17%的组织云安全实践几乎为零

关于数据泄露成本的说明

关于该报告提及的数据泄露成本，指的是从安全事件发生，到应急响应结束，组织业务系统完全恢复，前、中、后所产生的所有支出，如事件的调查费用，聘请安全专家的费用，采用安全产品或服务的费用，组织的危机管理费用，以及业务停摆损失及声誉损失，相应的法律合规损失，与组织为客户提供的缓解举措成本等等。该报告强调，参与调研的事件当中不包含特大违规行为，即超过 100 万条数据泄露事件，因为大型违规事件的平均成本通常在数千万到数亿美元之间。

数据泄露成本达到历史新高

报告表示，2022 年，总体而言的数据泄露成本达到历史新高，平均为 435 万美元，该数字相比去年增加了 2.6%，2021 年数据泄露成本为 424 万美元。而相比 2020 年的 386 万美元，2022 年的数据泄露成本增长了 12.7%。

在关键基础设施一侧，数据泄露的平均成本则为 482 万美元，比其他行业组织的平均成本高 100 美元。关基行业包括金融服务、工业、技术、能源、交通、通信、医疗、教育和公共部门，本次调研显示，28% 的关基单位在过去一年遭受过勒索软件攻击。

在此次参与调研的机构当中，11% 的数据泄露事件因勒索攻击造成，相比 2021 年的 7.8% 有所增加。数据显示，勒索软件攻击的平均成本略有下降，从 2021 年的 462 万美元降到了 2022 年的 454 万美元（不包含支付赎金的成本），但这一成本仍然高于数据泄露的总体平均成本。数据泄露的主要原因被归咎于凭证泄露，它造成了总体的 20% 的数据泄露。网络钓鱼是第二常见的原因，占了 16%。

在过去一年，近一半的数据泄露发生在云上，报告指出这一比例占据了 45%。其中混合云的数据泄露成本为 380 万美元，私有云则为 424 万美元，公有云则为 502 万美元。在云端安全实践方面，26% 的组织说他们处于云安全实践的早期阶段，34% 的组织处于中期阶段，只有 23% 的组织处处成熟阶段。另外，还有 17% 的组织云安全实践几乎为零。

此前国内网络安全上市企业山石网科发布《数据安全治理白皮书》也曾指出，在云计算环境下，数据安全流动问题凸出，面临黑客攻击、数据泄露、数据滥用、操作失误等内外部风险，数据安全已成为云上安全的防护重点。其白皮书指出，针对云计算环境的数据安全解决方案，则需要深度融入云环境和大数据环境当中，安全设备的堆砌无法彻底解决数据安全问题带来的投资和运维复杂问题。

令人遗憾的一份数据显示，参与调研的 550 个组织当中，83% 的组织表示他们不止经历一次数据泄露事件，报告分析，安全团队正面临着空前的压力，在疫情造成的远程工作的普遍存在当下，全球的数据泄露事件可能还会持续攀升。另外一份数据更加耐人寻味，参与调研的 60% 的企业表示他们因为数据泄露的发生，提升了他们的产品和服务的价格。

医疗机构仍连续 12 年保持数据泄露成本最高

该报告指出，在各行业当中，医疗机构仍然是数据泄漏成本最高的行业，且这一趋势已保持了 12 年之久，他们的平均数据泄露成本又高出 100 万美元。而美国是数据泄露成本全球最高的国家，其平均数据泄露成本为 944 万美元，在美医疗机构的数据泄露成本则高达 1010 万美元。金融机构的数据泄露成本紧随其后。之所以其数据泄露成本更高，主要是它们均是受到严格监管的行业，而这些行业通常表现为泄露后的几年内产生来自法律方面的成本。

全球不同地区存在差异

在全球范围，数据泄露平均成本最高的前五个国家和地区分别是：美国 944 万美元、中东 746 万美元、加拿大 564 万美元、英国 505 万美元和德国 485 万美元。增速最快的国家是巴西，从 108 万美元增长到了 138 万美元。

关于数据泄露生命周期

在数据泄露生命周期方面，组织一侧识别和控制数据泄露的平均时间从 2021 年的 287 天降至 277 天，这意味着，如果数据泄露发现在当年的 1 月 1 日，那么组织需要在 10 月 4 日才能确定和遏制数据泄露。报告说该水平为过去几年里的平均水平，这也代表着组织对发现和应急处理数据泄露的水平高低。报告进一步表示，数据泄露生命周期如果超过 200 天，其数据泄露成本为 486 万美元，低于 200 天的话，则会降至 374 万美元。

安全基线对数据泄露成本的影响

报告关注了具有安全建设基线的数据泄露成本，为此他们引用了两个数据来说明问题，一个是在没有部署安全 AI 和自动化相关产品的组织在数据泄露的成本方面是 620 万美元，有部署的数据泄露成本则为 315 万美元，这显示了安全支出的重要性。报告还指出，在部署安全 AI 和自动化的前提下，漏洞生命周期的影响时间平均缩短了 74 天，他们的分别影响时间是 249 天和 323 天。

报告还分析了组织在其它安全工具加持下，对于数据泄露成本方面的影响。比如拥有 XDR 技术的组织就比没有 XDR 组织在发现和控制漏洞的速度快 29 天，且可解约 40 万美元成本。部署零信任的组织平均节约近 100 万美元数据泄露成本，在受访组织当中，41% 的组织表示他们已经部署了零信任安全架构。

数据安全产业保持增长态势

中国信通院此前发布的《数据安全技术与产业发展研究报告（2021 年）》关注了 IBM 在数据安全领域内的发展情况，该报告指出，伴随数字技术不断发展，人工智能、大数据、云计算等新技术不断成熟落地，IBM 等国外头部厂商充分利用人工智能待技术在算法优化、数据处理、漏洞分析、响应速度待方面的优势，研发并推出了 “人工智能 + 数据安全” 等数据安全解决新方案，以期更加高效和快速响应，解决数据安全风险。

信通院报告在观察国内数据安全产业发展时则表示，数字经济飞速发展的同时，数据泄露、滥用事件层出不穷。近几年数据安全法律法规、监管政策不断出台，企业数据安全防护、监测、监管、隐私保护等需求逐步显现，推动数据安全产品和服务快速发展。从国内上市网络安全企业奇安信、中孚信息、天融信财报来看，其数据安全产品均已成为公司主要盈利产品。信通院报告认为，数据安全市场规模不断扩大，未来 3 到 5 年内将继续保持调整增长态势。

观察发现，尽管国内关于企业不履行合规义务造成网络安全、数据泄露事件的处罚力度不断加大，但与欧美发达国家相比，监管手段方面仍需要不断完善，如某安全公司高管在接受安全 419 采访时表示，我国尚未实行网络安全披露制度，这就会造成绝大多数企业瞒报安全事件、数据泄露事件，这对企业自身与安全产业的发展均无益处。

————————————————
原文作者：安全419
转自链接：https://www.wangan.com/p/7fy78y100e474c76