7月初,《2017年全球数据泄露成本研究》报告发布。研究结果显示,IBM Security 和 Ponemon Institute两家研究机构针对419家公司进行调研,合计数据泄露总成本达到362万美元。每条包含敏感和机密信息的丢失或被盗记录的平均成本达到141美元。对比往年,今年企业和组织数据泄露的规模较以往更大,平均规模增长了1.8%。
近年来,全球各地无论是政府组织还是知名企业,频繁被爆出大规模数据泄露事件,尤以信息化程度发达的国家更为严重。研究结果来自11个国家和2个区域,从中选择了419个组织参加了今年的研究。通过对这些组织中的1900多名专家进行访谈,以此了解:
数据泄露中有多少客户记录丢失(即泄露规模)?
数据泄露后他们失去的客户的百分比(即客户流失)?
数据泄露的根本原因?
检测和控制泄露事件的时间?
发现和立即响应数据泄露的活动方面花费,例如取证和调查,以及发现后进行的活动,例如通知受害人和法律方面的费用?
通过这些样本对数据泄露成本进行研究和分析,不仅是为了核算成本和趋势预判,最终目的是通过调研还原这些数据泄露事件全貌,为组织和企业的数据安全保护提供更有参考价值的建议,我们将报告中的一些重要观点摘录下来,以此作为重要的参考依据,思考在大数据时代下,如何通过行之有效的手段,规避未来可能会发生的泄露事件,为企业避免为此类负面事件付出高昂的成本。
数据泄露的主要原因
报告显示,数据泄露事件的主要根源中,47%的事件涉及恶意或犯罪行为,25%是由于员工或承包商疏忽(人为因素),28%涉及系统故障,包括IT和业务流程故障。
虽然本次调查没有涉及中国的组织和企业,但这一趋势与国内诸多安全研究结果较为一致。早期,恶意攻击者的目标是业务系统,以导致业务中断为目的。近年伴随数据资产价值与日俱增,恶意攻击者的目标越来越多的指向数据存储的基础设施-数据库系统。针对数据库的漏洞攻击、SQL注入等手段不断升级,目的正是对敏感数据的窃取,这些包含个人隐私或商业机密的数据流入黑产市场,经过多手倒卖,流入更多不法分子手中,震惊全球的雅虎5亿用户信息泄露事件正是源于黑客攻击。
另一方面,与国内情况类似,内部员工及承包商(即第三方公司)的人为泄露比例正在逐年上升。企业信息化建设增速逐年提升,除了内部人员配备提升,为节省人力成本,引入第三方外包公司进行系统开发、测试、分析或代理运维等工作是目前常见的解决方式,在此过程中这类人群往往持有数据库的高权限账户,一面是内部人员可能产生的高危操作、误操作,另一方面是第三方人员引发的数据泄露事件,这成为数据泄露的另一主因。
庆幸的是,国内的多数行业已经意识到内部威胁及第三方人员的数据泄露风险,会主动寻求技术手段规避。数据库脱敏和数据库安全运维产品的出现和应用正是基于此,对敏感数据做变形和漂白后可以放心交给第三方公司使用;即使内部及第三方运维人员拥有DBA高权限账户,依然可以通过基于审批流机制的数据库安全运维系统,对敏感数据的运维操作进行审核和过滤,防止误操作及高危操作。
外泄规模的大小以及丢失或被盗记录的数量
调研结果显示,数据泄露事件将导致客户信任度下降、企业也需要投入大量成本进行取证调查,挽回数据,以及相关客户的联系及法律成本。通过成本分析揭示了数据泄露的平均总成本与事件的大小之间的关系。在今年的研究中,少于10,000个损失记录的事件的平均总成本190万美元,超过50,000记录的时间平均总成本是630万美元。因此,丢失的记录越多,数据泄露的成本就越高。对于这一情况,报告中提到数据分类存储计划对于了解敏感和机密信息至关重要。
这一结论与安华金和提出的数据安全治理思路不谋而合,我们认为要实现数据在使用中的安全,首先一步是要了解数据,通过对数据资产进行梳理,发现你的敏感数据资产有多少、分布在哪里,使用情况和访问权限怎样。对数据资产进行分级分类,是为建立定制化的保护策略提供原始依据。
数据泄露的平均总成本与419个组织的事件大小之间的关系
哪些行业的数据泄露更为昂贵
每个丢失或被盗记录的数据泄露的全球平均成本为141美元。然而,医疗保健机构的平均成本为380美元,金融服务平均成本为245美元。行业的数据特性,全球共通,医疗及金融行业的数据更多涉及公众个人隐私及资产信息,数据量庞大;另一方面,从业务角度来看,这两个行业与其他行业的数据集中、共享需求更为明显,从中国国情来看,这两个行业除了互相业务交叉,还会与政府、社保、工商、税务财政等诸多行业发生数据共享,在数据使用和流转的过程中,节点更多,一旦单点产生安全威胁,可能牵连出跨行业的极大规模数据泄露,由此产生的恶劣社会影响难以估计。
我们在与这些行业的用户接触时,发现他们对于数据安全防护的意识也更为强烈,但同时又有另一点考虑,由于业务复杂度高且应用繁多,用户希望能够在实现安全保障的基础上不影响业务稳定性及连续性,这对于诸如数据库防火墙、数据库加密等技术手段的要求更高,这些必备的产品需要具备大型项目的实施基础,以确保复杂场景下的性能要求。
今年综合样本平均成本按行业分类与四年平均水平
大量使用加密技术可降低成本
报告中指出,广泛使用加密技术可以节省平均费用16美元,平均每笔记录费用为125美元(141-16美元)。
在安华金和提出的数据库安全防护体系中,数据库加密技术被定义为底线防守。技术效果是将数据库存储层的明文数据替换为密文,并设置严格的权限校验机制,即使退一万步,数据库文件已经泄露,没有密钥和最高权限,任何人都无法破解。如果按照每笔节省16美元的成本来算,一个技术手段的实施,可以让一次大规模过万条记录的数据泄露事件成本直接下降数十万美元,乃至更高。
借助事件响应小组识别并控制数据泄漏的时间
在今年的研究中,事件响应(IR)团队降低了每个泄露记录19美元成本。因此,具有强大的IR能力的公司预计调整后的成本为122美元(每笔记录141-19美元)。
国内的少数大型企业会成立专门的安全应急团队,此外,专业的安全企业也应当具备安全攻防的研究能力,能够为用户提供及时有效的安全事件响应,通过审计追查等技术手段及人工分析快速定位泄露源,在最短时间内控制泄露规模和态势,并能够通过分析攻击样本,提供有效的安全加固策略。
无法快速识别数据泄露而增加的成本
通过了解报告中的观点和分析,这些精确的数学核算让我们对数据泄露的后果和影响有了更感性的认识。这些有价值的安全建议和技术手段并不会花费太大的成本,然而却可以让企业和组织不再为此类负面事件付出数百甚至数千倍的高昂成本,这其中的性价比应该是相当划算的。