2021 年勒索软件防御报告

目录 Ransomware问题概述03 第1节|问题的广度和当前态势06 第2节|当前和未来的勒索软件准备状态10 第3节|解决勒索软件问题16 勒索软件的未来18 Ransomware问题概述 近几个月来，大量的破坏性勒索软件攻击震惊了所有行业的组织。 和私营部门。这些攻击关闭了企业，伤害了医疗保健患者，并被认为是日益增长的国家安全威胁。 虽然勒索软件问题并不新鲜，但其规模和严重程度已升级到前所未有的水平。在2020年，勒索软件攻击飙升了惊人的全球62%。2021年将打破这一记录-仅在最初的六个月中，fi就带来了3.047亿企图勒索软件攻击，超过2020年的3.046亿次。 新一代的勒索软件不仅仅是更多的prolific。它融合了自动化和人类驱动的技术，不断升级由于由此产生的复杂性而导致的恢复成本。组织报告了勒索软件恢复的平均成本$185million在2021年，是2020年760,000美元的价格的两倍多。 从我们的研究中，在本报告中提出，我们了解到组织对勒索软件问题并不乐观 未来12个月。只有38％的SpyCloud调查受访者预计勒索软件事件不太可能发生在他们身上。毫不奇怪，攻击的频率和复杂性的增加是影响网络安全计划的主要因素。 然而，这并不都是坏消息。我们的数据显示，组织正在做所有正确的事情，并朝着正确的方向前进正如我们稍后将解释的那样，一些简单的预防步骤可以大大缓解勒索软件的挑战。 调查人口统计 SpyCloud向其角色的个人征求答案 包括IT安全分析师和架构师/工程师，一直到行政套房。250人中的大多数 参与者来自高层：34%是CIO、CISO、和安全主管；46%是安全总监， 经理或团队领导(图1)。 我们调查了组织规模的横截面 （图2），来自小型（500-999名员工）和中端市场(1,000至9,999名员工)至大型企业- es（拥有10,000或更多员工）。最大的队列 （40％）代表拥有1,000-4,999名工人的雇主， 而大型企业总共占23%(12% 超过25,000名员工，11%，10,000名员工- 按IT安全角色调查参与者 4% 6% 4% 6% 34% 46% CIO、CISO，IT安全 Executive IT安全操作员/ 分析师/事件响应者 IT安全总监, 经理或团队领导 IT安全架构师/ 工程师 IT安全 管理员 I中的其他角色T 安全 图1 关键发现 1.我们所看到的很可能是冰ft一角。finding72%的受访组织受到 过去12个月的勒索软件并不意外。 令人震惊的是，13%的人受到了6-10次的影响，5%的人受到影响超过10次。这表明 问题的严重性可能比许多 人们认为-以及高收益的file攻击使新闻只是整个问题的一小部分。 2.网络钓鱼电子邮件和泄露的凭据是 最危险的入口点。受访者对网络钓鱼电子邮件进行排名与受感染的附件或链接作为最危险的载体 勒索软件攻击;弱或暴露的凭据不是 远远落后。看到这个充满活力的二人组在顶部，与其他研究人员在 过去的一年。 3.人是有效勒索软件的最大障碍 防御。尽管网络安全成本不断上升，但预算对组织来说是最不担心的。最大的 障碍是缺乏熟练的安全人员，其次密切受员工安全意识低下的影响。大流行加剧了人才短缺 以及人类在偏远环境中的脆弱性。但问题不止于此-需要 组织要fi和新的方法来保护员工自己。 4.勒索软件事件不会很快消失。 至少在接下来的12个月内不会，根据我们的findings。只有18％的受访者相信勒索软件事件在他们的组织中根本不可能发生 在明年，而13%的人认为这很可能会发生至少有一次和22％的人认为这很可能发生多次。 按组织规模调查参与者 12% 19% 11% 18% 40% 500-999名员工 1,000-4,999名员工 5,000-9,999名员工 10,000-25,000名员工 25,000+员工 图2 5.