SpyCloud 恶意软件就绪和防御报告

恶意软件就 绪&防 御报 告 TABLE OF CONTENTS 成长曝光从恶意软件感染3 关于theSpyCloudSurvey5 钥匙Findings7 The风险andImplicationsof恶意软件感染10 恶意软件aBig关注forOrganizations11 13下一代Account接管Is在这里andNotGoing离开很快 20常规Responsesto恶意软件感染:What 's失踪? 更改the范式22 最终Thoughts24 25关于SpyCloud 不断增长的暴露恶意软件感染 我们的数字fi第一生命，无论是个人还是职业，都推动了关于我们每个身份的在线信息-来自凭据和其他形式对个人身份信息(PII)的身份验证。尽管我们创建了这个世界和其中不断发展的技术，跟上快节奏数字扩张似乎是人类不可能的-组织和个人在确保新的经商方式方面继续落后。但是网络犯罪分子没有速度或敏捷性的问题；他们创新他们的随着数字景观的快速发展，技术和战术包括先进的在他们的行为引发任何红色之前很久，就可以快速传输数据和访问的方法flags. 认证（或会议）烹饪或令牌当您登录到站点或应用程序时，服务器设置临时会话浏览器中的cookie或令牌。此让应用程序记住您已登录并进行身份验证。许多身份验证Cookie最后一个令人惊讶的长时间(几个月或longer). 这种犯罪创新创造了一种网络犯罪流行病 各种规模的组织。网络犯罪的成本预计为超过两倍在接下来的fiVe年中，从2023年全球估计的11.5万亿美元飙升到2028年达到23.82万亿美元。网络事件不仅排名靠前商业风险，但也是导致业务中断的最令人担忧的因素。其中大部分恐惧源于勒索软件的风险。 勒索软件可能造成严重破坏深远的影响, and也许这就是为什么它排名为顶级网络威胁这让安全领导人保持在但是，将更多的资源投入到这个问题上似乎并不能解决问题。SpyCloud的2022年勒索软件防御报告发现越来越多的悲观情绪对安全专业人员进行了调查，了解他们避免攻击的前景，同时过去12年受到勒索软件攻击的组织数量fi显著增加了几个月。 管理不足的设备当前未打开的公司设备安全更新，如端点保护或反恶意软件解决方案。 这场失败之战的最大原因之一是恶意软件的扩散攻击，达到55亿去年。受恶意软件感染的员工设备创建进入组织的直接路径，因为Infostealer恶意软件包括新的fi，来自目标URL、登录凭据、密钥和身份验证的准确数据设备和系统信息的cookie /令牌，可以轻松模拟。利用这些数据，攻击者可以模仿员工的访问成功并犯下网络犯罪，如账户接管、会话劫持和勒索软件攻击。SpyCloud将近一半的暗网暴露数据去年重新夺回来自僵尸网络（一种常见的部署方法Infostealers) -这一趋势正在迅速增长。 术语表 会议劫持（下一个-Generation ATO)在传统账户接管(ATO)攻击,罪犯使用他人的登录凭据，通常由利用重复使用的或类似的密码从以前被入侵的网站，以获得访问现有帐户。越来越多，犯罪分子正在访问帐户via会话劫持-或“下一个-代账户接管。“。使用被盗的身份验证Cookie，包括fi注释从恶意软件感染的设备绕过任何形式的凭据，从密码到密钥甚至多因子身份验证(MFA)，犯罪分子可以冒充员工并获得轻松访问私人信息。 尽管恶意软件吸取的数据为勒索软件创建了入口点，并且作为“初始访问”出售给勒索软件运营商，大多数组织都没有修复恶意软件感染的全部范围。缺乏全面的感染后补救可以使组织更长时间暴露为恶意演员利用仍然有效的前fi循环数据发动有针对性的攻击。 在本报告中，我们研究了组织当前如何解决恶意软件感染并确定fi所有差距的机会。正如我们在fi中指出的那样，我们所有人都在运营的数字环境增加了恶意软件的风险，同时降低了安全团队对不断增长的攻击面的可见性。