https://www.informationsecurity.com.tw/seminar/2022_finance/
https://www.informationsecurity.com.tw/seminar/2022_finance/

新聞

近80%受訪之關鍵基礎設施型企業尚未採用零信任策略

2022 / 08 / 03
編輯部
近80%受訪之關鍵基礎設施型企業尚未採用零信任策略
IBM近日發布《2022年企業資料外洩成本報告》,調查結果顯示,資料外洩事件為全球企業和組織造成的經濟損失和負面影響,金額與廣度皆達到歷史新高;單起資料外洩事件為受訪企業增加的平均成本高達435萬美元,創下此年度報告製作發表以來的最高金額。報告分析,全球企業資料外洩成本在過去兩年間上升近13%。企業資料外洩可能是導致商品和服務成本上漲的原因之一;在全球通貨膨脹和供應鏈「斷鏈」導致商品成本飆升的背景之下,60% 的受訪企業表示他們在資料外洩事件發生後,提高了產品或服務價格。

83% 的受訪企業通過這份IBM報告表示,他們曾遭遇不止一次資料外洩事件;持續不斷的網路攻擊導致的資料外洩,成為企業「揮之不去的夢魘」。此外,資料外洩對企業造成的「後遺症」隨著時間推移而加劇,近50% 的企業成本是在事件發生超過一年之後才反映出來。

這項由IBM Security主持與分析、美國Ponemon 研究中心執筆的《2022 年資料外洩成本報告》,深入分析了全球550家企業與組織在2021年3月至2022年3月間遭遇的真實資料外洩事件。本報告的幾項重要發現包括:
  • 關鍵基礎設施型企業採用零信任安全原則 (Zero Trust) 的行動緩慢 —
    近80% 受訪的關鍵基礎設施型企業尚未採用零信任策略,而其資料外洩的平均成本高達540萬美元,比已採用零信任策略的企業高出117萬美元。在未採用零信任策略的企業所遭遇的資料外洩事件中,28% 是因勒索軟體或破壞性攻擊造成的。
     
  • 單純地支付「贖金」並非有效的企業策略 —
    發生資料外洩事件時,選擇向威脅者支付勒索軟體贖金的企業僅比拒付贖金者的成本平均少61萬美元,這還不包括贖金本身。如果將高昂的贖金(根據Sophos資料顯示,2021年平均勒索贖金為81.2 萬美元)納入成本考量,交付贖金的受害企業遭受的經濟損失可能更大。因此,單純地支付贖金並非有效的企業策略。
     
  • 多雲安全尚不成熟 —
    43% 的受訪企業表示尚未開始在其多雲環境中部署安全解決方案、或是尚處於早期部署階段;他們支付的資料外洩成本比已經在多雲環境中部署了成熟的安全措施的受訪者,平均高出66萬美元。 
     
  • 採用具備AI與自動化能力的安全解決方案,可為企業節省數百萬美元 —
    已經全面部署AI和自動化安全解決方案的受訪企業,其資料外洩的平均成本要比未部署相關技術的企業少305萬美元。這是此次研究發現最具成本效益的作法。
IBM Security X-Force 全球負責人 Charles Henderson 表示:「面對攻擊,企業應採取『先發制人、主動出擊』的安全防護策略,阻止攻擊者達到不法目的,將攻擊造成的影響降到最低。越是採取守勢、而非提升偵測與應對攻擊能力的企業,反倒有可能遭遇更多的資料外洩事件,並導致成本飆升。從IBM這份報告可以看出,當企業遭遇攻擊時,採用正確的策略和科技技術可以創造截然不同的結果。」

關鍵型基礎設施企業的「過度信任」 

過去一年,全球各國政府的網路安全機構紛紛敦促關鍵型基礎設施企業,加強警戒破壞式的網路攻擊。IBM報告顯示,受訪的關鍵基礎設施企業的資料外洩事件,有28%由勒索軟體和破壞式攻擊造成;駭客正在透過攻擊基礎設施型企業,如金融服務、製造工業、交通運輸和醫療照護等,破壞與之緊密依存的全球供應鏈。

儘管各國政府持續呼籲相關企業與組織加強警惕,但只有21%的受訪關鍵型基礎設施企業採用了零信任安全原則。此外,關鍵基礎設施企業所遭遇的資料外洩事件中,有17% 是受其合作夥伴遭受的攻擊波及,凸顯了其過度信任的環境所存在的安全風險。

支付贖金的企業 並未因此占到「便宜」 

報告顯示,選擇向威脅者支付勒索軟體贖金的企業,僅比拒付贖金企業的平均資料外洩成本少61萬美元,這還不包括已經支付的贖金。如果計入平均贖金金額(Sophos資料顯示,2021年贖金高達81.2萬美元),選擇支付贖金的企業遭受經濟損失可能會更高。這些妥協行為可能在無意間為未來的勒索攻擊挹注了資金。

儘管全球各國付出極大心力對抗勒索軟體攻擊,但是網路犯罪「產業化」不斷推進勒索軟體的發展。IBM Security X-Force發現過去三年間,受訪企業遭遇勒索軟體攻擊的持續時間從原來的兩個多月縮短至四天以內,大幅下降94%。

網路攻擊生命週期「指數級」的縮短,造成的影響可能更為嚴重;因為網路安全事件回應人員進行檢測和遏制攻擊的「跑道」變得非常短。隨著發動勒索的時間驟減到幾個小時,企業必須將預先嚴謹測試事件回應(IR)列為優先工作項目。但從本次調查結果來看,雖然高達37% 的受訪組織已經制定了 IR 計畫,卻並沒有定期演練。

混合雲的優勢

混合雲是本次近半數受訪企業採用的IT環境,採用率45%。採用混合雲架構的企業資料外洩平均成本為380萬美元,低於單純採用公有雲(502 萬美元)或私有雲(424 萬美元)模式的企業。550家受訪企業從發現到阻止資料外洩平均耗費277天,而採用混合雲架構的受訪企業可以少15天。

這份報告研究的全數企業資料外洩事件中,45% 發生在雲端,可見雲端安全的重要性。然而,43% 的受訪企業表示他們尚未著手為雲環境部署安全解決方案,或者才剛起步,因此這些企業花費在應對資料外洩的平均成本也較高;與在所有領域持續部署安全解決方案的受訪企業相比,他們發現與阻止資料外洩平均耗時需要增加108天。

IBM《2022 年企業資料外洩成本報告》還有以下三項發現:
  • 網路釣魚為企業資料外洩造成了最大的成本負擔 — 憑證遭竊是導致資料外洩最常見的原因,占19%;網路釣魚雖然位居第二 (16%),卻是讓受訪企業因資料外洩付出最高成本的原因,平均成本達491萬美元。
     
  • 醫療照護產業的資料外洩成本達兩位數成長,突破千萬美元,創歷史新高 — 醫療照護產業已經連續12年成為資料外洩平均成本最高的行業;其資料外洩成本在2022年增加將近100 萬美元,來到史上最高的1,010萬美元。
     
  • 安全人員配置不足 — 62% 的受訪企業表示現有編制無法滿足其資安需求,他們的資料外洩平均成本比人員配置充足的企業高出55萬美元。