新的研究报告显示,2023年内部风险事件成本上升40%,非恶意内部人员占比高但恶意行为代价更大。企业对内部威胁的认识增强,计划增加投资以改善管理,AI和ML技术被视为关键工具。
DTEX和波耐蒙研究所(Ponemon Institute)最新的内部风险成本报告显示,到2023年,每个组织的内部风险事件平均年成本已从2022年的1540万美元上升至1620万美元。这意味着在过去4年里增长了40%。
研究还发现,内部事件的数量从去年的6803起增加到7343起。与2022年相比,2023年控制事件所需的平均天数保持相似,分别为86天和85天。遏制和补救是最昂贵的活动中心,每起事件分别为179209美元和125221美元。
不出所料,企业对内部事件的响应时间越长,成本就会显著上升。Ponemon和DTEX发现,花费91天以上来控制此类事件的企业每年面临的成本超过1833万美元。
该研究确定了两类内幕风险行为者。非恶意的内部人员并不寻求造成伤害,而是通过疏忽、错误或被恶意行为者欺骗来造成伤害。
相反,恶意的内部人员确实寻求忽视损害,从事诸如知识产权盗窃、未经授权的披露、破坏和欺诈等活动。
该报告对1075名安全和IT专业人士进行了调查,结果显示,非恶意内部人员占攻击事件的75%。这是由疏忽或错误造成的(55%),平均成本为505113美元。或者被外部行为者欺骗(20%)。
虽然恶意内部威胁仅占攻击事件的四分之一,但应对这些事件的成本要高得多,平均每起事件要花费企业70.15万美元。
尽管内部风险带来了巨大的威胁,但88%的受访组织在这方面投入的IT安全预算不到10%,平均为8.2%。剩余的预算用于应对外部威胁。
事实上,只有6%的组织表示IT安全部门负责内部风险管理,而最常见的负责部门是法律部门(34%)。
令人鼓舞的是,安全专业人士似乎意识到了这种不平衡,58%的受访者认为目前的内部威胁管理水平是不够的,近一半(46%)的组织计划在2024年增加对内部风险项目的投资。
超过四分之三(77%)的受访者表示,他们已经启动或计划启动内部风险计划。此外,近三分之二(64%)的受访者表示,他们认为人工智能和机器学习技术在主动检测内部威胁方面至关重要或非常重要。
DTEX Systems首席技术官Rajan Koo评论道:“我们很受鼓舞的是,组织计划增加对内部风险项目的投资,因为这是客户和新行业法规的要求,而不仅仅是因为以前的事件。这是一个重大的变化,预示着长期以来的关注和优先考虑。”
扫一扫
420
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
