2021 年勒索软件防御报告

目录 Ransomware问题概述0306101618第1节|问题的广度和当前态势第2节|当前和未来的勒索软件准备状态第3节|解决勒索软件问题勒索软件的未来 Ransomware问题概述 近几个月来，大量的破坏性勒索软件攻击震惊了所有行业的组织。和私营部门。这些攻击关闭了企业，伤害了医疗保健患者，并被认为是日益增长的国家安全威胁。 虽然勒索软件问题并不新鲜，但其规模和严重程度已升级到前所未有的水平。在2020年，勒索软件攻击飙升了惊人的全球62%。2021年将打破这一记录-仅在最初的六个月中，fi就带来了3.047亿企图勒索软件攻击，超过2020年的3.046亿次。 新一代的勒索软件不仅仅是更多的prolific。它融合了自动化和人类驱动的技术，不断升级由于由此产生的复杂性而导致的恢复成本。组织报告了勒索软件恢复的平均成本$185 million在2021年，是2020年760, 000美元的价格的两倍多。 从我们的研究中，在本报告中提出，我们了解到组织对勒索软件问题并不乐观未来12个月。只有38％的SpyCloud调查受访者预计勒索软件事件不太可能发生在他们身上。毫不奇怪，攻击的频率和复杂性的增加是影响网络安全计划的主要因素。 然而，这并不都是坏消息。我们的数据显示，组织正在做所有正确的事情，并朝着正确的方向前进正如我们稍后将解释的那样，一些简单的预防步骤可以大大缓解勒索软件的挑战。 调查人口统计 关键发现 SpyCloud向其角色的个人征求答案包括IT安全分析师和架构师/工程师，一直到行政套房。250人中的大多数参与者来自高层：34%是CIO、CISO、和安全主管；46%是安全总监，经理或团队领导(图1)。 1.我们所看到的很可能是冰山一角。finding 72%的受访组织受到过去12个月的勒索软件并不意外。令人震惊的是，13%的人受到了6 - 10次的影响，5%的人受到影响超过10次。这表明问题的严重性可能比许多人们认为-以及高收益的file攻击使新闻只是整个问题的一小部分。 我们调查了组织规模的横截面 （图2），来自小型（500 - 999名员工）和中端市场(1, 000至9, 999名员工)至大型企业-es（拥有10, 000或更多员工）。最大的队列（40％）代表拥有1, 000 - 4, 999名工人的雇主，而大型企业总共占23% (12%超过25, 000名员工，11%，10, 000名员工- 2.网络钓鱼电子邮件和泄露的凭据是 最危险的入口点。受访者对网络钓鱼电子邮件进行排名与受感染的附件或链接作为最危险的载体勒索软件攻击;弱或暴露的凭据不是远远落后。看到这个充满活力的二人组在顶部，与其他研究人员在过去的一年。 按IT安全角色调查参与者 3.人是有效勒索软件的最大障碍 防御。尽管网络安全成本不断上升，但预算对组织来说是最不担心的。最大的障碍是缺乏熟练的安全人员，其次密切受员工安全意识低下的影响。大流行加剧了人才短缺以及人类在偏远环境中的脆弱性。但问题不止于此-需要组织要fi和新的方法来保护员工自己。 4.勒索软件事件不会很快消失。 至少在接下来的12个月内不会，根据我们的findings。只有18％的受访者相信勒索软件事件在他们的组织中根本不可能发生在明年，而13%的人认为这很可能会发生至少有一次和22％的人认为这很可能发生多次。 5.大多数组织缺乏最基本的 按组织规模调查参与者 预防的形式。尽管看到妥协凭据作为勒索软件攻击的高风险，大多数组织甚至缺乏最简单的支撑实践密码和身份验证。我们震惊了了解到41%的组织没有密码复杂性要求，这是最简单和最少的昂贵的盒子任何人都可以检查。此外，只有55.6%的人实现了多因素身份验证(MFA)。 关于SpyCloud调查 鉴于勒索软件已经达到的危机水平各种规模的所有部门和组织，SpyCloud希望了解安全领导者和从业者的感受威胁——以及他们正在做些什么来抵御它。