SpyCloud 恶意软件就绪和防御报告

恶意软件就绪&防御 报告 TABLEOFCONTENTS 成长曝光从恶意软件感染3 关于theSpyCloudSurvey5 钥匙Findings7 The风险andImplicationsof恶意软件感染10 恶意软件aBig关注forOrganizations11 Lackof可见性Hinders进展12 下一代Account接管Is在这里andNotGoing离开很快13 被忽视条目PointsThat离开Organizations暴露14 '好足够了'真的不是15 大企业:更多成熟,但是Still在高风险16 Gaps在恶意软件Response能力16 感染后补救优先事项and能力18 传统恶意软件排水沟Resources19 常规Responsesto恶意软件感染:What's失踪?20 更改the范式22 最终Thoughts24 关于SpyCloud25 不断增长的暴露恶意软件感染 术语表 认证（或会议）烹饪或令牌 当您登录到站点或应用程序时，服务器设置临时会话 浏览器中的cookie或令牌。此让应用程序记住 您已登录并进行身份验证。 许多身份验证Cookie最后一个令人惊讶的长时间(几个月或longer). 我们的数字fi第一生命，无论是个人还是职业，都推动了关于我们每个身份的在线信息-来自凭据和其他形式 对个人身份信息(PII)的身份验证。尽管我们创建了这个世界和其中不断发展的技术，跟上快节奏 数字扩张似乎是人类不可能的-组织和 个人在确保新的经商方式方面继续落后。但是 网络犯罪分子没有速度或敏捷性的问题；他们创新他们的随着数字景观的快速发展，技术和战术包括先进的 在他们的行为引发任何红色之前很久，就可以快速传输数据和访问的方法 flags. 感染后补救 恶意软件感染的重要补充响应剧本，有步骤 采取超出清理范围的补救措施设备。通过重置凭据和 使活动的Web会话无效公开的应用程序，目标是否定勒索软件的入口点 通过对初始访问采取行动，例如filtrated 从受感染的设备和被出售勒索软件操作员。 管理不足的设备 当前未打开的公司设备安全更新，如端点 保护或反恶意软件解决方案。 这种犯罪创新创造了一种网络犯罪流行病 各种规模的组织。网络犯罪的成本预计为超过两倍 在接下来的fiVe年中，从2023年全球估计的11.5万亿美元飙升到2028年达到23.82万亿美元。网络事件不仅排名靠前商业风险，但也是导致业务中断的最令人担忧的因素。其中大部分 恐惧源于勒索软件的风险。 勒索软件可能造成严重破坏深远的影响,and 也许这就是为什么它排名为顶级网络威胁这让安全领导人保持在但是，将更多的资源投入到这个问题上似乎并不能解决问题。SpyCloud的2022年勒索软件防御报告发现越来越多的悲观情绪对安全专业人员进行了调查，了解他们避免攻击的前景，同时过去12年受到勒索软件攻击的组织数量 fi显著增加了几个月。 SPYCLOUDMALWAREREADINESS&DEFENSEREPORT3 术语表 会议劫持（下一个-GenerationATO) 在传统账户接管(ATO)攻击,罪犯使用他人的登录凭据，通常由 利用重复使用的或类似的密码从以前被入侵的网站，以获得访问现有帐户。越来越多，犯罪分子正在访问帐户 via会话劫持-或“下一个- 代账户接管。“。使用 被盗的身份验证Cookie，包括fi注释从恶意软件感染的设备绕过 这场失败之战的最大原因之一是恶意软件的扩散 攻击，达到55亿去年。受恶意软件感染的员工设备 创建进入组织的直接路径，因为Infostealer恶意软件包括新的fi，来自目标URL、登录凭据、密钥和身份验证的准确数据 设备和系统信息的cookie/令牌，可以轻松模拟。利用这些数据，攻击者可以模仿员工的访问 成功并犯下网络犯罪，如账户接管、会话劫持和勒索软件攻击。SpyCloud将近一半的暗网暴露数据去年重新夺回来自僵尸网络（一种常见的部署方法Infostealers)-这一趋势正在迅速增长。 尽管恶意软件吸取的数据为勒索软件创建了入口点，并且 作为“初始访问”出售给勒索软件运营商，大多数组织都没有修复恶意软件感染的全部范围。缺乏全面的 感染后补救可以使组织更长时间暴露为恶意 演员利用仍然有效的前fi循环数据发动有针对性的攻击。 任何形式的凭据，从密码 到密钥甚至多因子在本报告中，我们研究了组织当前如何解决恶意软件 身份验证(MFA)，犯罪分子可以 冒充员工并获得 轻松访问私人信息。 阴影数据 类似于影子IT的概念，这引用创建的敏感数据， 共享或存储在权限之外属于IT安全团队，因此不受公司安全约束 策略。影子数据可以包括创建的公司文档 个人设备,敏感数据已保存 在外部设备上，或从存储的数据不再使用的应用程序，以 命名几个。 感染并确定fi所有差距的机会。正如我们在fi中指出的那样， 我们所有人都在运营的数字环境增加了恶意软件的风险，同时降低了安全团队对不断增长的攻击面的可见性。除了呈现 调查结果，本报告讨论了感染后被忽视的方面 补救措施以及组织可以做些什么来降低他们最大的风险恶意软件暴露导致的破坏性攻击。 4 关于Spycloud调查 我们的目标是深入了解当前的恶意软件修复实践和网络安全领导者的优先事项 和从业者。我们调查了美国和英国的317名个人，他们在组织中担任积极的IT安全角色从500名员工到25,000多名员工。 