IBM 最新报告:安全漏洞成本飙升,但半数存在漏洞企业不愿增加安全投入 (ibm现况)
编辑:rootadmin
整理分享IBM 最新报告:安全漏洞成本飙升,但半数存在漏洞企业不愿增加安全投入 (ibm现况),希望有所帮助,仅作参考,欢迎阅读内容。
内容相关其他词:ibmcapital最新公告,ibm公司目前现状 2020年,ibm公司2019年的现状,ibm最新消息,ibm news,ibm目前状况怎么样,ibm 2021,ibm最新消息,内容如对您有帮助,希望把内容链接给更多的朋友!
报告发现,人工智能及自动化让数据泄露处理周期缩短了天;未寻求法律帮助的勒索软件受害者平均遭受万美元的额外损失;只有三分之一的企业能够自主检测到漏洞。IBMSecurity于7月日发布了其年度《数据泄露成本报告》(CostofaDataBreachReport),报告显示,全球数据泄露的平均成本达到万美元,创该报告有史以来以来最高记录,也较过去3年均值增长了%。同一时期内,检测安全漏洞和漏洞恶化带来的安全成本上升了%,占安全漏洞总成本的比值也来到史上最高,这也表明,企业应对漏洞的调查和处理正在变得更加复杂。该报告发现,面对不断增加的数据漏洞成本和发生频次,各企业的应对方式却大相径庭:虽然%的受访企业都经历过不止一次的数据泄露事件,但被泄露企业更有可能将安全事件的成本转嫁给消费者(%的企业这样做),而不是增加安全投资(仅有%的企业有此意愿)。《数据泄露成本报告》是对全球家企业组织自年3月至年3月期间经历的真实数据泄露事件的深入调研分析。该报告已连续发布年,IBMSecurity是该报告的赞助方及分析方,而调研工作则由致力于隐私、数据保护和信息安全政策的专业研究机构PonemonInstitute开展。这份年最新报告中的主要发现包括:人工智能加速威胁应对–人工智能和自动化对被调研组织的漏洞识别和遏制速度帮助最大。与研究中未部署这些技术的组织相比,广泛使用人工智能和自动化的组织的数据泄露处理周期会短上天(二者分别为天和天)。沉默意味着更高代价–研究中诉诸法律的勒索软件受害者与那些选择不求助法律的勒索软件受害者相比,平均能减少万美元的数据泄露成本。尽管求助法律能降低损失,但在被调研的勒索软件受害者中,有%并未求助执法部门。威胁检测存在鸿沟–在所有被研究的数据泄露中,只有三分之一是由被调研企业内部安全团队检测到的,而网络攻击者披露的数据泄露占比则为%。与企业自行发现数据泄露相比,攻击者发布数据泄露会造成平均万美元的额外损失。IBM全球安全服务部总经理ChrisMcCurdy表示:“就网络安全而言,无论对于防御者还是攻击者来说,时间都意味着金钱。正如报告所示,早期检测和快速响应可以显著降低安全漏洞的影响。相关安全团队必须重视对手的*锏并集中力量阻止对方攻击。在攻击者实现目标之前,企业需要抓紧对威胁检测和响应方法等进行投资,例如应用人工智能和自动化技术提高防御的速度和效率,这对于打破目前这种平衡状态至关重要。”每一秒都是代价根据年的报告,与未部署这些技术的组织相比,全面部署安全人工智能和自动化的被研究组织数据泄露周期平均缩短了天,并且相关安全事件的成本显著降低。事实上,广泛部署安全人工智能和自动化的被研究组织与未部署这些技术的组织相比,数据泄露成本平均降低了近万美元,这是报告中提到的最大的成本节约项。与此同时,现在攻击者们完成勒索软件攻击的平均时间又降低了。好消息是,由于近%的被研究组织尚未部署安全人工智能和自动化,因此,它们仍有相当大的机会通过这些技术手段来进一步提高检测和响应速度。别掉入勒索软件的“沉默”陷阱一些被研究组织在遭勒索软件攻击后仍不愿与执法部门接触,因为他们担心这只会使情况变得复杂。今年,IBM《数据泄露成本报告》首次深入研究了这个情况,并证明,结论与担忧的恰恰相反。无执法部门介入的情况下,被攻击组织的数据泄露生命周期比有执法组织介入的情况平均长天。而这种“沉默”意味着巨大的代价。研究表明,相比采取法律行动的勒索软件受害者,未采取法律行动的受害者平均要承受高出万美元的数据泄露成本。尽管执法部门不懈地寻求与勒索软件受害者协作,但%的受访者仍然选择避免让其介入。此外,据报道,近一半(%)的勒索软件受害者向攻击者支付了赎金。显然,各组织应该纠正这些关于勒索软件的误解,支付赎金并规避执法部门介入很可能只会增加安全事件成本并延迟响应速度。自有安全团队不易发现漏洞在威胁检测和响应方面,企业已经取得了一定的进展。根据IBM今年早些时候发布的《IBMSecurityX-Force威胁情报指数》,去年被各企业自身安全团队阻止的勒索软件攻击占总数的比例已经有所上升。然而,对手仍在不遗余力寻找防线的突破口。该报告发现,只有三分之一被研究组织遭受的攻击行为是由其自有安全团队或工具检测到的,而%是由攻击者们披露的,另有%是由执法部门等中立第三方披露的。自主发现漏洞的组织所承受的漏洞损失,比由攻击者披露所承受的损失低了近万美元(前者万美元,而后者达万美元)。与内部发现的漏洞相比,攻击者披露的漏洞的生命周期也延长了近天(分别为天与天)。早期检测可以节省大量成本和时间,这表明,依据这些策略进行投资从长远来看可以获得可观的回报。这份年最新报告中的其它重要发现还包括:跨环境泄露数据现象普遍–在被研究的数据泄露事件中,近%的数据泄露会导致跨多个数据环境(包括公共云、私有云和本地云)的数据丢失,这表明攻击者能够在避免被检测到的同时危害多个环境。研究发现,涉多个环境的数据泄露也会导致更高的泄露成本(平均万美元)。医卫相关泄露成本继续飙升–年,医疗保健领域数据泄露的平均成本将达到近万美元,自年以来这一数据上涨了%。根据《IBMSecurityX-Force威胁情报指数》,威胁行为实施者以医疗记录为杠杆,给受攻击组织带来了更大的支付赎金的压力。事实上,在所研究的所有行业中,客户*信息是最常被泄露的数据类型,也是成本最高的。DevSecOps的优势–对所有行业中具有高水平DevSecOps(开发、安全和运维)的企业组织进行研究发现,其数据泄露的全球平均成本比那些采用低水平或不使用DevSecOps方法的组织低了近万美元。关键基础设施相关泄露造成的损失超过万美元–与去年相比,被研究的关键基础设施相关组织的平均数据泄露成本上升了4.5%,从万美元增加到了万美元,比全球数据泄露平均成本高出万美元。相关链接:下载年《数据泄露成本报告》,请点击“阅读原文”访问: 
