2022 年数据泄露成本报告

2022年数据泄露成本报告 Contents 03执行摘要 042022年报告中的新内容05主要发现 08完成调查结果 09全球亮点 14数据泄露生命周期 17初始攻击向量 19关键成本因素 22安全AI和自动化 25XDR技术 27突发事件响应 29风险量化 30零信任 32勒索软件和破坏性攻击 47安全建议 49组织人口统计 50地理人口统计 51行业人口统计数据 52行业定义 53研究方法 54我们如何计算数据泄露的成本 55数据泄露常见问题 56研究限制 57关于PonemonInstitute和IBMSecurity 34供应链攻击58采取后续步骤 36关键基础设施 39云漏洞和云模型 44远程工作 45技能差距 46巨型违规 执行摘要 数据泄露成本报告为IT、风险管理和安全领导者提供了一个视角，了解可能增加或帮助缓解数据泄露成本上升的因素。 这项研究由PonemonInstitute独立开展，由IBMSecurity®赞助、分析和发布，研究了2021年3月至2022年3月期间受数据泄露影响的550个组织，这些数据泄露发生在17个国家和地区以及17个不同行业。 我们对来自受数据泄露影响的组织的个人进行了3600多次访谈。在访谈期间 ，我们询问了一些问题，以确定与数据泄露的即时和长期响应直接相关的不同活动给组织带来的成本。 与往年的报告一样，今年的数据提供了数十种因素如何影响数据泄露发生后不断增加的成本。此外，该报告还研究了数据泄露的根本原因，短期和长期后果，以及使公司能够限制损失的缓解因素和技术。 值得注意的是，这项研究首次展示了以下见解： 83% 研究组织的数据泄露不止一次。 60% 组织的违规行为导致转嫁给客户的价格上涨。 79% 关键基础设施组织没有部署零信任架构。 19% 违规行为的发生是因为商业伙伴的妥协。 45% 的漏洞是基于云的。 2022年报告中的新内容 在每年的版本中，我们的目标是在过去的研究的基础上，以跟上不断变化的技术和事件。我们还试图从人为的角度形成更相关的风险和策略，以保护数据和应对违规行为 智能（AI）零信任。本报告的2022年版涵盖了大多数公司在过去一年中专注于的一些技术，对以下价值进行了新的分析： –扩展检测和响应(XDR) –风险量化技术的使用 –有助于零信任安全框架的各种技术的影响，例如身份和访问管理 (IAM)和多因素身份验证(MFA) 此外，该报告更广泛地研究了导致更高的数据泄露成本的一些主要贡献者 。该报告首次关注了供应链妥协和安全技能差距的影响。 该报告研究了从云到关键基础设施的安全漏洞领域。我们比过去几年更深入地研究了勒索软件和破坏性攻击的影响。还研究了远程工作的现象，这种现象在COVID大流行的高峰之后仍然是许多组织的现实。 随着公司遇到更多的违规行为，成本不断攀升，本报告可以作为一种工具，帮助您的团队更好地管理风险并限制潜在损失。 报告分为以下五个主要部分： –执行摘要，包括关键发现和2022年版的新内容 –对完整调查结果进行深入分析，包括按地理区域和行业划分的违约成本 –IBM安全专家根据本报告的结果提出的安全建议 –组织和行业定义的人口统计 –这项研究的方法，包括如何计算成本 IBMSecurity和PonemonInstitute很高兴介绍2022年数据泄露成本报告的结果。 主要发现 这里描述的关键发现是基于PonemonInstitute对IBM安全研究数据的分析 。1 435万美元 数据泄露的平均总成本 83% 有多个漏洞的组织的百分比 USD482million 关键基础架构数据泄露的平均成本 USD305million 与完全部署的安全AI和自动化相关的平均成本节约 2022年数据泄露的成本达到历史最高水平，平均为435万美元。这个数字 比去年增加了2.6%，当时的平均成本为424万美元。平均成本从2020年 报告的386万美元上升了12.7%。 83％的研究组织经历了一次以上的数据泄露，只有17％的人表示这是他们的第一次数据泄露。60％的研究组织表示，由于数据泄露，他们提高了服务或产品的价格。 研究的关键基础设施组织的数据泄露平均成本为482万美元，比其他行业组织 的平均成本高出100万美元。关键基础设施组织包括金融服务，工业，技术，能源，运输，通信，医疗保健，教育和公共部门行业的组织。28％的人经历了破坏性或勒索软件攻击，而17％的人由于业务合作伙伴受到攻击而遭受了攻击。 在完全部署了安全AI和自动化的组织中，违规成本比违规成本低305 万美元 没有部署安全AI和自动化的组织。平均违规成本差异为65.2％-完全部署的315万美元与未部署的620万美元之间-代表了该研究中最大的成本节省。与没有安全AI和自动化的公司相比，拥有完全部署安全AI和自动化的公司平均识别和遏制漏洞的时间也缩短了74天，称为漏洞生命周期-249天和323天。安全AI和自动化的使用在两年内跃升了近五分之一，从2020年的59％上升到2022年的70％。 1.本报告中的成本金额以美元（美元）计量。 4.54万美元 勒索软件攻击的平均成本，不包括赎金本身的成本 19% 由被盗或泄露的凭证引起的违规频率 59% 不部署零信任的组织的百分比 100万美元 在远程工作是导致违规的一个因素的情况下，与在不是一个因素的情况下，成本的平均差异 45% 云中发生的漏洞的份额 研究中11％的漏洞是勒索软件攻击，比2021年有所增加，当时7.8％的漏洞是勒索软件，增长率为41％。勒索软件攻击的平均成本略有下降，从2021年的462万美元下降到 2022年为454万美元。这一成本略高于数据泄露的总体平均总成本435万美元 。 使用被盗或受损的凭证仍然是数据泄露的最常见原因。在2022年的研究中，被 盗或受损的凭证是19%的漏洞中的主要攻击媒介，也是2021年研究中的头号 攻击媒介，造成了20%的漏洞。