2022 年勒索软件防御报告

不断升级的勒索软件问题03 第 1 节 | 勒索软件的失地06 第 2 节 | 可见性差距和无效对策创建10 更大的风险第 3 节 | 克服障碍和提高准备14 专注于预防以提高韧性19 关于 SpyCloud19 不断升级的勒索软件问题 在过去的 12 个月里 ， 勒索软件攻击迫使一所拥有 157 年历史的大学关上门， 一家领先的汽车制造商停止操作一天 ， 整个国家宣布紧急状态在过去的几年中，这类新闻一直占据头条，如今可能已显得有些过时。然而，勒索软件威胁的升级使其成为了全球性的危机，这使得许多组织仍将网络安全问题置于首要议程之中。 最近的SpyCloud 赞助调查企业 CISO 发现勒索软件是他们今天面临的最令人担忧的问题。并且有充分的理由 ：66% 的组织2021 年受到勒索软件的打击 ， 而 2020 年为 37% 。 不仅勒索软件更多产 ， 而且威胁参与者也变得更加精明 - 他们成功地加密了数据65% 的攻击去年，这一比例从2020年的54%上升。此外，大多数勒索软件攻击现在都涉及双重勒索，攻击者首先窃取数据，并威胁在未支付赎金的情况下泄露数据。仅仅两年前，这种情况还很少见。一帮使用这种策略 ， 而今天它存在于77% 的攻击. 在去年的勒索软件防御报告我们了解到，组织对避免遭受攻击的机会感到悲观。只有18%的受访者认为其组织不会发生勒索软件事件，而22%的受访者认为这种情况很可能会多次发生在其组织中。我们想看看自那以后情况如何变化——今年的调查发现，组织今天在应对能力方面甚至更加缺乏信心。 正如我们在本报告中讨论的那样，勒索软件仍然是一个广泛存在、持久且复杂的难题。为了帮助组织获得对这一威胁更加全面的理解，我们还探讨了勒索软件攻击中常常被忽视的方面以及组织如何应对这些问题。 调查人口统计 关于 SpyCloud 调查 继2021年勒索软件防御报告之后，SpyCloud希望了解安全领导者和实践者对威胁的看法是否有所变化，以及他们在防范勒索软件方面是否采取了不同的措施（如果有）。今年，我们对来自拥有至少500名员工的美国、英国和加拿大组织中活跃IT安全角色的310名个人进行了调查。 SpyCloud 向从IT安全分析师和架构师/工程师到高管层的各类人员征集了反馈。参与的310名受访者中，大多数来自高级管理层：其中34%为CIO、CISO和安全执行官；另有50%为安全总监、经理或团队负责人（见图1）。 我们对不同规模的企业进行了调查（见图2），涵盖从小型企业（500-999名员工）、中型企业（1,000至9,999名员工）到大型企业（10,000名及以上员工）。最大的一组受访者（46%）来自拥有1,000至4,999名员工的雇主，其次是小型企业（500-999名员工）占23%，以及拥有5,000至9,999名员工的企业占18%。来自大型企业的受访者（10,000名及以上员工）占受访者总数的12%。 我们检查了以下领域 ： 勒索软件攻击的普遍性及影响 组织目前已有或计划添加的应对措施 勒索软件相关的主要风险及最大障碍 除了突出调查结果外，报告还提供了增强组织勒索软件防御的见解。我们鼓励您将这些可操作的数据作为组织准备情况的基准，并用于决定如何弥补准备不足的差距。 关键发现 1.勒索软件攻击的患病率正在上升。年复一年 ， 我们看到组织的数量显着减少没有在过去12个月中遭受勒索软件攻击（2022年占比10%比2021年的27.5%有所下降），并且遭受多次攻击的人数显著增加（去年一年中有50%的受访者经历了两到五次攻击，而前一年这一比例为33.5%；去年一年中有近78%的受访者经历了两次及以上至十多次的攻击，而前一年这一比例为近52%）。 2.组织今年对自身防御的信心有所减弱。我们发现，表示现有勒索软件缓解解决方案状况良好的组织数量略有普遍下降，并且寻求升级或新增安全技术的组织数量有所增加。