IBM 和波耐蒙研究所发布的 2024 年度《数据泄露成本报告》为 IT、风险管理与安全领导者提供及时、可量化的证据,以便指导他们制定战略决策。报告也有助于读者更好地管理风险状况和安全措施投资。本年度的报告为该系列的第 19 份报告,其中反映了技术变革带来的各种变化,例如影子数据(即驻留在未管理的数据源中的数据)的兴起,以及数据泄露所造成业务中断的范围和成本。
首先,一场数据泄露的全球平均成本较去年增长了 10%,达到 488 万美元,为新冠疫情以来的最大增幅。业务中断以及泄露后的客户支持与修复,是导致此成本飙升的主要因素。当被问及如何应对这些成本时,半数以上的组织表示会转嫁给客户。由于通胀导致的定价压力,市场竞争本已十分激烈,再让客户吸纳这些成本,很可能会引发问题。
其次,研究人员还发现,对于攻防双方的防御一方而言,将 AI 和自动化运用于安全领域,已经产生回报,且在一些实例中将泄露成本平均降低了 220 万美元。借助 AI 与自动化解决方案,可以缩短从识别到遏制泄露事件及其损害的整个过程所需时间。换言之,缺乏 AI 与自动化加持的防御方,可能需要更长时间来检测和遏制泄露事件,成本也会随之上升,且会高于已使用相关解决方案的组织。
正如我们在整个行业中所观察到的,网络安全团队普遍人手不足。半数以上发生泄露的组织面临严重的安全专员短缺,且这一技能缺口相较去年的百分比增幅达到了两位数。随着威胁态势的蔓延,安全专业人员的短缺问题也变得日益严重。当组织中几乎所有职能领域不断竞相采用生成式 AI,可以预见随之而来的将是前所未有的风险,网络安全团队势必将要承受更大压力。
以下重要结论:
- 泄露的平均总成本
一场数据泄露的平均成本从 2023 年的 445 万美元上升至 488 万美元,增幅达 10%,创下自新冠疫情以来的最高。造成此成本上升的原因包括:业务损失(其中包括运营停机和客户流失)和泄露后响应成 本(例如,配备客户服务帮助台人员和支付更高的监管罚款)。这些成本合计高达 280 万美元,创下过去 6 年以来业务损失与泄露后活动合计金额的新高。
- 预防环节广泛运用 AI,实现成本节省
三分之二的被调查组织表示,正在其安全运营中心全面部署安全 AI和自动化技术,这一比例比去年提升了 10%。在攻击面管理 (ASM)、红队测试和态势管理等预防工作流中广泛部署 AI 的组织,泄露成本比未能运用 AI 的组织平均减少了 220 万美元。这是 2024 年报告中揭示的最大一项成本节省。
- 网络技能缺口扩大
半数以上发生泄露的组织均面临严重的网络安全专员短缺问题。这一缺口比去年扩大了 26.2%,相当于泄露成本平均增加了 176 万美元。虽然有五分之一的组织表示已使用某种形式的生成式 AI 安全工具(有望提高产出和效率从而缩小缺口),但此技能缺口仍是一项不小的挑战。
我们的建议包括成功的安全方法,这些方法可以帮助以更低的成本、更短的时间识别并遏制泄露事件。在生成式 AI 和其他 IT 计划导致威胁态势不断蔓延的情况下,有必要为非安全从业人员提供安全培训,其中包括在 AI 团队中工作的数据科学家和数据工程师。
1. 了解自身的信息环境
大多数组织会将数据分布在多个环境中,其中包括本地数据存储库、私有云和公有云。然而,很多组织的数据存储库是不完整或过时的,这会使判断哪些数据遭泄露及其敏感或机密级别的过程被延误。此类延误可能会导致应对措施复杂化,并拉高泄露事件的成本。
安全团队应确保全面透视所有此类环境,以便在无论数据位于何处的情况下均可持续监控和保护数据。组织可在所有这些环境中应用数据安全状况管理 (DSPM) 和其他解决方案(如身份和访问管理以及 ASM),以便提供一致且全面的保护。
安全团队必须特别关注混合环境和公有云。40% 的数据泄露涉及跨多个环境存储的数据,而当泄露的数据存储在公有云中时,导致的平均泄露成本最高(517 万美元)。安全团队必须更为深入地了解其所用每个云服务的具体风险和控制措施。
由于未管理的数据造成的影响,跨环境管理数据变得更为复杂。超过三分之一的数据泄露事件涉及影子数据。如今,安全团队必须假设其组织存在未管理的数据源。而非加密数据(包括 AI 工作负载中的数据)则会进一步加剧此风险。数据加密策略必须考虑数据的类型、用途和存储位置,以便在发生泄露事件时降低风险。