我们在美国调查了250名活跃的IT安全角色-拥有至少500名员工的组织。 我们检查的领域包括： •••••安全从业人员对他们的成熟度的感知组织的网络安全防御跨威胁的勒索软件防御能力生命周期技术和其他准备步骤主要优先事项与勒索软件相关的最大风险，以及最大的障碍未来12个月的预期和计划 除了强调调查fi的内容外，本报告还Identifies最佳实践组织可以实施到改善他们的勒索软件防御。我们鼓励您在您做出未来决策时使用可操作的调查数据关于您的网络安全战略和投资。 第1节|问题的广度和当前态势 谁被Ransomware感染？ 双重勒索策略，新的勒索软件即服务业务模型，结合自动化技术的针对性攻击与人类操作员-这些和其他因素在过去一年中促成了勒索软件的发展。结果攻击数量激增，破坏程度创纪录。 在2020年，勒索软件上升到最常见的事件类型，包括23%的攻击由IBM安全研究人员分析。勒索软件也是35%的数据泄露的根本原因2020年1月至10月公开披露。 SpyCloud调查数据反映了这些趋势-我们调查的安全从业人员中有72％表示他们的组织在过去12个月中至少一次受到勒索软件的影响（图3）。 各种规模的组织都受到了几乎相同程度的影响，除了那些拥有超过25, 000名员工的人（图4）。很明显小公司不能幸免于勒索软件攻击-以及实际上，可能是一个更大的目标。（美国司法部说对小企业的攻击构成了75%的勒索软件案例.) 地下勒索软件经济 勒索软件攻击受害者总共支付了of3.5亿美元的赎金2020年，一个同比增长300%以上之前。这种势头在2021年继续，总计超过2.08亿美元已经在1月至7月之间支付。 一个令人惊讶的finding是13%的组织受到6 - 10次影响而5%的人受到的影响超过10次。这可能是由于广泛的“受影响”一词的含义，可能包括安全解决方案自动向支付赎金的人停止恶意软件。 地下勒索软件行业是运转良好的机器，驱动高攻击的成功率。网络罪犯专注于不同类型的服务，包括勒索软件即服务，收取订阅费或外包服务的“佣金”和攻击阶段，如编写勒索软件，获取被盗凭证,创建漏洞利用，等等。勒索软件团伙甚至聘请以英语为母语的人进行与受害者的谈判真实的方式。 然而，数据也表明，威胁的范围更大。比大多数人相信的要多。许多人基于他们对问题的理解关于制造新闻的攻击的范围。然而，那些成功的，高精度的file攻击远没有描绘完整的画面-而且只是在整个过程中发起了数亿次勒索软件攻击年。 网络安全成熟度与网络安全成熟度之间的裂隙防御能力 类似于合法企业，勒索软件供应商形成关系与他们的“客户”，广告他们的服务，努力建立他们的声誉，甚至提供24 / 7支持。 正如我们在本报告后面指出的那样，组织不仅更加了解勒索软件的威胁，但他们的防御也取得了进展投资。所以从表面上看，只有大多数人觉得才有意义关于他们的网络防御的成熟度，以及关于他们的防止、检测和响应勒索软件攻击的能力： •三分之一（33％）的受访者将其组织的成熟度评为特殊，近一半（48％）的受访者认为其成熟度高于平均水平（图5）。 •在1到5的范围内，受访者对他们的响应和恢复能力的平均排名为4.27，紧随其后的是4.22它们的检测能力和防止勒索软件攻击的能力(图6)。 当我们更深入地挖掘时，我们fi发现了自我排名的成熟度/感知的勒索软件功能与两者之间的二分法事件的过去频率（上面的图4）和预期的未来事件。不仅有72％的组织受影响过去12个月的勒索软件，但62%的人预计在未来12个月也会受到影响。此外，22%的人预计受影响不止一次(图7)。 解释这种裂痕的一种方法是自我报告的成熟度和自我报告的能力。但这也可能表明，即使是最好的防御有局限性，特别是考虑到进化勒索软件以及威胁行为者的日益复杂。 美国司法部称勒索软件为2021年7月国家安全威胁日益增长。作为勒索软件攻击变得更加有利可图，勒索软件帮派的资金改进行动，防御这些攻击将变得更加艰难。 