由被盗或泄露的凭证造成的违约平均成本为 450万美元。这些漏洞的生命周期最长-识别漏洞243天，遏制漏洞84天。网络钓鱼是导致违约的第二大常见原因，占16%，也是最昂贵的，平均违约成本为491万美元。 在这项研究中，只有41%的组织表示他们部署了零信任安全架构。与那些 确实部署。在关键基础设施组织中，79%的比例甚至更高，不部署零信任。这些组织平均经历了540万美元的违约成本，比全球平均水平高出100万美元以上。 当远程工作是造成违规的一个因素时，成本平均比远程工作不是一个因素的违规高出近100万美元-499万美元与402万美元。与全球平均水平相比，远程工作相关的违规平均成本高出约60万美元。 研究中百分之四十五的漏洞发生在云中。然而，在混合云环境中发生的漏洞平均花费380万美元，而私有云中的漏洞为424万美元，公共云中的漏洞为502万美元。混合云漏洞和公共云漏洞之间的成本差异为27.6%。 与仅采用公共或私有云模型的组织相比，混合云模型的漏洞生命周期也更短。 266万美元 与事件响应(IR)团队和定期测试的IR计划相关的平均成本节省 29天 为使用扩展检测和响应(XDR)技术的用户节省响应时间 12年 连续几年，医疗保健行业的平均违规成本最高 944万美元 美国的平均违约成本是所有国家中最高的 研究中，近四分之三的组织表示他们有IR计划，而63%的组织表示他们定期测试该计划。拥有IR团队和定期测试的IR计划可以节省大量成本。拥有IR团队测试其IR计划的企业平均比没有IR团队且不测试IR计划的组织低266万美元的违规成本。326万美元与592万美元的差额代表了58%的成本节约。 44%的组织实施了XDR技术。那些使用XDR技术的组织在响应时间上看到了相当大的优势。那些部署了XDR的组织将漏洞生命周期缩短了大约一个月。 平均而言，与未实施XDR的组织相比。具体来说，与未部署XDR的 304天相比，组织花费了275天的时间来识别和包含漏洞。这个数字代表 了10%的响应时间差异。 医疗违规成本创历史新高医疗保健的平均违约率增加了近100万美元，达到 1010万美元。医疗违规成本连续12年成为最昂贵的行业，自2020年报告以 来增长了41.6%。金融机构的成本第二高，平均为597万美元，其次是药品 ，为501万美元，技术为497万美元，能源为472万美元。 数据泄露平均成本最高的前五个国家和地区是美国944万美元，中东746万美 元，加拿大564万美元，英国505万美元，德国485万美元。美国已经连续 12年领先。与此同时，去年增长速度最快的国家是巴西，从108万美元增长 到27.8%。 138万美元。 完成调查结果 在本节中，我们以16个主题提供了本报告的详细调查结果。主题按以下顺序介绍： –全球亮点 –数据泄露生命周期 –初始攻击向量 –关键成本因素 –安全AI和自动化 –XDR技术 –突发事件响应 –风险量化 –零信任 –勒索软件和破坏性攻击 –供应链攻击 –关键基础设施 –云漏洞和云模型 –远程工作 –技能差距 –巨型违规 435万美元 数据泄露的全球平均总成本 全球亮点 《数据泄露成本报告》是一份全球报告，包含来自17个国家和地区以及17个行业的数据。在本节中，我们将在全球平均水平下查看几个关键指标，以及国家之间和行业之间的比较成本。 图1：数据泄露的平均成本在2022年达到历史新高。 数据泄露的全球平均总成本在2022年增加了11万美元，达到435万美元，是本报告历史上的最高水平。 2021年报告中的百万美元与2022年报告中的435万美元相比增长了2.6 ％。在过去两年中，平均总成本比2020年报告中的386万美元增长了 12.7％。 图2：数据泄露的每条记录成本创七年来新高。 2022年数据泄露的全球每条记录成本为 164美元，比2021年的161美元增加1.9%。比2020年的146美元增加 12.3%。本研究调查了2,200至102,000条记录之间的违规。使用每条记 录成本来计算超过102,000条记录的单个或多个违规成本与本研究不一致。有关更多信息，请参阅“研究方法”部分。 数据泄露的平均总成本 $4.50 $4.30 $4.35 $4.24 $4.10 $3.90 $3.70 $4.00 $3.92 $3.86 $3.86 $3.50 $3.30 $3.10 $2.90 $2.70 $2.50 $3.62 2016201720182019202020212022 图1：以百万美元为单位 数据泄露的平均每条记录成本 $170 $165 $160 $155 $150 $145 $140 $135 $130 $125 $120 $164 $161 $158 $148 $150 $146 $141 2016201720182019202020212022 图2：以美元衡量 按国家或地区划分的数据泄露平均成本 #15 #3 加拿大 2022$5.64 2021$5.40 #1 UnitedKingdom 2022$5.05 #7 2021$4.67 斯堪的纳维亚 #4 2022$2.08 2021$2.67 #17 土耳其 #9 韩国 #6 2022$3.57 2021$3.68 法国 2022$4.34 2021$4.57 Germany2022$4.85 2021$4.89 2022$1.11 #5 #14 2021$1.91 2022$2.32 2021$2.21 #2 印度 Japan2022$4.57 2021$4.69 美国 2022$9.44 2021$9.05 #13 拉丁美洲 2022$2.80 2021$2.56 #16 巴西 2022$1.38 2021$1.08 #8 意大利 2022$3.74 2021$3.61 #10 南非 2022$3.3