大多数组织缺乏最基本的 预防的形式。尽管看到妥协 凭据作为勒索软件攻击的高风险，大多数组织甚至缺乏最简单的支撑实践 密码和身份验证。我们震惊了了解到41%的组织没有密码 复杂性要求，这是最简单和最少的 昂贵的盒子任何人都可以检查。此外，只有55.6%的人实现了多因素身份验证(MFA)。 关于SpyCloud调查 鉴于勒索软件已经达到的危机水平 各种规模的所有部门和组织，SpyCloud希望了解安全领导者和从业者的感受 威胁——以及他们正在做些什么来抵御它。我们在美国调查了250名活跃的IT安全角色- 拥有至少500名员工的组织。 我们检查的领域包括： •安全从业人员对他们的成熟度的感知组织的网络安全防御 •跨威胁的勒索软件防御能力生命周期 •技术和其他准备步骤主要优先事项 •与勒索软件相关的最大风险，以及最大的障碍 •未来12个月的预期和计划 除了强调调查fi的内容外，本报告还Identifies最佳实践组织可以实施到改善他们的勒索软件防御。我们鼓励您 在您做出未来决策时使用可操作的调查数据关于您的网络安全战略和投资。 第1节|问题的广度和当前态势 谁被Ransomware感染？ 双重勒索策略，新的勒索软件即服务业务模型，结合自动化技术的针对性攻击与人类操作员-这些和其他因素在过去一年中促成了勒索软件的发展。结果 攻击数量激增，破坏程度创纪录。 在2020年，勒索软件上升到最常见的事件类型，包括23%的攻击由IBM安全研究人员分析。勒索软件也是35%的数据泄露的根本原因2020年1月至10月公开披露。 勒索软件事件的过去频率 5% 13% 28% None 一旦 2到5次 6到10次 33% 21% 10倍以上 图3 SpyCloud调查数据反映了这些趋势-我们调查的安全从业人员中有72％表示他们的组织在过去12个月中至少一次受到勒索软件的影响（图3）。 地下 勒索软件经济 勒索软件攻击受害者总共支付了of3.5亿美元的赎金2020年，一个同比增长300%以上 之前。这种势头在2021年继续，总计超过2.08亿美元 已经在1月至7月之间支付。 地下勒索软件行业是 运转良好的机器，驱动高攻击的成功率。网络罪犯专注于不同类型的服务，包括勒索软件即服务，收取订阅费或 外包服务的“佣金”和 攻击阶段，如编写勒索软件，获取被盗凭证,创建 漏洞利用，等等。勒索软件团伙甚至聘请以英语为母语的人进行与受害者的谈判 真实的方式。 类似于合法企业， 勒索软件供应商形成关系 与他们的“客户”，广告他们的服务，努力建立他们的声誉，甚至提供24/7支持。 各种规模的组织都受到了几乎相同程度的影响， 除了那些拥有超过25,000名员工的人（图4）。很明显小公司不能幸免于勒索软件攻击-以及 实际上，可能是一个更大的目标。（美国司法部说对小企业的攻击构成了75%的勒索软件案例.) 按组织规模至少检测过一次 100% 81.8% 80% 80.4% 70.4% 68.0% 60% 40% 52.2% 20% 0.0% 500-999名员工 1,000-4,999名员工s 5,000-9,999名员工 10,000-25,000名员工 25,000+员工 图4 一个令人惊讶的finding是13%的组织受到6-10次影响而5%的人受到的影响超过10次。这可能是由于广泛的“受影响”一词的含义，可能包括安全解决方案 自动向支付赎金的人停止恶意软件。 然而，数据也表明，威胁的范围更大。 比大多数人相信的要多。许多人基于他们对问题的理解 关于制造新闻的攻击的范围。然而，那些成功的，高精度的file 攻击远没有描绘完整的画面-而且只是在整个过程中发起了数亿次勒索软件攻击年。 网络安全成熟度与网络安全成熟度之间的裂隙防御能力 正如我们在本报告后面指出的那样，组织不仅更加了解勒索软件的威胁，但他们的防御也取得了进展 投资。