本文來自微信公眾號“數(shù)世咨詢”,作者/nana。
IBM發(fā)布其2023年《數(shù)據(jù)泄露成本》報告,揭示幾個全球數(shù)據(jù)泄露趨勢。當然,數(shù)據(jù)泄露代價高昂在現(xiàn)階段已經(jīng)不再是什么新聞了。有意思的是企業(yè)如何響應威脅和用哪些技術來降低與每個IT團隊的噩夢場景相關的成本。
數(shù)據(jù)泄露成本再次上升,平均成本達到445萬美元,過去三年中增長了15%。同期,與升級和檢測相關的成本激增42%。有鑒于此,在應對數(shù)據(jù)泄露的財務負擔越來越重的背景下,僅有51%的受訪實體決定加強其安全投資的事實就很是令人驚訝了。
關于數(shù)據(jù)泄露成本的頭條統(tǒng)計數(shù)據(jù)很有意思,但深入挖掘這些趨勢真的有助于企業(yè)節(jié)省資金嗎?企業(yè)想要知道自己的安全預算應該投向何方,購買哪些技術才最劃算。萬幸,報告中有很多數(shù)據(jù)可供挖掘,或許會有所幫助。雖不能擔保各家企業(yè)的盈虧線,但數(shù)據(jù)泄露風險降低和潛在成本節(jié)約方面還是可以給出點意見的。
01
考慮行業(yè)特定風險
醫(yī)療保健行業(yè)連續(xù)十二年位列數(shù)據(jù)泄露事件影響最大的行業(yè)。醫(yī)療企業(yè)數(shù)據(jù)泄露事件平均損失1093萬美元,幾乎是列第二位的金融行業(yè)數(shù)據(jù)泄露成本的兩倍之多(金融行業(yè)數(shù)據(jù)泄露平均成本590萬美元)。能源行業(yè)和制造業(yè)遭遇數(shù)據(jù)泄露事件的影響也在增加。此外,值得注意的一點是,不僅僅是行業(yè)巨頭受到影響,員工數(shù)量500人以下的中小企業(yè),其2023年數(shù)據(jù)泄露平均成本也上升了(331萬美元)——此前兩年的平均成本分別是292萬美元和295萬美元。
網(wǎng)絡犯罪分子并非隨機選擇攻擊目標。他們知道哪些行業(yè)處理敏感數(shù)據(jù),也清楚哪些行業(yè)的利潤增長會創(chuàng)新高。他們還會考慮企業(yè)的規(guī)模及其網(wǎng)絡防御的堅固程度。我們很有必要站在攻擊者的角度看待自身,考慮他們想要得到什么,獲得的難度有多大。
以醫(yī)療保健企業(yè)為例:能夠信任保護著客戶健康數(shù)據(jù)的那些系統(tǒng)嗎?有沒有強大且有效的訪問安全措施來保障憑證不落入網(wǎng)絡犯罪分子之手?滲透測試和紅隊測試可能會拋出一些有價值的信息,揭示你懷疑可能存在的漏洞,以及你壓根兒沒意識到的漏洞。
02
快速檢測被盜憑證是關鍵
即便設置了有效的密碼策略,為員工密碼被盜(即便是強密碼)做好準備也是很重要的。成本最高的四大事件類型中,網(wǎng)絡釣魚(占16%,平均成本476萬美元)和被盜憑證(占15%,平均成本462萬美元)依然是最常見的初始攻擊途徑,其他兩種是惡意內(nèi)部人員(占6%,但平均成本490萬美元)和商務電郵入侵(占9%,平均成本467萬美元)。
必須進行的安全意識培訓可以幫助調整用戶行為,使其更具網(wǎng)絡意識,并且有助于挫敗一些網(wǎng)絡釣魚攻擊。強有力的多因素身份驗證(MFA)也可以限制被盜憑證的影響(在只有密碼被盜的情況下)。但最終用戶不可能識別出每一次網(wǎng)絡釣魚攻擊,MFA也遠未到無懈可擊的程度。所以,盡管安排了種種預防措施,又該如何判斷員工憑證是否被盜呢?
舉個例子,Specops Password Policy的Breached Password Protection(被盜密碼防護)功能就可以持續(xù)掃描,查找被盜密碼。如果在Specops保存了超30億個(數(shù)量還在不斷增加)被盜密碼的數(shù)據(jù)庫中發(fā)現(xiàn)了最終用戶的密碼,最終用戶便會收到電子郵件或短信通知。
03
快速事件響應省下大筆資金
在數(shù)據(jù)泄露檢測時間方面一直沒有什么大的進展,平均檢測時間仍然需要200多天。這也反映出入侵后在網(wǎng)絡上橫向移動的戰(zhàn)術在很大程度上仍是攻擊者的標準操作流程。發(fā)現(xiàn)問題后的修復過程也仍需要70多天,所以需要在災備和應急計劃領域投入更多精力。
這意味著我們?nèi)孕韪倪M威脅檢測,還需加強內(nèi)部網(wǎng)絡控制而不僅僅是邊界控制。企業(yè)內(nèi)部安全團隊或工具僅檢測出了三分之一(33%)的數(shù)據(jù)泄露。攻擊者自己披露的數(shù)據(jù)泄露占27%,而有40%是被執(zhí)法部門等第三方發(fā)現(xiàn)的。
越早檢測出數(shù)據(jù)泄露顯然越好。200天內(nèi)發(fā)現(xiàn)數(shù)據(jù)泄露的公司平均損失393萬美元,超過200天才發(fā)現(xiàn)問題的公司平均損失495萬美元。還好,我們至少有工具可用。報告指出,威脅情報用戶在發(fā)現(xiàn)數(shù)據(jù)泄露方面節(jié)省了大量時間,比不使用威脅情報的平均少花費4周時間。制定了良好事件響應計劃的企業(yè),數(shù)據(jù)泄露損害成本降低了61%,比全球平均成本少付出266萬美元。
04
了解攻擊面變得愈加重要
報告發(fā)現(xiàn),82%的被泄露數(shù)據(jù)存儲在云端,僅18%是本地存儲。此外,39%的數(shù)據(jù)泄露橫跨多個云環(huán)境(包括公有云和私有云),泄露成本高達475萬美元,高于平均水平。錯誤配置的云環(huán)境和已知及未知(零日)漏洞在受訪企業(yè)中也很普遍。
盡管云更靈活、可擴展,且更適合當今員工分散各地的工作模式,但也擴大了企業(yè)需要保護的攻擊面。攻擊者也在利用企業(yè)及其供應商之間的可見性缺失。源自供應鏈攻擊的數(shù)據(jù)泄露占所有數(shù)據(jù)泄露的12%,此類攻擊的檢測時間(294天)也高于平均水平。
不過,也不盡然是壞消息,因為有網(wǎng)絡安全工具提供支持。采用外部攻擊面管理(External Attack Surface Management:EASM)的企業(yè)識別并控制數(shù)據(jù)泄露的時間減少了25%(采用EASM為254天,不用攻擊面管理(ASM)是337天)。數(shù)據(jù)還顯示,追求基于風險的漏洞管理而非僅CVE的企業(yè),其數(shù)據(jù)泄露成本大幅降低(減少了18.3%)。
05
要點總結
IBM 2023《數(shù)據(jù)泄露成本》報告的結論:了解自身漏洞所處位置,準確掌握自身攻擊面,制定有效事件響應計劃,設置工具處理被盜憑證,就能降低遭受數(shù)據(jù)泄露的風險。即便真的發(fā)生了最壞情況,做到以上幾點的企業(yè)也更容易恢復,對盈虧的影響不至于太大。