2023년 데이터 유출 비용 보고서의 새로운 내용

What’s new in the 2023 Cost of a Data Breach report

새로운 연구에 따르면 데이터 유출 비용이 지속적으로 증가하여 전 세계 평균 445만 달러로 사상 최고치를 기록 했으며, 이는 3년 동안 15% 증가한 수치입니다. 의료 산업은 13년 연속 가장 유출로 인한 비용이 높은 산업으로 계속해서 상위권을 차지했습니다. 그러나 유출로 인한 비용이 계속해서 증가함에 따라 이번 연구는 데이터 유출 비용을 억제할 수 있는 새로운 기회를 제시합니다.

제18차 연간 데이터 유출 비용 보고서는 포네몬 인스티튜트(Ponemon Institute)가 독립적으로 수행하고 IBM Security가 분석한 내용을 기반으로 합니다. 보안 업계의 선도적인 벤치마크 연구인 이 보고서는 IT, 위험 관리 및 보안 리더가 보안 태세의 격차를 파악하고 비용이 많이 드는 데이터 유출로 인한 재정적, 평판 손실을 최소화하는 데 가장 성공적인 조치가 무엇인지 파악할 수 있도록 구성되었습니다.

2023년 보고서는 553개 조직에서 발생한 실제 데이터 유출 사례를 분석하여 수천 명의 개인 인터뷰 및 수백 개의 비용 요인을 분석하여 결론을 도출했습니다.

(연구 대상은 2022년 3월부터 2023년 3월 사이에 이루어졌으며, 이 게시물에서 연도에 대한 언급은 반드시 유출이 발생한 연도가 아닌 연구 연도를 의미합니다).

Data breach costs continue to grow, according to new research, reaching a record-high global average of $4.45 million, representing a 15% increase over three years. Costs in the healthcare industry continued to top the charts, as the most expensive industry for the 13th year in a row. Yet as breach costs continue to climb, the research points to new opportunities for containing breach costs.

The research, conducted independently by Ponemon Institute and analyzed and published by IBM Security, constitutes the 18th annual Cost of a Data Breach Report. A leading benchmark study in the security industry, the report is designed to help IT, risk management and security leaders identify gaps in their security posture and discover what measures are most successful at minimizing the financial and reputation damages of a costly data breach.

The 2023 edition of the report draws analysis from a collection of real-world data breaches at 553 organizations, with thousands of individuals interviewed and hundreds of cost factors analyzed to create the conclusions in the report. (The breaches studied occurred between March 2022 and March 2023, so mentions of years in this post refer to the year of the study not necessarily the year of the breach.)

보고서 살펴보기

데이터 유출 비용 보고서의 주요 결과

Top findings from the Cost of a Data Breach report

다음은 2023년 데이터 유출 비용 보고서의 주요 결과 중 일부입니다.

Below are some of the top findings from the 2023 Cost of a Data Breach Report.

1. 보안 AI 및 자동화, DevSecOps 접근 방식, 사고 대응(IR) 계획이 비용 절감 효과를 보였습니다. 가장 효과적인 보안 도구 및 프로세스 중 일부는 보안 AI와 자동화를 통해 평균 유출 비용을 수백만 달러 절감하는 데 도움이 되었습니다. 보안 AI 및 자동화를 광범위하게 사용한 기업은 제한적으로 사용하거나 전혀 사용하지 않은 기업에 비해 평균 176만 달러를 절감했습니다. 한편, 사전 예방적 보안 계획 및 프로세스에 대한 강력한 접근 방식을 갖춘 연구 대상 조직도 큰 이점을 얻었습니다. DevSecOps 접근 방식(소프트웨어 개발 주기에 보안을 통합하는 방법론)을 적극적으로 사용한 조직은 평균 168만 달러를 절약했습니다. 또한 인시던트 대응(IR) 계획과 높은 수준의 IR 계획의 테스트의 사용도 평균 149만 달러의 비용을 절감했습니다.

1. Security AI and automation, a DevSecOps approach, and incident response (IR) plans led the way in cost savings. Some of the most effective security tools and processes helped reduce average breach costs by millions of dollars, led by security AI and automation. Those that used security AI and automation extensively saved an average of $1.76 million compared to those that had limited or no use. Meanwhile, organizations in the study that had robust approaches to proactive security planning and processes also reaped large benefits. A high-level use of a DevSecOps approach (a methodology for integrating security in the software development cycle) saved organizations an average of $1.68 million. And a high-level use of incident response (IR) planning and testing of the IR plan was also advantageous, leading to reduced costs of $1.49 million on average.

2. AI와 ASM은 유출 사고의 식별 및 억제 속도를 높였습니다. 보안 AI와 자동화를 광범위하게 사용하는 조직은 보안 AI와 자동화를 사용하지 않는 조직보다 평균 108일 더 빠르게 사고를 탐지하고 억제했습니다. 또한 공격자의 관점에서 보안 취약점을 찾는 데 도움이 되는 솔루션인 ASM을 사용하는 조직은 사용하지 않는 조직에 비해 대응 시간을 평균 83일 단축하는 데 도움이 되었습니다.