除了呈现调查结果，本报告讨论了感染后被忽视的方面补救措施以及组织可以做些什么来降低他们最大的风险恶意软件暴露导致的破坏性攻击。 阴影数据类似于影子IT的概念，这引用创建的敏感数据，共享或存储在权限之外属于IT安全团队，因此不受公司安全约束策略。影子数据可以包括创建的公司文档个人设备,敏感数据已保存在外部设备上，或从存储的数据不再使用的应用程序，以命名几个。 关于Spycloud调查 我们的目标是深入了解当前的恶意软件修复实践和网络安全领导者的优先事项和从业者。我们调查了美国和英国的317名个人，他们在组织中担任积极的IT安全角色从500名员工到25, 000多名员工。 调查检查了以下领域： 对网络安全威胁和恶意软件暴露的担忧安全措施和事件响应协议感染后补救能力和最佳实践 我们征求了从业人员的回复，包括IT安全分析师和事件响应者、主管+领导和CISO。近三分之一的参与者是安全从业人员和领导角色之外的其他人(图1)。 1, 000 - 4, 999个组织代表了最大的队列，占38％（图2）。 关键发现 11.人类行为——有意和无意——是核心风险driver.由于勒索软件仍然是安全团队的头号威胁，我们的调查发现网络钓鱼是组织关注的第二大威胁，表明意识到人为因素在暴露中起着重要作用。然而，缺乏强大的安全实践和资源留下了防御。现代劳动力期望轻松和便利，包括能够以有限的摩擦力从任何地方访问应用程序和数据。不幸的是，提供这种便利通常会降低安全性。我们发现许多组织继续允许不良的安全措施，例如通过非托管或共享设备访问业务应用程序的能力在公司和个人设备之间同步浏览器数据。 22.不断变化的数字环境造成了恶意软件的高风险感染。 向数字和云first环境的转变改变了员工工作。在寻求效率fi效率和提高生产率的过程中，他们拥抱各种第三方工具，但其中一些采用在IT的控制之外。我们的调查发现，超过50%的组织让员工在没有IT的情况下设置应用程序和系统同意。这些“影子IT“资源，加上员工人数的增加和承包商在未管理和未管理的情况下访问公司资源设备，为安全创造盲点-不仅在访问和应用程序控制-而且在创建“影子数据”时也是如此。因此，组织对这些设备的可见性有限或没有可见性，也没有对关键设备的可见性访问和敏感数据，这些数据超出了他们的控制范围。 33.组织担心恶意软件感染，但缺乏有足够的措施来纠正他们。 绝大多数99%的受访者认为他们的组织是关注恶意行为者使用恶意软件-如fi相关数据进行犯罪后续攻击，如帐户接管和勒索软件。但是，许多企业在恶意软件修复或过时事件方面存在差距限制完全感染解决范围的响应实践，停止一些关键步骤，例如使脆弱的Web会话无效暴露的应用程序和重置密码。没有对恶意软件的可见性员工、承包商和供应商使用的每台设备-没有4人员、工具和时间来正确应对感染-安全团队无法跟上这种威胁，这为恶意行为者打开了大门一次又一次的攻击。 4. Infostealers是一个日益增长的关注-和流行的策略，应该在每个SecOps团队的雷达上。 安全运营（SecOps）团队对信息窃取者趋势保持警惕：调查受访者将信息窃取者列为他们第三大关注。此外,98％的人同意更好的能力来获得清晰的业务图景面临受Infostealer感染设备风险的应用程序将显著改善fi他们的安全状况。专门设计fi来窃取凭证和其他形式受感染机器的访问，信息窃取者越来越多由于其易于部署、扩展能力和高成功率而常见。最近关于安全的报道调查和事故补救发现恶意行为者在2022年与上一年相比，这两个国家的患病率都有所增加使用Infostealers和购买被盗凭证。 55.当前的恶意软件响应实践在感染后留下了空白补救。 尽管人们对信息窃取者的风险意识很高，但不能这样说。组织有能力最大限度地减少这种类型的潜在损害恶意软件。擦拭干净设备并不能完全消除造成的损害这种恶意软件感染。根据SpyCloud的研究，每次感染公开访问平均26个业务应用程序。检测和动作在这些暴露上迅速对破坏恶意行为者的尝试至关重要伤害组织。