企業承認：我們將網絡攻擊成本轉嫁給客戶

遭受數據丟失的組織所產生的成本繼續上升，IBM 調查的公司中有 60% 表示他們正在將這些損失轉嫁給客戶。

據藍色巨人稱，過去兩年全球數據泄露的平均成本上升了近 13%，達到 435 萬美元的歷史新高。此外，藍色巨人在周三發布的年度數據泄露成本報告中透露，這些攻擊的影響廣泛且揮之不去。

在全球 550 家為該報告進行研究的組織中，約有 83% 在其存在期間遭受了不止一次的數據泄露，這些事件的影響可能會及時向外蔓延。IBM 發現，近 50% 的違規成本發生在事件發生一年多之后。

這些數字不僅表明給定組織可能會遭受數據泄露，而且一旦發生，代價將是巨大的。IBM Security X-Force 全球負責人查爾斯·亨德森（Charles Henderson）表示，鑒于此，組織需要采取更積極主動的方法在攻擊前保護其業務。

亨德森在一份聲明中說：“現在是阻止對手實現其目標并開始將攻擊的影響降至最低的時候了。 ”

“越多的企業試圖完善他們的邊界而不是投資于檢測和響應，越多的違規行為會加劇生活成本的增加。這份報告表明，正確的策略與正確的技術相結合，可以在企業受到攻擊時發揮作用。 "

通貨膨脹無處不在

IBM 的報告與其他公司和政府機構關于網絡攻擊對其受害者造成的經濟損失的調查結果相呼應。

安全解決方案網絡安全供應商 Lookout 的高級經理 Hank Schless 告訴The Register，數據泄露的成本持續上升并不奇怪。

“敏感數據的價值正在增加，作為其副產品，對遭受泄露的公司造成的長期損害正變得越來越昂貴，”Schless 說。“本報告中發現的數字應該給那些認為數據安全和基礎設施完整性可以讓位于其他優先事項的人敲響警鐘。”

網絡安全公司 Horizo??n3ai 的客戶成功經理 Brad Hong 將很多責任歸咎于這些組織，他告訴The Register，過去十年來有關數據泄露的警告信號一直閃爍著紅色。

“雖然行業中的每個人現在都在運營或應該運營，但他們的印象是他們何時——而不是如果——他們會被破壞，我不得不想知道這 550 個組織在做什么，”洪說。

他還指出 IBM 報告的一部分，該部分顯示 IBM 研究的 60% 的組織由于數據泄露而提高了產品或服務的價格，并指出可能有一些公司投入時間和金錢來防御攻擊。

“但對于那些什么都不做的人——那些沒有制定災難恢復計劃而只是購買網絡保險來彌補組織的運營損失的人，以及那些根本不關心警告的人——這是致命一擊然后將數據泄露的成本轉嫁給現在成為數據泄露受害者的同一客戶。” 洪說。

“我很想知道在提高產品和服務價格的 60% 組織中，有多少百分比將額外收入用于戰爭資金或實際加強其安全性。”

不要賭它

報告中的主要發現之一是，在關鍵基礎設施組織中——正如Colonial Pipeline和 JBS Foods 違規所表明的那樣，它們越來越受到攻擊——80% 的研究對象尚未采用零信任策略。這些公司的平均違規成本上升到 540 萬美元，比那些使用零信任的公司高出 117 萬美元。

IBM 的研究還表明，向勒索軟件攻擊者付費對公司沒有實質性幫助。那些支付了攻擊的平均成本僅減少了 610,000 美元，而且當與贖金支付本身相結合時，財務損失更高。網絡安全供應商 Digital Shadows 的高級網絡威脅情報分析師 Nicole Hoffman 也指出，那些支付贖金的組織通常會在幾個月內再次成為攻擊目標，從而進一步增加了財務損失。

“在做出是否付款的具有挑戰性的商業決策時，這些因素非常重要，”霍夫曼告訴The Register。“出于這些原因，預防很重要，但網絡彈性是關鍵。”

據 IBM 稱，正在進行的云遷移也是一個問題。大約 43% 的組織要么處于在其云環境中應用安全實踐的早期階段，要么根本沒有開始——與采用成熟云安全策略的組織相比，他們的違規成本平均高出 660,000 美元。

網絡安全公司 Tanium 解決方案架構和戰略副總裁 Shawn Surber 表示，該報告中的一個重要指標是，組織檢測違規行為所需的時間仍為 8 個月——這表明檢測機制正在失敗。

他告訴The Register，“當今 94% 的企業發現至少 20% 的端點沒有受到保護，而這些端點上的許多工具會對性能和可見性產生不利影響。” 他補充說：“所有[這]都導致許多檢測機制缺乏效力。通過投資于網絡衛生工具和威脅追蹤技能，組織會得到更好的服務，而不是繼續向持續失敗的單點解決方案投入資金。 "

IBM 指出，使用安全 AI 和自動化技術的組織的平均數據泄露成本比不使用的組織低 305 萬美元。藍色巨人認為，此類技術是研究中最大的成本節約措施。