202433執行摘要34有助于降低42024年報告新增內容數據泄露成本的幾項建議7完整的結論38地理統計數據8全球關注重點39行業統計數據13初始攻擊媒介和根本原因40行業定義14數據泄露生命周期15識別泄露事件41研究方法17安全AI和自動化42我們如何計算數據泄露的成本20發生泄露后提高價格43數據泄露常見問題解答20業務中斷44研究的局限性21恢復時間23增大或減少泄露成本的因素45關于IBM和波耐蒙研究所(Ponemon25勒索攻擊的成本Institute)28報告泄露事件和監管罰款29數據安全32大規模泄露33安全性投資2《2024年數據泄露成本報告》3《2024年數據泄露成本報告》該報告的相關研究由波耐蒙研究所(PonemonInstitute)獨立進行4《2024年數據泄露成本報告》2024年報告新增內容用了多少AI和自動化技術5《2024年數據泄露成本報告》一場數據泄露的平均成本從2023年的445萬美元上升至488萬美一場數據泄露的平均成本從2023年的445萬美元上升至488萬美26.2%26.2%6《2024年數據泄露成本報告》46%攻擊的平均持續天數則為257天。涉及執法部門的勒索軟件受害者最終將泄露成本平均降830,000美元7《2024年數據泄露成本報告》8《2024年數據泄露成本報告》488萬美元3.86O3.92O3.86O424萬435O4.45O4.8820182019202020212022年2023年20243.5美元3.0美元2.5美元5.0美元$4.0$4.59《2024年數據泄露成本報告》請參閱圖2A和2B。#20242023年1$9.36$9.482$8.75$8.073$5.90—4$5.31$4.675$4.73$3.866$4.66$5.137$4.53$4.218$4.19$4.529$4.17$4.08$4.16$3.69$3.62$3.48$3.23$3.05$2.78$2.70$2.78$2.79$2.35$2.18$1.36$1.222024年與2023年排名前5的國家和地區#20242023年1↓$9.36$9.482↑$8.75$8.073↑$5.90$5.134↑$5.31$4.675↑$4.73$4.52圖2A.以百萬美元為單位圖2B.以百萬10《2024年數據泄露成本報告》醫療行業金融工業科技能源制藥專業服務運輸娛樂通信媒體消費酒店研究教育零售業公共部門2024w20239.77.937wMTTlMTTC11《2024年數據泄露成本報告》能包括為受影響的客戶設立客戶服務中心和信用監53業務損失成本■檢測和上報.泄露后響應通知12《2024年數據泄露成本報告》按百分比劃分的遭泄露數據類型按泄露記錄類型劃分的數據泄露對應的每條記錄成本48%52%0137%40%0324%26%0543%34%0231%21%04員工PII189181客戶PII179183知識產權173156其他公司數據171168 132 6B.以百萬美元為單位2024202313《2024年數據泄露成本報告》481萬美元514《2024年數據泄露成本報告》22%惡意或犯罪攻擊mIT故障人為錯誤了完整生命周期不超過200天的數據泄露的平均成本與完整生命周期超過200天的數據泄露的平均成本。盜用或泄漏憑據292惡意內部人員網絡釣魚社會工程287261257未知零日漏洞252MTT盜用或泄漏憑據292惡意內部人員網絡釣魚社會工程287261257未知零日漏洞252MTTMTTC220242023年15《2024年數據泄露成本報告》42%33%0134%40%0224%27%032024202316《2024年數據泄露成本報告》553萬美元5.534.570美元$12美元$3$4$5$62023年攻擊者披露2024年良性第三方2023年良性第三方2024年安全團隊和工具MTTlwMTTC32024027322817《2024年數據泄露成本報告》20242023年20242023年安全AI和自動化AI和自動化的使用率呈現增長18《2024年數據泄露成本報告》在四個安全類別中使用AI和自動化廣泛使用安全AI和自動化的組織在識別和遏制數據泄露時的速度未用限制使用廣泛使用MTTlmMTTC30720924145%40%35%30%25%20%15%10%5%0廣泛使用限制使用無19《2024年數據泄露成本報告》廣泛使用無預防;檢測;無響應;無響應;廣泛使用MTTlMTTC30430831221820《2024年數據泄露成本報告》63574337是否20242023年70%60%報告速度提升40%30%20%10%0%參閱圖21。