IBM《資料外洩成本報告》：外洩憑證與雲端配置錯誤為最大的攻擊媒介

IBM近日公布了從2019年8月到2020年4月的《資料外洩成本報告》（Cost of a Data Breach Report），該報告蒐集了在這期間來自17個國家、17個產業的524起資料外洩事件，顯示有52%的資料外洩事件源自於惡意攻擊，在惡意攻擊中，駭客主要利用的三大媒介依序是外洩憑證（19%）、雲端配置錯誤（19%），以及第三方軟體的安全漏洞（16%）。

今年每起資料外洩事件的平均成本為386萬美元，相關的成本計算了業務的流失、企業的偵測及回應行動，以及通知執法/監管機構與受害者等。

該報告向來都會分析資料外洩的原因，通常歸類為惡意攻擊、系統故障及人為疏失等三大類，而今年特別就惡意攻擊的媒介進行細分。

整體而言，在524起資料外洩事件中，有52%來自惡意攻擊，25%肇因於系統故障，而有23%屬於人為疏失，上述事件所帶來的平均成本分別是427萬美元、338萬美元與333萬美元，顯示出惡意攻擊的資料外洩事件所導致的成本最高。

而在惡意攻擊中，有19%是利用外洩憑證，19%源自雲端的錯誤配置，16%是開採了第三方軟體的安全漏洞，還有14%是透過網釣攻擊。其中，使用已洩露的憑證進行攻擊不只是駭客最常用的手法，也替企業帶來最高的成本，相關攻擊所招致的成本大約為475萬美元，居次的則是開採第三方軟體漏洞的450萬美元。

另一方面，基於惡意攻擊的資料外洩事件中，有53%起源於財務動機，有13%是由國家級駭客所發動，另外13%則是單純的駭客行為。