力。本報告將呈現源于此項研究的

5、洞察和建議，旨在幫助讀者降低數據泄露可能引發的財務和聲譽損失。2024 年報告新增內容每年，我們都會不斷改進 數據泄露成本報告，以反映新的技術、新興策略和近期事件。今年的研究首次探討了：組織是否長期受運營中斷的困擾，例如無法處理銷售訂單、生產設施完全關停、客戶服務無法有效開展 泄露事件是否涉及存儲在未管理的數據源中的數據（也稱為“影子數據”）組織在安全措施運作的四個領域（預防、檢測、調查和響應）中，使用了多少 AI 和自動化技術 敲詐攻擊的性質如何，例如是否為敲詐加勒索軟件攻擊，還是僅為敲詐加數據滲漏 將數據、系統或服務恢復到泄露前狀態所需的時間 有義務報告泄露事件的組織，實際用了多長時間來報

6、告此類事件 遭受勒索軟件攻擊后，請執法部門介入的組織是否支付了贖金52024 年數據泄露成本報告|執行摘要重要結論本報告所述的主要結論，均基于 IBM 對波耐蒙研究所匯總的研究數據的分析。泄露的平均總成本一場數據泄露的平均成本從 2023 年的 445 萬美元上升至 488 萬美元，增幅達 10%，創下自新冠疫情以來的最高。造成此成本上升的原因包括：業務損失（其中包括運營停機和客戶流失）和泄露后響應成本（例如，配備客戶服務幫助臺人員和支付更高的監管罰款）。這些成本合計高達 280 萬美元，創下過去 6 年以來業務損失與泄露后活動合計金額的新高。預防環節廣泛運用 AI，實現成本節省三分之二的被調

7、查組織表示，正在其安全運營中心全面部署安全 AI 和自動化技術，這一比例比去年提升了 10%。在攻擊面管理(ASM)、紅隊測試和態勢管理等預防工作流中廣泛部署 AI 的組織，泄露成本比未能運用 AI 的組織平均減少了 220 萬美元。這是 2024 年報告中揭示的最大一項成本節省。網絡技能缺口擴大半數以上發生泄露的組織均面臨嚴重的網絡安全專員短缺問題。這一缺口比去年擴大了 26.2%，相當于泄露成本平均增加了 176 萬美元。雖然有五分之一的組織表示已使用某種形式的生成式 AI 安全工具（有望提高產出和效率從而縮小缺口），但此技能缺口仍是一項不小的挑戰。488 萬美元220 萬美元26.2%6

8、2024 年數據泄露成本報告|執行摘要292識別和遏制涉及憑據被盜泄露事件的所用天數在所有攻擊媒介中，憑據被盜或泄露事件的識別和遏制用時最長（292 天）。利用員工和員工訪問權限的類似攻擊，也需要很長時間才能解決。例如，網絡釣魚攻擊的平均持續天數為 261 天，社交工程攻擊的平均持續天數則為 257 天。46%涉及客戶個人數據的泄露事件的占比接近半數的泄露事件涉及客戶個人身份信息(PII)，其中包括稅務識別(ID)號、電子郵件地址、電話號碼和家庭住址。知識產權(IP)記錄則緊隨其后（43%的泄露事件涉及）。與去年相比，知識產權記錄的成本大幅增加，從去年報告中的每條記錄 156 美元上升到今年的

9、 173 美元。1/3涉及影子數據的泄露事件占比35%的泄露事件涉及影子數據，這表明數據的激增使跟蹤和保護數據變得更加困難。影子數據被竊取，相應地導致了漏洞成本增加 16%。研究人員發現，跨多種環境存儲數據是一種常見的策略，并占到泄露事件的 40%。這些泄露事件也需要更長的時間來識別和遏制。相比之下，僅存儲在一種環境中的數據發生泄露的頻率較低，且無論該環境是公有云(25%)、本地部署(20%)還是私有云(15%)。830,000 美元所有行業中最高的平均成本漲幅在所有行業中，工業部門的成本漲幅最高。與去年相比，每次泄露事件的成本平均增加了 830,000 美元。這一成本飆升的情況，或許表明工業

10、組織需要準備好加快響應速度，因為這一行業對運營停機極為敏感。盡管如此，工業組織識別數據泄露所用時間為 199 天，遏制用時則為 73 天，仍高于所有行業的平均水平。499 萬美元惡意內部人員攻擊的平均成本較之其他攻擊媒介，惡意內部人員攻擊造成的損失最高，平均達 499 萬美元。其他代價高昂的攻擊媒介則包括：商業電子郵件詐騙、網絡釣魚、社交工程，以及憑據被盜或泄露。生成式 AI 在制造某些網絡釣魚攻擊中可能起到了一定作用。例如，不會英語的人利用生成式 AI，能比以往更輕松地炮制出語法正確、令人信服的網絡釣魚消息。100 萬美元遭受勒索軟件攻擊時，請執法部門介入可節省成本遭受勒索軟件攻擊并請執法部