此外，今年更多组织已采取“备用计划”措施，从开设加密货币账户到购买勒索软件保险附加条款。这些发现表明，组织意识到威胁正在突破其防御体系，并且勒索软件攻击不可避免。 3.未打补丁的漏洞、钓鱼邮件以及未管理的设备的结合构成了最大的风险。调查参与者将这三种途径评为勒索软件入侵的最危险入口点。重要的是要理解，所有这些入口点都是相互关联的——它们共同极大地增加了成功遭受勒索软件攻击的风险。 4.组织在其多层次防御体系中留下了漏洞。我们并不惊讶地了解到，组织认为数据备份是最为重要的应对措施，并且有67.8%的组织对其解决方案的性能感到满意。同样，用户意识和端点检测也是其他常见的顶级防御措施之一。然而，让我们感到意外的是，许多组织忽视了其他重要的防御措施。例如，监控受感染的网络会话被视为第三不重要的应对措施。组织多层次防御体系中的这些漏洞给了勒索软件运营商更多的访问机会。 5.缺乏对真实妥协情况的可见性会增加更大的风险敞口。尽管未打补丁的漏洞、钓鱼邮件和未管理设备作为风险攻击途径值得关注，但安全团队无法看到的风险最大的入口点导致了更大的漏洞。例如，感染了恶意软件的设备为勒索软件攻击创造了最大的风险敞口之一，而没有对这些设备及其通过恶意软件泄露的数据导致的被攻破账户进行可见性监控，组织无法获得其风险的完整图景。 第 1 节 | 对勒索软件失去基础 一幅荒凉的图画 研究数据显示，过去一年的研究普遍指出勒索软件问题将继续其上升趋势。再次证实，勒索软件在2021年仍然是最主要的威胁，如IBM Security研究人员所观察到的那样。他们的最新报告. 根据最新数据，在过去一年中看到的勒索软件相关漏洞增长率达到了13%，这“相当于过去五年总和的规模”。Verizon 数据泄露 调查报告 (DBIR) 。 进入我们的调查，我们预期会发现类似的结果——并且确实如此，其中包括在过去一年中受到勒索软件影响的组织数量跃升至90%，而前一年这一比例为72.5%（见图3）。此外，其他一些年同比变化表明组织正在失去对勒索软件的防御优势： （注：图3的具体内容未给出，因此保留了“见图3”的表述。如果需要进一步翻译图例或具体数据，请提供相关信息。） 只有 10% 的受访者表示他们的组织没有受到影响 ， 比去年的 27.5% 大幅下降。 受影响人数在两年到五次之间出现大幅增长，从去年的33.5%上升到今年的50%；在六次到十次之间的受影响人数也显著增加，从13.1%上升到20.3%。 总体而言 ， 77.7 ％ 的受访组织报告遭受了两次至 10 次以上的打击 ， 而上一年的调查为 51.7％ 。 大小无关紧要 虽然较小的企业往往认为勒索软件攻击者 targeting 规模较大的成熟企业，但实际上并非如此。我们的研究显示，没有任何规模的企业会免疫于此类攻击。 今年，各规模企业受到影响的比例分布非常紧密，范围从最大型企业中的82.4%到员工数为1,000-4,999人的组织中的91.5%（如图4所示）。但最小规模的企业似乎略逊于最大型企业，这很可能是因为它们的安全资源较少——这意味着他们需要寻找成本效益高的技术来缩小差距。 付还是不付 ？ 在过去一年遭受勒索软件攻击的企业中，65%最终支付了赎金（如图5所示）。但这并不意味着他们成功恢复了数据。我们发现，在支付赎金的企业中，略超过一半的企业能够完全恢复数据，大约三分之一的企业实现了部分恢复。而在未支付赎金的企业中，92%通过数据备份等手段成功恢复了数据。虽然这看似是个好消息，但实际上并非如此——这些组织无法确定在数据被恢复之前，是否已经被泄露到暗网上，从而使其可供其他网络犯罪分子使用。 记住，赎金只是勒索软件攻击总成本中的一小部分。即使攻击没有导致数据被加密或窃取，也没有支付赎金，仍然存在多种其他影响，包括应对时间、对面向客户的服务的影响以及员工生产力的损失。在私营部门，86% 的公司报告由于勒索软件事件而失去收入 ， 90 ％ 的人说他们失去了运营能力。