根据基于AI的风险管理技术提供商Dtex Systems与安全研究公司Ponemon Institute合作发布的一份报告,公司普遍资金不足,花在每个员工上的安全支出约为200美元。这份报告基于对1000多名IT安全决策者的调查,发现58%的受访者认为这笔钱不够。
根据这份报告,这种支出不足的后果可能是严重的。内部风险的总平均成本从2022年的1540万美元上升到2023年的1620万美元,而在同一时期,遏制源自内部人员的安全威胁所需的平均天数从85天增加到86天。
Ponemon Institute将内部威胁分为三类。首先,由于恶意内部人士希望损害公司,比如心怀不满的员工,因此出现了威胁。其次,威胁的产生是因为外部攻击者利用了一名易受攻击的员工,而这名员工被网络钓鱼或类似的骗局所欺骗。最后,在成本最高的类别中,报告描述了疏忽的内部人员,他们忽视了来自安全系统的警告,或错误地配置了系统。
在内部事件响应上花费的资金中,超过一半(55%)用于疏忽或错误导致的问题,相比之下,20%的新型攻击利用了业务人员或IT员工,25%的资金是由活跃的恶意内部人员造成的。
报告作者断言,这意味着安全团队可以通过专注于检测和预防来节省大量资金,而不是被迫将资金花在补救上。最终,研究发现,内部风险管理预算中只有10%花在了事前支出上——每个事件约为64000美元。每起事件剩余的565363美元用于遏制、补救、调查、事件响应和升级。
报告称:“资金正被不经意间误导,部分原因是人们普遍忽视了内部风险,以及这些风险是如何根据早期预警行为表现出来的。”“在我们如何定义和讨论企业和政府实体的内部风险方面,需要一种全行业的方法来找到共同点。”