预防：早期中断生命周期 你被偷走的早期生活凭据 勒索软件防御是一个连续的循环，从准备和预防。您可以在生命周期的早期中断勒索软件攻击，你越成功。只需20分钟执行攻击-但勒索软件停留时间的中位数是five天and攻击后的平均停机时间为23天. 一些个人和团体专门从事窃取凭据。他们使用脚本来发现后端服务器中的漏洞，然后查找具有用户名或电子邮件和密码。 帐户接管(ATO)或使用受损凭据 在勒索软件攻击的早期阶段成为顶级攻击媒介。仅去年一年，SpyCloud就从漏洞中恢复了15亿个凭证和僵尸网络日志。考虑到60%密码重用用户之间的比率（在政府雇员中占87％），ATO并不是一项巨大的努力威胁演员。 凭据具有最高值 在生命周期的早期。这些罪犯，在供应商社区，尝试将它们货币化尽快将它们出售给勒索软件操作员，他们使用它们作为进入目标组织的接入点。虽然他们在他们的处置，运营商发现使用泄露的凭据是最快的和最有效的方法，例如，突破fi重墙。 预防ATO非常具有挑战性，但并非不可能。连续 监控和修复暴露的凭据是早期的关键预防。没有它，你不能确定你已经把前门锁上了企业网络，你很容易受到威胁行为者的攻击，寻找一个简单的进来。 一年或更长时间后，证书丢失它们作为某些用户重置密码的价值或打开MFA，但其生命周期仍在继续。它们被重新包装成商品组合清单并以低价出售。网络犯罪分子使用这些廉价，庞大的凭证stuffing的密码列表攻击，涉及很少的复杂并产生高成功率，这要归功于自动化。 第2节|当前和未来勒索软件的状态准备 银色衬里：顶部的意识 关注使用弱或 不久前，网络安全领导者必须努力工作才能获得支持从顶部开始，预算是一个常见的障碍。表格有转向；现在董事会支持和预算是最不担心的组织，即使网络安全措施的成本继续上升。 诸如殖民地管道和SolarWinds之类的高安全性攻击推动了领导人对勒索软件的总体认识，特别是妥协的凭证。在我们的受访者中，79%同意或强烈同意最近报告的攻击“显著fi提升了“他们组织对证书薄弱或被盗的担忧”客户和员工使用；只有10%的人不同意。(图8)。 总协议甚至在组织之间公平地分发 各种规模的员工多达25, 000人。在非常大的企业中（25, 000及以上），67.7％的人普遍同意，而平均水平为79％总体而言-表明，也许这些大公司已经敏锐地意识到证书受损的风险，因为他们的更先进的做法。 媒体报道的另一个连锁反应是，董事会现在了解勒索软件的多方面和严重影响。例如，双重勒索现在很普遍。在2020年初，迷宫运营商主要使用这种策略，但由年底，至少17其他团体加入并发布泄露的数据，以激励受害者支付赎金。 根据保险索赔的数据，勒索软件事件比其他类型更严重由2.5倍的因子.从直接知识产权风险的成本和业务中断以及声誉损害，大规模的震动勒索软件提供了很难忽视fi邪教，这将这种威胁提升到比其他事件更高的地位和担忧。 防御的主要障碍 有了董事会的支持和预算，人们是实施安全策略的主要障碍。受访者Identityfi将缺乏熟练的人员和低员工意识作为有效勒索软件防御的两大障碍（图9）。 建立有效勒索软件防御的障碍 人才短缺并不新鲜。估计的网络安全人才缺口是2020年全球310万,并且一直在几百万年。因此，a2021年调查网络安全专业人士发现，全球技能短缺已经影响了67%的组织。 员工的安全意识低更令人惊讶。这表明尽管公司接受了所有培训在实施过程中，人们仍然是他们最薄弱的环节。大流行期间远程工作人员的涌入可能加剧了人才短缺和人的脆弱性-特别是因为偏远的环境带来了新的风险。 这表明雇主需要保护员工自身的解决方案。不需要密集的解决方案资源特别有效，因为它们易于实现，并快速实现价值。 最危险的矢量 各种研究一直将网络钓鱼电子邮件和受感染的凭据确定为涉及安全性的主要载体事件。SpyCloud的受访者同意这些排名：他们识别带有受感染附件和链接的网络钓鱼电子邮件作为风险最高的勒索软件攻击媒介，其