2017年全球數據泄露成本研究報告解讀

7月初，《2017年全球數據泄露成本研究》報告發(fā)布。研究結果顯示，IBM Security 和 Ponemon Institute兩家研究機構針對419家公司進行調研，合計數據泄露總成本達到362萬美元。每條包含敏感和機密信息的丟失或被盜記錄的平均成本達到141美元。對比往年，今年企業(yè)和組織數據泄露的規(guī)模較以往更大，平均規(guī)模增長了1.8％。

近年來，全球各地無論是政府組織還是知名企業(yè)，頻繁被爆出大規(guī)模數據泄露事件，尤以信息化程度發(fā)達的國家更為嚴重。研究結果來自11個國家和2個區(qū)域，從中選擇了419個組織參加了今年的研究。通過對這些組織中的1900多名專家進行訪談，以此了解：

數據泄露中有多少客戶記錄丟失（即泄露規(guī)模）？

數據泄露后他們失去的客戶的百分比（即客戶流失）？

數據泄露的根本原因？

檢測和控制泄露事件的時間？

發(fā)現和立即響應數據泄露的活動方面花費，例如取證和調查，以及發(fā)現后進行的活動，例如通知受害人和法律方面的費用？

通過這些樣本對數據泄露成本進行研究和分析，不僅是為了核算成本和趨勢預判，最終目的是通過調研還原這些數據泄露事件全貌，為組織和企業(yè)的數據安全保護提供更有參考價值的建議，我們將報告中的一些重要觀點摘錄下來，以此作為重要的參考依據，思考在大數據時代下，如何通過行之有效的手段，規(guī)避未來可能會發(fā)生的泄露事件，為企業(yè)避免為此類負面事件付出高昂的成本。

數據泄露的主要原因

報告顯示，數據泄露事件的主要根源中，47％的事件涉及惡意或犯罪行為，25％是由于員工或承包商疏忽（人為因素），28％涉及系統(tǒng)故障，包括IT和業(yè)務流程故障。

雖然本次調查沒有涉及中國的組織和企業(yè)，但這一趨勢與國內諸多安全研究結果較為一致。早期，惡意攻擊者的目標是業(yè)務系統(tǒng)，以導致業(yè)務中斷為目的。近年伴隨數據資產價值與日俱增，惡意攻擊者的目標越來越多的指向數據存儲的基礎設施-數據庫系統(tǒng)。針對數據庫的漏洞攻擊、SQL注入等手段不斷升級，目的正是對敏感數據的竊取，這些包含個人隱私或商業(yè)機密的數據流入黑產市場，經過多手倒賣，流入更多不法分子手中，震驚全球的雅虎5億用戶信息泄露事件正是源于黑客攻擊。

另一方面，與國內情況類似，內部員工及承包商（即第三方公司）的人為泄露比例正在逐年上升。企業(yè)信息化建設增速逐年提升，除了內部人員配備提升，為節(jié)省人力成本，引入第三方外包公司進行系統(tǒng)開發(fā)、測試、分析或代理運維等工作是目前常見的解決方式，在此過程中這類人群往往持有數據庫的高權限賬戶，一面是內部人員可能產生的高危操作、誤操作，另一方面是第三方人員引發(fā)的數據泄露事件，這成為數據泄露的另一主因。

慶幸的是，國內的多數行業(yè)已經意識到內部威脅及第三方人員的數據泄露風險，會主動尋求技術手段規(guī)避。數據庫脫敏和數據庫安全運維產品的出現和應用正是基于此，對敏感數據做變形和漂白后可以放心交給第三方公司使用；即使內部及第三方運維人員擁有DBA高權限賬戶，依然可以通過基于審批流機制的數據庫安全運維系統(tǒng)，對敏感數據的運維操作進行審核和過濾，防止誤操作及高危操作。