11、門介入的組織中，有三分之二避免了贖金支付。這些組織最終還將攻擊成本平均降低了近 100 萬美元（不包括支付贖金的成本）。此外，借助執法部門的介入，識別和遏制泄露事件所用時間也從 297 天縮短到了 281 天。72024 年數據泄露成本報告|執行摘要有助于降低數據泄露成本的幾項建議我們的建議包括成功的安全方法，這些方法可以幫助以更低的成本、更短的時間識別并遏制泄露事件。了解自身的信息環境大多數組織會將數據分布在多個環境中，其中包括本地數據存儲庫、私有云和公有云。然而，很多組織的數據存儲庫是不完整或過時的，這會使判斷哪些數據遭泄露及其敏感或機密級別的過程被延誤。此類延誤可能會導致應對措施復雜化，

12、并拉高泄露事件的成本。安全團隊應確保全面透視所有此類環境，以便在無論數據位于何處的情況下均可持續監控和保護數據。組織可在所有這些環境中應用數據安全狀況管理(DSPM)和其他解決方案（如身份和訪問管理 以及 ASM），以便提供一致且全面的保護。82024 年數據泄露成本報告|執行摘要采用生成式 AI，勿忘安全第一雖然各大組織正在快速推進生成式 AI，但眼下卻只有 24%的生成式 AI 計劃擁有相應的安全保障。安全措施不足，數據和數據模型暴露于泄露的風險之下，進而可能破壞生成式 AI 項目意在創造的優勢。隨著生成式 AI 采用范圍的不斷擴大，組織需要一個框架來保護生成式 AI 數據、模型及其使用，

13、并制定 AI 治理控制措施。為此，組織需防止其訓練數據被竊取和操縱，從而確保這些數據的安全。組織可使用數據發現和分類方法，檢測用于訓練或微調的敏感數據。此外，組織還可在加密、訪問權限管理和合規性監控的過程中，落實數據安全控制措施。對于生成式 AI，組織面臨的不僅是影子數據的增長及其風險，更涉及到影子模型。組織必須將態勢管理擴展到 AI 模型本身，保護敏感的 AI 訓練數據，同時洞悉未經批準的影子 AI 模型的使用情況，以及 AI 濫用或數據泄露的情況。為了確保生成式 AI 模型開發過程的安全，需掃描開發管道中的漏洞、加固集成，并嚴格實施策略和訪問權限。為了保證生成式 AI 模型的使用安全，安全

14、團隊需監控是否存在惡意輸入（如提示注入）以及包含敏感數據的輸出。此外，安全團隊還必須部署 AI 安全解決方案，以檢測和應對特定于 AI 的攻擊，例如數據投毒、模型規避和模型竊取。制定響應策略，以實現拒絕訪問，并隔離和斷開遭泄露的模型，也是至關重要的。安全團隊必須特別關注混合環境和公有云。40%的數據泄露涉及跨多個環境存儲的數據，而當泄露的數據存儲在公有云中時，導致的平均泄露成本最高（517 萬美元）。安全團隊必須更為深入地了解其所用每個云服務的具體風險和控制措施。由于未管理的數據造成的影響，跨環境管理數據變得更為復雜。超過三分之一的數據泄露事件涉及影子數據。如今，安全團隊必須假設其組織存在未管

15、理的數據源。而非加密數據（包括 AI 工作負載中的數據）則會進一步加劇此風險。數據加密策略必須考慮數據的類型、用途和存儲位置，以便在發生泄露事件時降低風險。運用 AI 和自動化，增強預防策略在整個組織中采用生成式 AI 模型和第三方應用程序，以及持續使用物聯網(IoT)設備和“軟件即服務”(SaaS)應用程序，均會擴大攻擊面，給安全團隊帶來壓力。將 AI 和自動化技術運用于支持安全預防策略（包括在 ASM、紅隊測試和態勢管理中），往往可以通過托管安全服務來實現。在本年度的研究中，將 AI 和自動化技術運用于安全預防領域的組織，相比其他三個安全領域（檢測、調查、響應），從其 AI 投資中受益最大

