安全领导者习惯于考虑纵深防御，并确保其安全堆栈和整体架构提供弹性和保护。虽然此模式在今天仍然适用，但也许是时候考虑转向数据优先的安全模式了。这意味着数据管理需要与当今的用例相对应，并且数据是需要在整个生命周期、使用和处置过程中受到保护的核心资产。2024 年版《数据泄露成本报告》提供了有力证据来支持数据安全领域的范式转变。
此报告展示了全球 604 个组织、17 个行业中真实泄露事件的原因、成本影响及恢复情况的相关研究。调查结果揭示了一些有趣的趋势，可能有助于解决数据难题，包括对安全、隐私、治理和监管的影响。所有这些方面已经证明，由于急于提供新的生成式 AI 计划并将其迅速推向市场，而将安全问题抛在脑后并导致风险上升。值得警惕的是，最近一项关于生成式 AI 安全性的高管调研显示，只有 24% 的新计划包含安全组件。
如今，数据已成为公司依赖的主要资产。尽管数据为王，但其管理和保护仍未充分，从而无法匹配其重要性及数据丢失可能带来的影响。让我们看看数据、数据旅程及其生命周期保护范式如何成为数据泄露成本的主要构成因素。
数据比以往任何时候都更为分散；今年发生的泄露事件中有 35% 涉及存储在非托管数据源中的数据，即“影子数据”。这意味着数据没有得到适当分类或根本没有分类、没有得到适当保护，也没有按照其生命周期进行管理，且无论是在组织内部还是移动到组织内部时。考虑到 25% 涉及影子数据的泄密事件仅发生在本地，此情况很可能凸显数据治理漏洞、数据隐私问题和即将到来的监管影响等形式的未管理风险。
此外，涉及影子数据的泄露事件的识别时间延长了 26.2%、控制时间延长了 20.2%，从而达到平均需要 291 天。此情况不可避免地导致涉及影子数据的泄露成本平均达到 527 万美元，但如果将泄露对生态系统中其他对象的溢出效应、潜在合同问题和诉讼考虑在内，这些则还只是冰山一角，且是泄露事件发生 2-3 年后会继续累加的长尾成本的其中一部分。
当数据没有得到有效的存储和编目时，便无法进行适当的分类，因此也无法得到充分的保护。这些数据很可能是应已标记为“受限”或“机密”的数据，而这也引出了报告中的下一统计数据。攻击者在泄露期间能访问更多敏感数据，从而导致 IP 盗窃事件增加 26.5%。每条记录的 IP 丢失成本远高于去年，从 2023 年报告中的每条记录 156 美元上升到 2024 年的 173 美元，增幅高达 11%。
不过，让我们暂且抛开这笔高昂的费用不谈。IP 盗窃的影响实际上意味着组织将失去竞争优势。它可能会损失预计可从战略性 IP 中获得的可观市场份额与收入。考虑到大多数组织正在积极开发它们希望专门用来盈利的创新型生成式 AI 应用程序，哪个股东不会对此统计数据感到担忧呢？
数据保护缺陷的一个代价高昂的副作用是业务损失和声誉受损，而平均损失额则高达 147 万美元，占 2024 年数据泄露平均成本增量的绝大部分。
随着生成式 AI 成为当今的新一轮 AI 热点，组织中的各个利益相关者很容易使其面临未经管理的风险，而这些风险与未经批准的数据、模型和 AI 的整体使用相关。IT 与安全团队可能看不到这些用途，从而可能引发有影响力的事件。
另一风险因素则是用于 AI 实施的数据集来自多个第三方提供商。如果不受安全团队管理，这些外部来源则会增大中毒和漏洞等风险。但更隐蔽的风险则是影子模型，以及流入和流出云环境的大量未加密的训练数据。
例如，在以下场景中：某医疗保健组织使用生成式 AI 来识别胸部 X 光片中的异常情况。它们会将图像发送到云端以接收结果，但图像会以未加密的形式进行传输和使用。攻击者会访问这些图像，然后勒索医疗保健提供方支付赎金。明文或任何其他应加强保护的未受保护数据也会出现此情况。如果受影响的数据主体不久便被提起诉讼，请不要惊讶。
当今，大多数组织如果无法访问数据，便几乎会完全失去生产力。从最简单的员工生产力到复杂的数据驱动型企业，公司并不把数据视为其业务的副产品。数据是组织调整其文化、组织和技术以实现持续创新和可持续业务增长所依赖的主要资产。数据理应根据其分类进行适当的管理和保护，并使用正确的技术来实现此目标。
由于数据显然会分布在各种环境中并在很多情况下仍然处于暴露状态，因此重新获得控制权的一种方法便是通过数据安全状况管理 (DSPM) 来实现。DSPM 是一种网络安全技术，可识别多个云环境和服务中的敏感数据，从而评估其对安全威胁的脆弱性以及监管不合规的风险度。安全团队可使用 DSPM 直接保护数据，而不是保护用于存储、移动或处理数据的设备、系统和应用程序。
鉴于生成式 AI 解决方案中的数据规模和使用场景，组织必须重新思考其数据生命周期以及如何大规模保护数据。考虑通过保护训练数据免受盗窃和篡改来保障其安全。组织可使用数据发现和分类方法，检测用于训练或微调的敏感数据。此外，组织还可在加密、访问权限管理和合规性监控的过程中，落实数据安全控制措施。将态势管理扩展到 AI 模型，以保护敏感的 AI 训练数据、了解未经批准或影子 AI 模型的使用情况、恶意漂移、AI 滥用或数据泄露情况。
数据隐私监管机构已对数据的使用提出广泛要求。对于支持 AI 的解决方案和场景中使用的数据，这些要求正变得越来越复杂和细致。这意味着传统的数据保护功能可能不足以满足需求，而需要更强大的分类、保护与监控机制以及改进的控制措施以用于审计和监督。
在今年的第 19 版《数据泄露成本报告》中，它为 IT、风险管理与安全领导者提供了及时、可量化的证据，以指导他们进行战略决策。此外，它还能帮助团队更好地管理风险状况和安全措施投资。今年，这些统计数据提供了来自 604 个组织以及经历过数据泄露的 3,556 名网络安全与商业领导者的相关经验的洞察分析。下载此报告的副本，借助真实示例和专家建议来降低风险，从而增强自身的防范能力。