所以从表面上看，只有大多数人觉得才有意义关于他们的网络防御的成熟度，以及关于他们的 防止、检测和响应勒索软件攻击的能力： •三分之一（33％）的受访者将其组织的成熟度评为特殊，近一半（48％）的受访者认为其成熟度高于平均水平 （图5）。 •在1到5的范围内，受访者对他们的响应和恢复能力的平均排名为4.27，紧随其后的是4.22 它们的检测能力和防止勒索软件攻击的能力(图6)。 网络安全防御的成熟度 1%1% 17% 33% 48% Exceptional 低于平均水平 高于平均水平 可怜的 Average 图5 感知到的勒索软件能力 要响应并从恢复 勒索软件攻击 4.27 检测勒索软件 4.22 攻击 防止勒索软件 攻击 4.22 图6 当我们更深入地挖掘时，我们fi发现了自我排名的成熟度/感知的勒索软件功能与两者之间的二分法事件的过去频率（上面的图4）和预期的未来事件。不仅有72％的组织受影响 过去12个月的勒索软件，但62%的人预计在未来12个月也会受到影响。此外，22%的人预计受影响不止一次(图7)。 对未来勒索软件事件的期望 22% 18% 根本不可能发生 有点不太可能发生 有点不太可能发生至少一个 13% 20% 很可能至少发生一次 很可能发生多次 27% 图7 你被偷走的早期生活凭据 一些个人和团体专门从事窃取凭据。他们使用脚本来发现后端服务器中的漏洞，然后查找具有用户名或 电子邮件和密码。 凭据具有最高值 在生命周期的早期。这些罪犯，在 供应商社区，尝试将它们货币化尽快将它们出售给 勒索软件操作员，他们使用它们作为进入目标组织的接入点。 虽然他们在他们的 处置，运营商发现使用泄露的凭据是最快的和最有效的方法，例如，突破fi重墙。 一年或更长时间后，证书丢失 它们作为某些用户重置密码的价值 或打开MFA，但其生命周期仍在继续。它们被重新包装成商品 组合清单并以低价出售。 网络犯罪分子使用这些廉价，庞大的凭证stuffing的密码列表 攻击，涉及很少的复杂 并产生高成功率，这要归功于自动化。 解释这种裂痕的一种方法是自我报告的成熟度和自我报告的能力。但这也可能表明，即使是最好的防御有局限性，特别是考虑到进化勒索软件 以及威胁行为者的日益复杂。 美国司法部称勒索软件为 2021年7月国家安全威胁日益增长。作为勒索软件攻击变得更加有利可图，勒索软件帮派的资金改进 行动，防御这些攻击将变得更加艰难。 预防：早期中断生命周期 勒索软件防御是一个连续的循环，从准备和预防。您可以在生命周期的早期中断勒索软件攻击，你越成功。只需20分钟 执行攻击-但勒索软件停留时间的中位数是five天and 攻击后的平均停机时间为23天. 帐户接管(ATO)或使用受损凭据 在勒索软件攻击的早期阶段成为顶级攻击媒介。 仅去年一年，SpyCloud就从漏洞中恢复了15亿个凭证和僵尸网络日志。考虑到60%密码重用用户之间的比率 （在政府雇员中占87％），ATO并不是一项巨大的努力威胁演员。 预防ATO非常具有挑战性，但并非不可能。连续监控和修复暴露的凭据是早期的关键 预防。没有它，你不能确定你已经把前门锁上了 企业网络，你很容易受到威胁行为者的攻击，寻找一个简单的进来。 第2节|当前和未来勒索软件的状态准备 关注使用弱或 被盗凭证 3% 7% 11% 40% 39% 强烈同意 有点同意 既不同意也不同意有点不同意 强烈反对 图8 银色衬里：顶部的意识 不久前，网络安全领导者必须努力工作才能获得支持从顶部开始，预算是一个常见的障碍。表格有 转向；现在董事会支持和预算是最不担心的组织，即使网络安全措施的成本继续上升。 诸如殖民地管道和SolarWinds之类的高安全性攻击推动了领导人对勒索软件的总体认识， 特别是妥协的凭证。在我们的受访者中，79% 同意或强烈同意最近报告的攻击“显著fi 提升了“他们组织对证书薄弱或被盗的担忧” 客户和员工使用；只有10%的人不同意。(图8)。 总协议甚至在组织之间公平地分发 各种规模的员工多达