在Ponemon Institute最新发布的《2017年数据泄露成本研究：美国》中，报告提出了以下几点：平均数据泄露成本360万美元每行数据泄露成本为141美元主要的一点是成本/记录已经从几年前的208美元下降到现在，当时这项研究成为主流。这是有道理的，因为数据大小在过去几年里呈指数级增长。他们说要花6个多月的时间才能控制一个漏洞，但并没有透露他们使用什么方法来达到这个数字。你可以修补防火墙漏洞，但一旦数据丢失，数据就会消失，人们不会每隔6个月更改姓名和出生日期。报告还提到，53%的数据泄露发生在生产和非生产过程中，原因是故意的恶意或疏忽。这应该引起警觉——一半的风险来自于组织内部，而大部分数据都位于组织内部。最近发生的三起违规事件凸显了这些事实。Equifax - 1.43亿欧元，或者说美国的每个CC持有人的SSN都被泄露了，问题是生产系统补丁没有被应用，并且隐瞒了数月的漏洞。事件的控制更加麻烦，因为响应被托管在一个单独的站点上，而这个站点也是脆弱的。他们的Twitter句柄转发到钓鱼网址的链接。某些特权帐户具有默认凭据（admin/admin）。这一回应让艾奎法克斯成为了一个笑话磁石，山猫也团结起来反对他们：《连线》在这里列出了一份失态的名单。公司的审计师安永（EY）不得不承担一些负担，他说CySec超出了审计范围。德勤（Deloitte）--他们在为其他所有人提供安全建议的同时，也出现了这种违规行为，尽管他们的回答是尊重他人的。值得注意的一点是，它发生在Azure云上的一个SQL服务器上，泄漏了大量带有附件和PHI/PII的电子邮件。这是第一个涉及云的重大事件，然而，社会工程和密码提取是这次盗窃的罪魁祸首。非prod中的数据屏蔽和更好的培训本可以防止这种情况的发生。第三个例子是SEC，他说去年他们的EDGAR系统发生了一次入侵，而非prod测试环境是目标。同样，请注意这种模式：恶意攻击者现在针对的是驻留在不太安全的环境中的备用数据源，而审计和访问控制与它们的生产对手相比更为宽松。据《经济学人》最近的一项研究指出，数据是世界上最有价值的资源，其规模正呈指数级增长。大多数组织都有10个不太安全的生产数据拷贝。想象一下风险的表面区域。这是任何DLP计划都要解决的警告，但由于很难做到而滞后。希望随着攻击和泄露，非生产数据将得到应有的尊重。下一次有人问数据泄露的代价是什么，让他们从敏感记录数乘以141美元开始。