然而，这一final步骤是一个弱点-组织排名their ability to identify application exposure below other remediation steps. Our调查还发现，超过三分之一的组织不重置应用程序密码和超过四分之一甚至不审查应用程序日志妥协的迹象。 疟疾感染的风险和意义 在过去的几年里，勒索软件已经成为一个严重的问题80%由调查的安全领导者世界经济论坛将其称为对公共安全的不断发展和危险的威胁。成本不断上升: at450万美元，勒索软件攻击的平均成本高于数据泄露（435万美元），而这并不是甚至数着赎金. 虽然一些研究表明勒索软件攻击率在过去一年一直保持在水平，这并没有缓解安全领导者和从业者的担忧。我们的调查受访者排名勒索软件是最大的威胁，其次是网络钓鱼/鱼叉网络钓鱼和信息窃取者（图3）。 值得注意的是，这三个威胁是齐头并进的：恶意行为者可能会在设备通过用户成为电子邮件网络钓鱼活动中的恶意链接或图像的牺牲品，并且一旦设备被受感染的用户数据或有价值的公司数据被提取，他们可以发起更复杂的勒索软件攻击-或将这些数据出售给其他威胁参与者，然后他们这样做。 此外，infostealer日志包含对企业应用程序的被盗访问，从SSO实例到fi财务系统、客户数据库和代码库在犯罪地下已经变得丰富，并且整个市场都专注于这种类型的“提供”。仅一个市场，创世纪市场，提供的不仅仅是我们的研究发现，仅在2022年就有430, 000个被盗身份。虽然在2023年初被执法部门关闭，但在过去6年，创世纪提供了被盗数据80 +百万帐户访问凭据专门针对初始访问经纪人（IAB），他们通过此被盗数据向勒索软件运营商出售有保证的直接访问。 恶意软件是组织的主要关注点 正如我们的调查显示的那样，组织对恶意软件的潜在危害没有幻想。调查不到1% 受访者表示，他们并不担心来自认证、身份、 会话，以及来自受感染设备的其他数据，53%的人表示他们非常关注(图4)。 虽然较大的组织往往有更好的由于更多的资源和更多的防御复杂的做法，尺寸没有出现在这里有所作为：与所有尺寸类别的平均值，来自25, 000家企业的受访者或更多的员工只是略少担心数据被盗导致未来的攻击（图5）。 这种担心并非没有根据。去年，SpyCloud研究人员恢复了7.215亿个暴露的用户名和密码来自地下犯罪的组合，与48.5%例如fi从受恶意软件感染的设备(以及其余的在第三方违规中泄漏）。此外，恶意软件日志包含其他凭据，包括身份验证Cookie -它使恶意行为者能够劫持一个会话不提供密码、密钥或第二因子-冒充员工，不受限制地访问有价值的系统和网络，并创造机会实施代价高昂的破坏性网络攻击。 缺乏能见度阻碍了进展 虽然担忧程度很高，但对这一风险的可见性似乎很低：98%的受访者认为对Infostealer感染所暴露的业务应用程序将增加安全状况（图6）。这是一个组织需要优先考虑的领域。他们必须fi找出如何解决可见性问题，因为任何只要这一差距存在，降低暴露风险的努力将仍然无效。 下一代账户接管在这里和不会很快离开 人类因素：通用螺纹 我们惊讶地得知，账户接管并不是一个大问题组织，在九个类别中排名倒数第二。勒索软件可能会引起安全团队的注意，但下一代恶意软件感染导致的帐户接管(ATO)仍应被认为是高风险。会话劫持-下一代ATO的一种形式-源自使用被盗的会话的接管（或“劫持”），仍然有效的身份验证cookie，以显示为合法的verified克隆员工。这种方法超越了传统的凭证曝光和扩展了犯罪分子现在可以用来承担经过身份验证的用户。犯罪分子利用这些活动会话来执行filtrate数据，并监视和模仿用户行为模式。光是去年,SpyCloud研究人员重新获取了220亿条被盗cookie记录, which表明犯罪分子正在改变策略来窃取、购买和交易这一点准确和非常有价值的数据，最大限度地减少他们对更大漏洞的需求可能被旧的、过时