IBM 发布《2024年数据泄露成本报告》：企业数据泄露成本创新高，AI和自动化成为“数据保卫战“突破口

近日，IBM（纽约证券交易所：IBM）发布了2024年《数据泄露成本报告》（Cost of a Data Breach Report）。报告显示，全球数据泄露事件的平均成本在今年达到488万美元，而随着其破坏性越来越大，组织对网络安全团队的要求也进一步提高。与上一年相比，数据泄露带来的成本增加了10%，是自2020年来增幅最大的一年；70%的受访企业表示，数据泄露造成了重大或非常重大的损失。

数据泄露导致的业务损失以及事后的客户和第三方响应成本，推动了成本的同比增加，这显示其"附加伤害"已日益加剧：不仅导致企业成本上升，还扩大了副作用的影响面；即使在少数（12%）从数据泄露完全恢复的企业中，大多数企业的恢复时间都超过 100 天。

《2024 年数据泄露成本报告》对全球 604 家机构在 2023 年 3 月至 2024 年 2 月期间的真实数据泄露事件展开了深入分析。这项由 Ponemon Institute 开展、IBM 支持并执行分析的研究报告已连续发布19年，对六千多个组织的数据泄露事件进行了研究，已成为网络安全领域的重要行业指标。

上述报告的主要洞察包括：

企业的安全团队人员配备不足。与前一年相比，更多企业面临严重的安全专家短缺问题（增加了26%）；与那些安全团队水平较低或不存在安全人员短缺问题的组织相比，这些组织的平均数据泄露成本要多出 176 万美元。人工智能驱动的预防工作取得成效。三分之二的受访企业正在其安全运营中心（SOC）中部署安全人工智能（AI）和自动化技术。当企业在预防阶段广泛使用AI和自动化工具，其平均数据泄露成本与未使用这些技术的组织相比要少 220 万美元，这也是 2024 年报告中披露的最大成本节约。数据可见性问题亟待改善。40% 的数据泄露事件涉及混合环境中存储的数据，包括公有云、私有云和本地部署。这些数据泄露事件的平均成本超过 500 万美元，识别事件并遏制发展所需的时间也最长（283 天）。

IBM Security 战略与产品设计部副总裁Kevin Skapinetz 表示："很多企业陷入了数据泄露、遏制发展和应对后果的持续循环中。现在，企业一方面投资加强安全防御，另一方面将数据泄露的损失转嫁给消费者，从而使安全成为新的经营成本。随着生成式人工智能迅速渗透企业，攻击面不断扩大，这一循环很快就会难以为继，迫使企业重新评估安全措施和应对策略。要想保持竞争优势，企业应该投资于新的人工智能驱动的防御系统，并培养必要技能，应对生成式人工智能带来的新风险和新机遇。"

安全人员短缺导致数据泄露成本上升

2023年，一半以上的受访企业存在严重或高级别的安全人员短缺问题，导致数据泄露成本大幅增加：对于存在高级安全人员短缺问题的企业，数据泄露成本为 574 万美元；而对于存在低级别人员短缺问题或不存在人员短缺问题的企业，数据泄露成本则为 398 万美元。目前，企业正在争先恐后地采用生成式人工智能 (Gen AI) 技术，预计这将给安全团队带来新的风险。事实上，根据IBM 商业价值研究院的一项调查显示，51% 的受访企业领导者担心生成式AI带来不可预测的风险和新的安全漏洞，47% 的受访者则担心会出现针对AI的新型攻击。

与去年（51%）相比，更多企业（63%）计划增加安全预算，而随着安全技能培训成为投资重点，预计安全人员短缺问题在短期内可得到缓解。受访企业还计划投资于事件响应规划和测试、威胁检测和响应技术（如 SIEM、SOAR 和 EDR）、身份和访问管理以及数据安全保护工具。

借助人工智能跑赢时间

67% 的受访企业已经部署了AI和自动化驱动的安全工具，这一比例较上一年增加了近 10%；20% 的企业已经使用了某种形式的生成式AI安全工具。平均而言，广泛采用安全AI和自动化技术的企业，发现和遏制数据泄露事件的时间比未使用这些技术的企业快 98 天。同时，全球的平均数据泄露生命周期从上一年的 277 天减少到 258 天，创下7 年来的新低，这表明AI和自动化技术有助于加速威胁缓解和补救，为防御者争取更多时间。

数据泄露生命周期的缩短也得益于内部检测的增加：42%的数据泄露事件是由企业自己的安全团队或工具检测到的，这一比例在上一年仅为33%。与攻击者披露入侵活动相比，内部检测将数据泄露生命周期缩短了 61 天，为企业节省了近 100 万美元的成本。

数据安全漏洞助长知识产权盗窃

《2024年数据泄露成本报告》显示，40% 的数据泄露事件涉及在多个环境中存储的数据，超过三分之一的数据泄露事件涉及影子数据（即存储在非管理数据源中的数据），这凸显了跟踪和保护数据面临的严峻挑战。

这些数据可见性的差距导致针对知识产权（IP）的盗窃行为急剧上升 (27%)，其相关成本比上一年增加近 11%，达到每条记录 173 美元。随着生成式AI逐渐渗透到混合环境中的数据和其他高度专有的数据，知识产权可能会变得更容易获取。而随着关键数据在各种环境中的使用日益增多，企业需要重新评估围绕这些数据的安全和访问控制措施。

《2024年数据泄露成本报告》中的主要发现还包括：

凭证盗窃是最常见的初始攻击载体之一。凭证盗窃和破解占数据攻击行为的16%，在常见的初始攻击载体中居于首位。识别和遏制此类攻击的时间也最长（将近 10 个月）。执法部门的介入有助于企业减少赎金。与其他被勒索软件攻击的企业相比，引入执法部门的企业平均节省近100 万美元的数据泄露成本，这还不包括他们已经支付的赎金。大多数求助于执法部门的勒索软件受害者（63%）可以避免支付赎金。面向关键基础设施的企业承担了最高的数据泄露成本。医疗健康、金融服务、制造、科技和能源企业的数据泄露成本领先其他行业。其中，医疗健康企业已连续14 年承担了最高的数据泄露成本，平均数据泄露成本达到977 万美元。数据泄露成本被转嫁到消费者身上。63% 的企业表示，今年因数据泄露事件而增加了商品或服务成本，这一比例比去年 (57%) 略有上升，这也意味着大多数受访企业已连续第三年采取该举措。