在充满变化和不确定的世界里，有些事情总是年复一年地进行着。这已经是第15份数据泄露成本报告了，由Ponemon研究所进行研究，IBM Security机构发布。通过提供安全事件可能对组织造成的财务影响的详细视图、历史数据揭示了数据泄露的原因和未来趋势。 今年的研究分析了2019年8月至2020年4月之间524个数据泄露事件，涉及17个地区和17个行业的各种规模的组织机构。2020年数据泄露成本报告似乎和以前一样，没有很大的起伏，包括全球数据泄露总成本，2020年平均为386万美元，比2019年研究下降约1.5％，但基本与往年持平。2020年研究中发现并修复数据泄露的平均时间为280天，几乎与2019年的平均279天相同。 然而，2020年也是不平凡的一年。许多组织因为新冠疫情已转向远程工作模式。根据《 2020年数据泄露成本报告》中的调查结果，组织转移到远程工作的受访者中有76％希望在家工作可能会增加数据泄露发现和修复的时间。此外，70％的受访者预计远程工作可能会增加数据泄露的成本。 这项报告真正的价值不仅仅是提供一个成本数据，更多的是了解影响成本的因素，这对于企业来说，是更有参考价值的，企业可以根据这些做出调整。 每年Ponemon 研究所都要求参与组织估算数百种影响数据泄露的成本，这些因素从业务损失到检测和响应活动，再到通知活动等等。为了适应不断变化的业务需求、新技术和新威胁，今年这份报告探讨了以前尚未涉及的因素，包括各种类型的威胁、组织因素和安全措施。 今年，该研究增加了对漏洞测试和红队测试的成本影响的分析，该分析使用对抗性方法进行渗透测试。与平均总成本386万美元相比，进行红队测试的组织表示其平均成本降低了约24.3万美元，而进行漏洞测试的组织表示，其平均成本比全球平均水平低约17.3万美元。 这项研究首次探讨了远程工作的成本影响和安全技能短缺这两项影响因素，这两个因素会增加成本。远程工作的组织涉及的成本比全球平均数386万美元高出近13.7万美元，而由于安全技能短缺，成本平均增加了25.7万美元。 报告的五项关键发现 这是2020年数据泄露成本报告中的五个重要发现，包括一些新的研究领域。 1.安全自动化和事件响应准备可有效降低成本 人们发现通过使用自动化程序尽快发现数据泄露行为，并培养好事件响应（IR）团队来修复数据泄露事件，可以大大降低数据泄露的财务损失。 在2020年的研究中，部署安全自动化技术（例如人工智能、机器学习、分析和自动化业务流程）的组织的数据泄露平均成本远远低于尚未部署这些技术的组织。实际上，在完全部署了安全自动化的组织中，一次泄露事件的平均成本为245万美元，而在没有安全自动化的组织中，平均成本为603万美元，相差358万美元。 同时，拥有IR团队并通过模拟数据泄露事件定期测试的组织的平均数据泄露成本为329万美元，而没有IR团队或未进行IR测试的组织的平均数据泄露成本为529万美元，相差200 万美元。 2.客户PII 成本高于其他记录类型 该报告首次根据数据记录类型深入分析了数据泄露事件的每条记录成本。客户个人身份信息（PII）是最昂贵的记录类型，每条丢失或被盗记录的平均成本为150美元，而知识产权的每条记录成本为147美元，匿名客户记录为143美元，员工PII为141美元 。客户PII是最经常泄露的数据类型，在80％的事件中均存在。 3.凭据受损和云配置错误是最大的攻击媒介 在2020年的研究中，恶意攻击造成了52％的数据泄露事件，比2019年的51％略有增加。2020年报告首次更深入地探讨了恶意攻击的类型，分析了九次初始攻击的成本和频率攻击媒介。最常见的初始攻击媒介包括凭据受损（占恶意破坏的19％），云配置错误（占19％）和第三方软件中的漏洞（占16％）。这三个攻击媒介也是成本代价最高的，由于凭证受损造成的平均损失为477万美元，第三方软件的漏洞平均为453万美元，云配置错误的平均损失为441万美元。 