行业投资评级 - 报告未明确给出行业投资评级 [1][2][3][4][5][6][7][8][9][10] 核心观点 - AI监管缺位导致企业为追求快速上马跳过AI安全治理环节 缺乏监管的系统更容易遭受攻击且失陷后损失更为惨重 [1][2] - 全球平均数据泄露成本从2024年的488万美元降至444万美元 降幅达9% 回归至2023年水平 成本下降主要得益于事件识别与遏制速度的提升 [3] - 美国地区数据泄露成本激增9%达到1022万美元 创下区域历史新高 主要因监管罚款增加以及检测升级成本上升 [3] - 企业AI系统直接引发的安全事件占比13% 其中近全部（97%）缺乏完善的AI访问控制 最常见安全事件发生在AI供应链中 由受污染的应用程序 API或插件引发 导致广泛数据泄露（60%）和业务中断（31%） [4] - 恶意内部攻击连续两年位居高成本初始威胁向量首位 平均造成492万美元损失 第三方供应商与供应链攻击以491万美元紧随其后 最高发攻击类型是钓鱼攻击（占比16%） 平均成本480万美元 [4] - 建议强化身份安全 涵盖人类与机器 借助AI与自动化技术加固身份安全 优化IAM而不加重安全团队人力负担 [6] - 必须强化凭证生命周期治理 包括分配 轮换 审计 保护及注销 并监控NHI行为 降低凭证滥用风险 [7] - 应对凭证威胁的关键在于阻断攻击者获取凭证途径 最有效方式之一是确保全员采用防钓鱼验证方法（如密钥） 消除传统密码和一次性验证码漏洞 [7] 研究数据与方法 - 报告基于波耐蒙研究所独立汇编的研究数据 累计分析6485起数据泄露事件 访谈34652位参与事件响应的技术 安全及业务负责人 [2][10] - 波耐蒙研究所成立于2002年 致力于通过独立研究和教育活动推进负责任的信息和隐私管理实践 坚持严格数据保密 隐私与道德研究标准 [10] 企业背景 - IBM是全球领先的混合云 AI与商业服务提供商 服务超过175个国家和地区的客户 帮助利用数据洞察 精简业务流程 降低成本并获得竞争优势 [8]