2. AI and ASM sped the identification and containment of breaches. Organizations with extensive use of security AI and automation detected and contained an incident on average 108 days faster than organizations that didn’t use security AI and automation. Additionally, ASMs, solutions that help organizations see the attacker’s point of view in finding security weaknesses, helped cut down response times by an average of 83 days compared to those without an ASM.

3. 데이터가 여러 환경에 저장된 경우 비용이 많이 들었고 유출을 막는 데 더 오랜 시간이 걸렸습니다. 클라우드에 저장된 데이터는 전체 데이터 유출 사고의 82%를 차지 했으며, 온프레미스 데이터 스토리지에만 관련된 유출 사고는 18%에 불과했습니다. 연구에서 데이터 유출 사고의 39%는 여러 환경에 저장된 데이터와 관련이 있었으며, 이는 다른 유형의 유출 사고보다 더 많은 비용이 들고 대응하기 어려웠습니다. 여러 환경에 걸친 데이터 유출을 차단하는 데 걸린 시간은 292일로, 전 세계 평균보다 15일 더 걸렸습니다. 또한 여러 환경에 저장된 데이터의 평균 유출 비용이 약 75만 달러 더 증가 했습니다.

3. Costs were high and breaches took longer to contain when data was stored in multiple environments. Data stored in the cloud comprised 82% of all data breaches, with just 18% of breaches involving solely on-premises data storage. 39% of data breaches in the study involved data stored across multiple environments, which was costlier and more difficult to contain than other types of breaches. It took 292 days, or 15 days longer than the global average, to contain a breach across multiple environments. Data stored in multiple environments also contributed to about $750,000 more in average breach costs.

4. 침해를 탐지하는 내부 팀이 있는 조직은 비용을 억제하는 데 훨씬 더 효과적이었습니다. 연구에서 침해 사고의 33%만이 조직의 내부 도구와 팀에 의해 식별되는 반면, 법 집행 기관과 같은 중립적인 제3자 조직은 40%의 침해를 식별 했고 나머지 27%의 침해 사고는 랜섬웨어 공격과 같이 공격자에 의해 공개 되었습니다. 그러나 내부적으로 침해 사고를 파악한 조직은 공격자가 공개한 침해 사고에 비해 평균 100만 달러의 비용을 절감했습니다. 보안에 대한 투자는 IR 계획 및 테스트, 직원 교육, 위협 탐지 및 대응 도구가 앞섰습니다. 이 연구에 따르면 침해 사고 이후 보안 투자를 늘렸다고 답한 기업은 51%에 불과했지만, 투자를 늘린 기업은 데이터 침해 비용을 억제하는 데 효과적인 분야에 집중하여 상당한 ROI를 거둔 것으로 나타났습니다. 이러한 조직의 50%는 IR 계획 및 테스트에, 46%는 직원 교육에, 38%는 SIEM과 같은 위협 탐지 및 대응 도구에 투자할 계획이라고 답했습니다.

4. Organizations with internal teams that identified the breach fared much better at containing the cost. Just 33% of breaches in the study were identified by the organization’s internal tools and teams, while neutral third parties such as law enforcement identified 40% of breaches and the remaining 27% of breaches were disclosed by the attackers, such as in a ransomware attack. However, those organizations that identified breaches internally saved on average $1 million compared to breaches disclosed by the attackers. Investments in security were led by IR planning and testing, employee training and threat detection and response tools. Although just 51% of organizations said they increased security investments after the breach, those that did increase investment focused on areas that were effective at containing data breach costs, for a significant ROI, according to the study. 50% of those organizations plan to invest in IR planning and testing; 46% in employee training; and 38% in threat detection and response tools such as a SIEM.

다음 단계

Next steps

데이터 유출 비용 보고서에는 훨씬 더 많은 양질의 연구 결과가 포함되어 있지만, 가장 중요한 구성 요소는 보고서의 결과를 기반으로 한 IBM 보안 전문가가 제공하는 보안 권장 사항입니다.

보고서 랜딩 페이지에서 보안 권장 사항을 확인하고 등록하여 보고서 전문을 다운로드할 수도 있습니다.

There’s a lot more quality research in the Cost of a Data Breach Report, but the most valuable component is the security recommendations from IBM Security experts, based on findings from the report.

View our security recommendations on the report landing page, where you can also register to download the full report.

Artificial Intelligence (AI) | Banking | Chief Information Security Officer (CISO) | Cloud Security | Cyberattacks | Cybersecurity | Data Protection | Energy and Utilities | Financial Data | Government | Healthcare | Incident Response (IR) | Malware | Phishing | Security Intelligence | Security Services

https://securityintelligence.com/posts/whats-new-2023-cost-of-a-data-breach-report/?utm_medium=OSocial&utm_source=Linkedin&utm_content=RSRWW&utm_id=Security2023-07-31-CODB2023Drumbeat1.SIBlog.IBMSecurityLI&sf180575158=1