外泄規(guī)模的大小以及丟失或被盜記錄的數量

調研結果顯示，數據泄露事件將導致客戶信任度下降、企業(yè)也需要投入大量成本進行取證調查，挽回數據，以及相關客戶的聯(lián)系及法律成本。通過成本分析揭示了數據泄露的平均總成本與事件的大小之間的關系。在今年的研究中，少于10,000個損失記錄的事件的平均總成本190萬美元，超過50,000記錄的時間平均總成本是630萬美元。因此，丟失的記錄越多，數據泄露的成本就越高。對于這一情況，報告中提到數據分類存儲計劃對于了解敏感和機密信息至關重要。

這一結論與安華金和提出的數據安全治理思路不謀而合，我們認為要實現數據在使用中的安全，首先一步是要了解數據，通過對數據資產進行梳理，發(fā)現你的敏感數據資產有多少、分布在哪里，使用情況和訪問權限怎樣。對數據資產進行分級分類，是為建立定制化的保護策略提供原始依據。

數據泄露的平均總成本與419個組織的事件大小之間的關系

哪些行業(yè)的數據泄露更為昂貴

每個丟失或被盜記錄的數據泄露的全球平均成本為141美元。然而，醫(yī)療保健機構的平均成本為380美元，金融服務平均成本為245美元。行業(yè)的數據特性，全球共通，醫(yī)療及金融行業(yè)的數據更多涉及公眾個人隱私及資產信息，數據量龐大；另一方面，從業(yè)務角度來看，這兩個行業(yè)與其他行業(yè)的數據集中、共享需求更為明顯，從中國國情來看，這兩個行業(yè)除了互相業(yè)務交叉，還會與政府、社保、工商、稅務財政等諸多行業(yè)發(fā)生數據共享，在數據使用和流轉的過程中，節(jié)點更多，一旦單點產生安全威脅，可能牽連出跨行業(yè)的極大規(guī)模數據泄露，由此產生的惡劣社會影響難以估計。

我們在與這些行業(yè)的用戶接觸時，發(fā)現他們對于數據安全防護的意識也更為強烈，但同時又有另一點考慮，由于業(yè)務復雜度高且應用繁多，用戶希望能夠在實現安全保障的基礎上不影響業(yè)務穩(wěn)定性及連續(xù)性，這對于諸如數據庫防火墻、數據庫加密等技術手段的要求更高，這些必備的產品需要具備大型項目的實施基礎，以確保復雜場景下的性能要求。

今年綜合樣本平均成本按行業(yè)分類與四年平均水平

大量使用加密技術可降低成本

報告中指出，廣泛使用加密技術可以節(jié)省平均費用16美元，平均每筆記錄費用為125美元（141-16美元）。

在安華金和提出的數據庫安全防護體系中，數據庫加密技術被定義為底線防守。技術效果是將數據庫存儲層的明文數據替換為密文，并設置嚴格的權限校驗機制，即使退一萬步，數據庫文件已經泄露，沒有密鑰和最高權限，任何人都無法破解。如果按照每筆節(jié)省16美元的成本來算，一個技術手段的實施，可以讓一次大規(guī)模過萬條記錄的數據泄露事件成本直接下降數十萬美元，乃至更高。

借助事件響應小組識別并控制數據泄漏的時間

在今年的研究中，事件響應（IR）團隊降低了每個泄露記錄19美元成本。因此，具有強大的IR能力的公司預計調整后的成本為122美元（每筆記錄141-19美元）。

國內的少數大型企業(yè)會成立專門的安全應急團隊，此外，專業(yè)的安全企業(yè)也應當具備安全攻防的研究能力，能夠為用戶提供及時有效的安全事件響應，通過審計追查等技術手段及人工分析快速定位泄露源，在最短時間內控制泄露規(guī)模和態(tài)勢，并能夠通過分析攻擊樣本，提供有效的安全加固策略。

無法快速識別數據泄露而增加的成本

通過了解報告中的觀點和分析，這些精確的數學核算讓我們對數據泄露的后果和影響有了更感性的認識。這些有價值的安全建議和技術手段并不會花費太大的成本，然而卻可以讓企業(yè)和組織不再為此類負面事件付出數百甚至數千倍的高昂成本，這其中的性價比應該是相當劃算的。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。