4.勒索软件和破坏性攻击的费用要比普通漏洞高 并非所有的数据泄露都涉及数据的盗窃或泄漏，有时记录被损坏或被劫持索要赎金。该报告首次分析了涉及恶意软件和勒索软件的成本。恶意软件平均成本为452万美元，勒索软件平均成本为444万美元。恶意攻击的平均总费用为427万美元。 5.国家间谍攻击比较少见，但是成本最高 2020年报告首次根据威胁参与者的主体类型或者说攻击者的动机进行了分析。最常见的是出于经济动机的攻击者（占恶意破坏的53％），而国家间谍攻击者（占13％）和黑客攻击者（占13％）占比较小。尽管不太常见，但由国家资助的攻击行为（443万美元）和黑客攻击行为（428万美元）的平均违规成本要高于出于经济动机的攻击行为（423万美元）。 具体报告参见：2020数据泄露成本报告     （稿件与封面来源：FreeBuf。）

据外媒ZDNet报道，在过去的一年里，“超大型”数据泄露事件的平均成本呈天文数字增长，受到此类安全事件影响的企业预计将支付高达3.92亿美元的费用。现在，数据泄露已经屡见不鲜，针对公司发起的网络攻击催生了一个新的网络保险行业，出现了针对未能保护数据的公司的监管和集体诉讼，以及新的法律–比如欧盟的GDPR–可以用来对安全性松懈的数据控制者进行重罚。 然而，数据泄露事件不断发生，其中一些导致消费者记录被盗，在地下论坛上出售，身份被盗风险增加。为了应对数据泄露的后果，企业可能需要花费资金修复系统和升级架构，可能需要投资新的网络安全服务和网络取证，还可能面临法律诉讼或监管部门的处罚–如果涉及客户PII，成本还在逐年增加。 周三，IBM发布了年度《数据泄露成本报告》，报告称，现在平均数据泄露成本为386万美元。虽然这一平均值与2019年相比下降了1.5%，但当涉及超过5000万条消费者记录时，这些 “超大型 “数据泄露事件的补救成本可能高达3.92亿美元，高于2019年的3.88亿美元。 如果一个组织担任4000万至5000万条记录的数据控制者，平均成本为3.64亿美元，组织可能会面临每条涉及数据被盗或泄露的消费者记录高达175美元的成本。这项研究由Ponemon研究所进行，包括对在过去一年中经历过数据泄露的公司工作的3200多名安全专业人士的采访。 正如最近的Twitter黑客事件所强调的那样，被泄露的员工和内部账户是当今数据泄露中最昂贵的因素之一，使数据泄露的平均成本高达477万美元。当涉及内部账户时，80%的事件导致客户记录暴露。总的来说，被盗或泄露的账户凭证–与云端错误配置一起–占安全事件的近40%。 IBM表示，在五分之一的数据泄露事件中，被泄露的账户凭证被用作攻击者的入口，导致仅在2019年就有超过85亿条记录曝光。云端错误配置占网络漏洞的比例接近20%。利用第三方漏洞，如企业软件中的零日或未修补的安全漏洞，也是造成数据泄露的一个昂贵因素。一个企业公司如果因这类漏洞而遭受数据泄露，预计最高可获赔450万美元。 国家赞助的攻击，包括高级持续性威胁（APT）组织进行的攻击，远没有那么常见，只占企业公司报告的整体数据泄露事件的13%。然而，当这些威胁行为者参与其中时，他们所造成的损失往往会导致更高的恢复成本，平均代表着443万美元。 如果企业已经购买了网络保险，则可以平均减少20万美元的损失费，保险赔付的大部分用于法律服务和咨询费。 在报告内，IBM将人工智能、机器学习和自动机作为应对数据泄露的宝贵工具，可能会将事件响应时间缩短27%。 “当企业正在加速扩大其数字足迹，安全行业的人才短缺问题持续存在的时候，团队正在不堪重负地保护更多的设备、系统和数据。”IBM X-Force Threat Intelligence副总裁Wendi Whitmore评论道。“当涉及到企业减轻数据泄露影响的能力时，我们开始看到已经投资于自动化技术的公司所拥有的明显优势。”     （稿源：cnBeta，封面源自网络。）