此外 ，37%报告提到不得不裁员，并有35%的人表示经历了高层辞职。尽管影响取决于业务性质，总体成本依然广泛而深远。平均赎金为$812, 360 全球去年 ， 补救的平均成本要高得多 - 140 万美元。 感知就是一切 今年，我们还想了解组织最担心的是哪些问题，这些问题源于勒索软件攻击。前五大担忧中的四个——敏感或专有数据的泄露、品牌声誉受损、由于运营中断导致客户生产力或满意度下降、关键服务/基础设施中断——与外部感知有关（图6）。这些面向外部的担忧可能源自多种因素的综合作用： 通过其双重勒索campaigns，犯罪分子正在宣传自己的行为。即使网络攻击者不公开宣称，勒索软件攻击相比其他类型的网络安全事件对利益相关者和公众来说更为显眼。品牌声誉对于业务增长至关重要，因此备受关注。董事会对勒索软件攻击的高度敏感性正在增加，并且他们越来越意识到其巨大的商业影响。 对预防和防御失去信心 年度对比显示，对现有安全技术满意的企业受访者数量普遍下降（如图7所示），而计划升级或增加工具的企业则有所增加。这一转变表明，企业意识到威胁正在渗透，并且意识到即便有这些防护层，漏洞仍然存在。 随着勒索软件攻击者不断加强攻势，组织感到其防御能力减弱是可以理解的。显然，他们看到了改进的空间，并希望投入更多努力来实现这一目标。关键在于确保任何对安全栈的升级或添加都从整体上应对勒索软件风险，并填补安全态势中的漏洞，而不是创建更多影响有限的工作。 计划用于勒索软件缓解的安全技术 计划升级 要添加的计划 第 2 节 | 可见性差距和产生更大风险的无效对策 对策真的有效吗 ？ 调研参与者将数据备份、用户意识、终端安全、入侵检测系统和电子邮件安全视为应对勒索软件最有价值的措施（如图8所示）。这种做法为人员、数据、终端、网络和电子邮件提供了全面覆盖，而这些领域一直是最重要的或被高度针对的资产。 然而，如前所述，这些技术似乎并未有效解决问题。组织正在为勒索软件事件的发生做好准备，并且今年有更多组织采取了替代措施，包括开设比特币账户和制定应对勒索软件事件的预案（图9）。 最高增幅出现在针对勒索软件的保险附加条款上，从去年的50.4%上升到今年的72.3%。这一增幅反映了近年来整体对网络安全保险兴趣的增长。64% 的公司与两年前相比 ， 已经在 2022 年购买了它。 将部分风险转移给保险公司可能在许多情况下是一项明智的举措。然而，这并不能解决根本的预防不足问题，因此这只是防止攻击的临时解决方案而非长期对策。可以将其比作购买汽车保险。如果发生事故，保险将覆盖部分费用，但这并不意味着你可以不系安全带肆意驾驶。你应该仍然依赖良好的驾驶习惯来预防事故。就像汽车保险一样，如果你频繁索赔，保费会迅速上涨——更糟糕的是，你可能会失去保险覆盖。 最危险的入口点 与去年相比，参与者认为所有潜在的勒索软件入口点更加令人担忧。未打补丁的漏洞、钓鱼邮件和未管理的设备被视为风险最高的传播途径（如图10所示）。未打补丁的漏洞位居榜首并不令人惊讶，因为它们是攻击者常用的手法，攻击者往往通过感染设备来渗透组织。勒索软件是一种恶意软件问题——根据Verizon的DBIR报告，去年有70%的恶意软件相关泄露事件涉及勒索软件。 同样，网络钓鱼、未管理的个人设备（甚至用于访问工作应用程序的共享家庭设备）、弱密码或暴露的凭据，以及其他任何这些入口点都会增加对恶意软件的暴露。每个单独因素都会带来风险，但它们共同作用时会形成倍增效应。此外，威胁行为者不仅在初始入侵时针对这些向量，还在攻击的多个阶段针对它们，这使他们能够提升权限、横向移动并实现其最终目标。 受恶意软件感染的设备如何使您的组织成为目标 许多勒索软件运营商将攻击的第一阶段——初始接入——外包给专门的中介集团。这些中介使用各种策略渗透组织，但通常他们寻找的方式是模仿内部人员的身份，而不是试图突破防火墙和其他入侵预防技术。为了模仿内部人员的身份，他们需要诸如登录凭据或允许会话劫持的cookies等数据——而