企业承认：我们将网络攻击成本转嫁给客户

遭受数据丢失的组织所产生的成本继续上升，IBM 调查的公司中有 60% 表示他们正在将这些损失转嫁给客户。

据蓝色巨人称，过去两年全球数据泄露的平均成本上升了近 13%，达到 435 万美元的历史新高。此外，蓝色巨人在周三发布的年度数据泄露成本报告中透露，这些攻击的影响广泛且挥之不去。

在全球 550 家为该报告进行研究的组织中，约有 83% 在其存在期间遭受了不止一次的数据泄露，这些事件的影响可能会及时向外蔓延。IBM 发现，近 50% 的违规成本发生在事件发生一年多之后。

这些数字不仅表明给定组织可能会遭受数据泄露，而且一旦发生，代价将是巨大的。IBM Security X-Force 全球负责人查尔斯·亨德森（Charles Henderson）表示，鉴于此，组织需要采取更积极主动的方法在攻击前保护其业务。

亨德森在一份声明中说：“现在是阻止对手实现其目标并开始将攻击的影响降至最低的时候了。 ”

“越多的企业试图完善他们的边界而不是投资于检测和响应，越多的违规行为会加剧生活成本的增加。这份报告表明，正确的策略与正确的技术相结合，可以在企业受到攻击时发挥作用。 "

通货膨胀无处不在

IBM 的报告与其他公司和政府机构关于网络攻击对其受害者造成的经济损失的调查结果相呼应。

安全解决方案网络安全供应商 Lookout 的高级经理 Hank Schless 告诉The Register，数据泄露的成本持续上升并不奇怪。

“敏感数据的价值正在增加，作为其副产品，对遭受泄露的公司造成的长期损害正变得越来越昂贵，”Schless 说。“本报告中发现的数字应该给那些认为数据安全和基础设施完整性可以让位于其他优先事项的人敲响警钟。”

网络安全公司 Horizo​​n3ai 的客户成功经理 Brad Hong 将很多责任归咎于这些组织，他告诉The Register，过去十年来有关数据泄露的警告信号一直闪烁着红色。

“虽然行业中的每个人现在都在运营或应该运营，但他们的印象是他们何时——而不是如果——他们会被破坏，我不得不想知道这 550 个组织在做什么，”洪说。

他还指出 IBM 报告的一部分，该部分显示 IBM 研究的 60% 的组织由于数据泄露而提高了产品或服务的价格，并指出可能有一些公司投入时间和金钱来防御攻击。

“但对于那些什么都不做的人——那些没有制定灾难恢复计划而只是购买网络保险来弥补组织的运营损失的人，以及那些根本不关心警告的人——这是致命一击然后将数据泄露的成本转嫁给现在成为数据泄露受害者的同一客户。” 洪说。

“我很想知道在提高产品和服务价格的 60% 组织中，有多少百分比将额外收入用于战争资金或实际加强其安全性。”

不要赌它

报告中的主要发现之一是，在关键基础设施组织中——正如Colonial Pipeline和 JBS Foods 违规所表明的那样，它们越来越受到攻击——80% 的研究对象尚未采用零信任策略。这些公司的平均违规成本上升到 540 万美元，比那些使用零信任的公司高出 117 万美元。

IBM 的研究还表明，向勒索软件攻击者付费对公司没有实质性帮助。那些支付了攻击的平均成本仅减少了 610,000 美元，而且当与赎金支付本身相结合时，财务损失更高。网络安全供应商 Digital Shadows 的高级网络威胁情报分析师 Nicole Hoffman 也指出，那些支付赎金的组织通常会在几个月内再次成为攻击目标，从而进一步增加了财务损失。

“在做出是否付款的具有挑战性的商业决策时，这些因素非常重要，”霍夫曼告诉The Register。“出于这些原因，预防很重要，但网络弹性是关键。”

据 IBM 称，正在进行的云迁移也是一个问题。大约 43% 的组织要么处于在其云环境中应用安全实践的早期阶段，要么根本没有开始——与采用成熟云安全策略的组织相比，他们的违规成本平均高出 660,000 美元。

网络安全公司 Tanium 解决方案架构和战略副总裁 Shawn Surber 表示，该报告中的一个重要指标是，组织检测违规行为所需的时间仍为 8 个月——这表明检测机制正在失败。

他告诉The Register，“当今 94% 的企业发现至少 20% 的端点没有受到保护，而这些端点上的许多工具会对性能和可见性产生不利影响。” 他补充说：“所有[这]都导致许多检测机制缺乏效力。通过投资于网络卫生工具和威胁追踪技能，组织会得到更好的服务，而不是继续向持续失败的单点解决方案投入资金。 "

IBM 指出，使用安全 AI 和自动化技术的组织的平均数据泄露成本比不使用的组织低 305 万美元。蓝色巨人认为，此类技术是研究中最大的成本节约措施。