2. 运用 AI 和自动化,增强预防策略
在整个组织中采用生成式 AI 模型和第三方应用程序,以及持续使用物联网 (IoT) 设备和“软件即服务”(SaaS) 应用程序,均会扩大攻击面,给安全团队带来压力。
将 AI 和自动化技术运用于支持安全预防策略(包括在 ASM、红队测试和态势管理中),往往可以通过托管安全服务来实现。在本年度的研究中,将 AI 和自动化技术运用于安全预防领域的组织,相比其他三个安全领域(检测、调查、响应),从其 AI 投资中受益最大。相较于未在预防技术中部署 AI 的组织,有部署的组织平均节省了 222 万美元。
3. 采用生成式 AI,勿忘安全第一
虽然各大组织正在快速推进生成式 AI,但眼下却只有 24% 的生成式 AI 计划拥有相应的安全保障。安全措施不足,数据和数据模型暴露于泄露的风险之下,进而可能破坏生成式 AI 项目意在创造的优势。
随着生成式 AI 采用范围的不断扩大,组织需要一个框架来保护生成 式 AI 数据、模型及其使用,并制定 AI 治理控制措施。为此,组织需防止其训练数据被窃取和操纵,从而确保这些数据的安全。组织可使用数据发现和分类方法,检测用于训练或微调的敏感数据。此外,组织还可在加密、访问权限管理和合规性监控的过程中,落实数据安全控制措施。
对于生成式 AI,组织面临的不仅是影子数据的增长及其风险,更涉及到影子模型。组织必须将态势管理扩展到 AI 模型本身,保护敏感的 AI 训练数据,同时洞悉未经批准的影子 AI 模型的使用情况,以及 AI 滥用或数据泄露的情况。
为了确保生成式 AI 模型开发过程的安全,需扫描开发管道中的漏洞、加固集成,并严格实施策略和访问权限。为了保证生成式 AI 模型的使用安全,安全团队需监控是否存在恶意输入(如提示注入)以及包含敏感数据的输出。此外,安全团队还必须部署 AI 安全解决方案,以检测和应对特定于 AI 的攻击,例如数据投毒、模型规避和模型窃 取。制定响应策略,以实现拒绝访问,并隔离和断开遭泄露的模型,也是至关重要的。
4. 进一步加强网络安全响应培训
在泄露事件发生期间和之后,组织如何做出回应,以及如何与企业领导、监管机构和客户进行沟通,其重要性已经达到了前所未有的高 度。在本年度的研究中,平均泄露成本涨幅的 75% 源于业务损失,其中包括停机、流失客户和订单,以及获取新客户的成本。此外,成本还包括泄露后的响应活动,例如设立客户帮助台、为受影响的客户提供信用监控,以及缴纳监管罚款。经验教训是:投资加强泄露后的响应能力,有助于降低数据泄露成本。
组织必须建立技术响应能力,并以战略规划作为补充,从而消除业务影响、保护客户,并保持运营连续性。开展治理并提前决策,有助于管理人员预见重大业务中断的处理方法,并精简相关行动流程,以便在发生攻击时使组织受益。
为增强处理高影响力攻击的能力,组织可参加网络靶场危机模拟演习,形成针对泄露处置的肌肉记忆。此类演习可涵盖安全团队和业务领导者,让整个组织均可提高检测、遏制和应对泄露事件的能力。安全负责人应提前与组织的各个业务职能部门和沟通团队开展合作,起草响应计划并加以测试。在生成式 AI 和其他 IT 计划导致威胁态势不断蔓延的情况下,有必要为非安全从业人员提供安全培训。此类人员包括在机器学习与 AI 团队中工作的数据科学家和数据工程师,以及负责在本地资产和云资产中维护 AI 工作负载连续性的人员。
组织通过投资于响应能力,可降低数据泄露所造成的成本高昂且极具破坏性的影响,为运营连续性提供支持,并帮助维护与客户、合作伙伴和其他关键利益相关者的关系。此外,在攻击的紧急阶段,由胸有成竹的领导团队开展处置、控制和沟通,实施经过演练的应对措施,可让员工感到安心,同时减少组织内部的压力、痛苦和摩擦。
本文摘编自 IBM 发布的《数据泄露成本报告 2024》。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索数据泄漏等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。