16、。相較于未在預防技術中部署 AI 的組織，有部署的組織平均節省了 222 萬美元。92024 年數據泄露成本報告|執行摘要進一步加強網絡安全響應培訓在泄露事件發生期間和之后，組織如何做出回應，以及如何與企業領導、監管機構和客戶進行溝通，其重要性已經達到了前所未有的高度。在本年度的研究中，平均泄露成本漲幅的 75%源于業務損失，其中包括停機、流失客戶和訂單，以及獲取新客戶的成本。此外，成本還包括泄露后的響應活動，例如設立客戶幫助臺、為受影響的客戶提供信用監控，以及繳納監管罰款。經驗教訓是：投資加強泄露后的響應能力，有助于降低數據泄露成本。組織必須建立技術響應能力，并以戰略規劃作為補充，從而消除業

17、務影響、保護客戶，并保持運營連續性。開展治理并提前決策，有助于管理人員預見重大業務中斷的處理方法，并精簡相關行動流程，以便在發生攻擊時使組織受益。為增強處理高影響力攻擊的能力，組織可參加網絡靶場危機模擬演習，形成針對泄露處置的肌肉記憶。此類演習可涵蓋安全團隊和業務領導者，讓整個組織均可提高檢測、遏制和應對泄露事件的能力。安全負責人應提前與組織的各個業務職能部門和溝通團隊開展合作，起草響應計劃并加以測試。在生成式 AI 和其他 IT 計劃導致威脅態勢不斷蔓延的情況下，有必要為非安全從業人員提供安全培訓。此類人員包括在機器學習與 AI 團隊中工作的數據科學家和數據工程師，以及負責在本地資產和云資產

18、中維護 AI 工作負載連續性的人員。組織通過投資于響應能力，可降低數據泄露所造成的成本高昂且極具破壞性的影響，為運營連續性提供支持，并幫助維護與客戶、合作伙伴和其他關鍵利益相關者的關系。此外，在攻擊的緊急階段，由胸有成竹的領導團隊開展處置、控制和溝通，實施經過演練的應對措施，可讓員工感到安心，同時減少組織內部的壓力、痛苦和摩擦。在生成式 AI 和其他 IT 計劃導致威脅態勢不斷蔓延的情況下，有必要為非安全從業人員提供安全培訓，其中包括在 AI 團隊中工作的數據科學家和數據工程師。102024 年數據泄露成本報告|執行摘要關于 IBM 和波耐蒙研究所(Ponemon Institute)IBM

19、IBM 是全球領先的混合云、AI 與商業服務提供商，致力于幫助超過 175 個國家和地區的客戶利用數據洞察、精簡業務流程、降低成本，并在行業內獲得競爭優勢。所有這一切都離不開 IBM 在信任、透明、責任、包容和服務方面始終如一的努力付出。有關更多信息，請訪問 加入 IBM Security 社區中的對話波耐蒙研究所(Ponemon Institute)波耐蒙研究所(Ponemon Institute)成立于 2002 年，致力于通過獨立的研究和教育活動，在企業和政府內部推進負責任的信息和隱私管理實踐。我們的宗旨是針對影響個人和組織相關敏感信息管理和安全的關鍵問題，開展高質量的實證研究。波耐蒙研

20、究所堅持嚴格的數據保密、隱私與道德研究標準，而不會向個人收集個人身份信息(PII)，也不會在商業研究中收集公司身份信息。此外，我們堅持履行嚴格的質量標準，絕不會向研究對象提出非必要、不相關或不恰當的問題。如果您對本研究報告存有任何疑問或意見（包括獲得引用或復制本報告的許可請求），請通過信函、電話 或電子郵件與我們聯系：Ponemon Institute LLC 研究部 1-800-887-3118 researchponemon.org Copyright IBM Corporation 2024國際商業機器（中國）有限公司了解更多信息，歡迎訪問我們的中文官網：https:/ Corporat

21、ionNew Orchard RoadArmonk,NY 10504美國出品2024 年 7 月IBM 和 IBM 徽標是 International Business Machines Corporation 在美國和/或其他國家或地區的商標或注冊商標。其他產品和服務名稱可能是 IBM 或其他公司的商標。IBM 商標的最新列表可參見 可能隨時對其進行更改。IBM 并不一定在開展業務的所有國家或地區提供所有產品或服務。本文檔內的信息“按現狀”提供，不附有任何種類的（無論是明示的還是默示的）保證，包括不附有關于適銷性、適用于某種特定用途的任何保證以及非侵權的任何保證或條件。IBM 產品根據其提供時所依據的協議條款和條件獲得保證。良好安全措施聲明：任何 IT 系統或產品都不應被視為完全安全，且任何單一產品、服務或安全措施均無法完全有效防止不正當的使用或訪問。IBM 不保證任何系統、產品或服務可免于或使您的企業免于受到任何一方惡意或非法行為的影響?？蛻糌撠煷_保對所有適用的法律和法規的合規性。IBM 不提供任何法律咨詢，也不聲明或保證其服務或產品確?？蛻糇裱魏畏苫蚍ㄒ?。