圖21.只允許單個響應21《2024年數據泄露成本報告》■是,已完全恢復■否,我們仍處于恢復過程中圖23.所有遭泄露組織的占比參閱圖22。22《2024年數據泄露成本報告》35%>150天24%19%101至125101至14%5%51至75天3%<50天23《2024年數據泄露成本報告》員工培訓Al、機器學習驅動的洞察安全信息和事件管理(SIEM)事件響應(IR)計劃加密威脅情報Devsecops方法R團隊身份和訪問管理(IAM)主動威脅追蹤安全編排,自動化和響應(SOAR)保險保障進攻性安全測試ASM端點檢測和響應工具生成式AI安全工具數據安全和保護軟件董事會層面的監管已任命CSO托管安全服務提供商(MSSP)安全系統復雜性安全技能短缺第三方違規不遵守法規遷移到云供應鏈泄漏受影響的IOT或OT環境遠程辦公員工24《2024年數據泄露成本報告》574萬美元2u高級低級別或無級別2驅動型洞察高級低級別或無級別25《2024年數據泄露成本報告》220242023年破壞性攻擊數據滲漏勒索軟件0美元$12美元$3$4$5$65.684.915.21圖30.以百萬美元為單位請參閱圖30。26《2024年數據泄露成本報告》所有這三種類型的攻擊均需284到294天的時間來加以識別和遏294294勒索軟件MTTlMTTC284執法部門介入并支付了贖金執法部門介入且未支付贖金27《2024年數據泄露成本報告》220242023年從有執法部門參與的438萬美元到沒有執法部門參與的537萬美執法部門未介入執法部門介入wMTTlMTTC29728128《2024年數據泄露成本報告》繳納5萬美元以上罰款的組織的占比漲幅。請參閱圖36。35%30%25%20%15%10%5%0%35%30%25%20%15%10%5%0% 50,000美元-$100,000-250,000美元20242023年29《2024年數據泄露成本報告》環境類型20242023年30《2024年數據泄露成本報告》527萬美元僅涉及本地所存儲數據的泄露事件平均需224天才能加以識別和遏公有云本地MTTlMTTC2682242包含影子數據不包括影子數據31《2024年數據泄露成本報告》包含影子數據不包括影子數據wMTTIWMTTC291227以及跨多個環境但涉及影子數據的泄露事件中有25%僅發生在3540%50M–60M375 332 38740M–50M34632837930M–40M31130431620M–30M 229 225 24110M–20M173 166 180421M–10M42364920242023202232《2024年數據泄露成本報告》33《2024年數據泄露成本報告》70%60%報告速度提升40%30%20%10%0%20242023年IR規劃和測試威脅檢測和響應技術員工培訓IAM進攻性安全測試數據安全和保護工具托管安全服務保險保障34《2024年數據泄露成本報告》35《2024年數據泄露成本報告》AI濫用或數據泄露的情況。36《2024年數據泄露成本報告》和數據工程師。AI工作負載連續性的人員。37《2024年數據泄露成本報告》今年的研究調查了來自16個國家和地區以及17個行業的38《2024年數據泄露成本報告》國家和地區2024年樣本樣本總數占比研究年限貨幣254%8新加坡元(SGD)274%澳元(AUD)325%1歐元(EUR)457%285%加元(CAD)366%歐元(EUR)478%歐元(EUR)539%印度盧比(INR)295%歐元(EUR)427%285%5墨西哥比索(MXN)396%沙特阿拉伯里亞爾(SAR)244%9南非蘭特(ZAR)285%7韓元(KRW)508%英鎊(GBP)7112%美元(USD)總計604100%圖46.本研究中所有組織的占比39《2024年數據泄露成本報告》科技這四大行業占到所研究604家組織的47%。金融工業專業服務科技公共部門能源零售業溝通消費運輸制藥酒店媒體教育娛樂醫療行業研究圖47.本研究中所有組織的占比40《2024年數據泄露成本報告》41