调查检查了以下领域： 对网络安全威胁和恶意软件暴露的担忧安全措施和事件响应协议 感染后补救能力和最佳实践 我们征求了从业人员的回复，包括IT安全分析师和事件响应者、主管+领导和 CISO。近三分之一的参与者是安全从业人员和领导角色之外的其他人(图1)。 5% 8%按角色调查参与者 25% 12% 6% CIO、CISO或IT安全主管 IT安全总监、经理或团队领导 IT安全架构师/工程师 IT安全操作员/分析师/事件响应者 IT安全管理员 44%IT安全中的其他角色 SPYCLOUDMALWAREREADINESS&DEFENSEREPORT5 参与者代表了从中型到超大型企业的组织规模的横截面， 1,000-4,999个组织代表了最大的队列，占38％（图2）。 8% 19% 11% 24% 38% 按规模调查参与者 OFOrganization 500–999 1,000–4,999 5,000–9,999 10,000–25,000 超过25,000 SPYCLOUDMALWAREREADINESS&DEFENSEREPORT6 1 关键发现 1.人类行为——有意和无意——是核心风险 driver. 由于勒索软件仍然是安全团队的头号威胁，我们的调查发现网络钓鱼是组织关注的第二大威胁， 表明意识到人为因素在暴露中起着重要作用。然而，缺乏强大的安全实践和资源留下了 防御。现代劳动力期望轻松和便利，包括 能够以有限的摩擦力从任何地方访问应用程序和数据。不幸的是，提供这种便利通常会降低安全性。我们发现许多组织继续允许不良的安全措施，例如 2 通过非托管或共享设备访问业务应用程序的能力在公司和个人设备之间同步浏览器数据。 2.不断变化的数字环境造成了恶意软件的高风险感染。 向数字和云first环境的转变改变了 员工工作。在寻求效率fi效率和提高生产率的过程中，他们拥抱各种第三方工具，但其中一些采用 在IT的控制之外。我们的调查发现，超过50%的组织让员工在没有IT的情况下设置应用程序和系统同意。这些“影子IT“资源，加上员工人数的增加和承包商在未管理和未管理的情况下访问公司资源设备，为安全创造盲点-不仅在访问和 应用程序控制-而且在创建“影子数据”时也是如此。因此， 组织对这些设备的可见性有限或没有可见性，也没有对关键设备的可见性访问和敏感数据，这些数据超出了他们的控制范围。 SPYCLOUDMALWAREREADINESS&DEFENSEREPORT7 3 3.组织担心恶意软件感染，但缺乏有足够的措施来纠正他们。 绝大多数99%的受访者认为他们的组织是 关注恶意行为者使用恶意软件-如fi相关数据进行犯罪后续攻击，如帐户接管和勒索软件。但是，许多 企业在恶意软件修复或过时事件方面存在差距限制完全感染解决范围的响应实践， 停止一些关键步骤，例如使脆弱的Web会话无效 暴露的应用程序和重置密码。没有对恶意软件的可见性员工、承包商和供应商使用的每台设备-没有 4 人员、工具和时间来正确应对感染-安全团队无法跟上这种威胁，这为恶意行为者打开了大门 一次又一次的攻击。 4.Infostealers是一个日益增长的关注-和流行的策略，应该在每个SecOps团队的雷达上。 安全运营（SecOps）团队对信息窃取者趋势保持警惕：调查受访者将信息窃取者列为他们第三大关注。此外, 98％的人同意更好的能力来获得清晰的业务图景 面临受Infostealer感染设备风险的应用程序将显著改善fi 他们的安全状况。专门设计fi来窃取凭证和其他形式受感染机器的访问，信息窃取者越来越多 由于其易于部署、扩展能力和高成功率而常见。最近关于安全的报道调查和事故补救 发现恶意行为者在 2022年与上一年相比，这两个国家的患病率都有所增加使用Infostealers和购买被盗凭证。 SPYCLOUDMALWAREREADINESS&DEFENSEREPORT8 5 5.当前的恶意软件响应实践在感染后留下了空白补救。 尽管人们对信息窃取者的风险意识很高，但不能这样说。组织有能力最大限度地减少这种类型的潜在损害 恶意软件。擦拭干净设备并不能完全消除造成的损害这种恶意软件感染。根据SpyCloud的研究，每次感染公开访问平均26个业务应用程序。检测和动作 在这些暴露上迅速对破坏恶意行为者的尝试至关重要 伤害组织。然而，这一final步骤是一个弱点-组织排名 theirabilitytoidentifyapplicationexposurebelowotherremediationsteps.Our 调查还发现，超过三分之一的组织不重置应用程序密码和超过四分之一甚至不审查应用程序日志 妥协的迹象。 9 疟疾感染的风险和意义 在过去的几年里，勒索软件已经成为一个严重的问题80%由调查的安全领导者世界经济论坛将其称为对公共安全的不断发展和危险的威胁。成本不断上升:at 450万美元，勒索软件攻击的平均成本高于数据泄露（435万美元），而这并不是甚至数着赎金. 虽然一些研究表明勒索软件攻击率在过去一年一直保持在水平，这并没有缓解安全领导者和从业者的担忧。我们的调查受访者排名勒索软件是最大的威胁，其次是网络钓鱼/鱼叉网络钓鱼和信息窃取者（图3）。 值得注意的是，这三个威胁是齐头并进的：恶意行为者可能会在 设备通过用户成为电子邮件网络钓鱼活动中的恶意链接或图像的牺牲品，并且一旦设备被受感染的用户数据或有价值的公司数据被提取，他们可以发起更复杂的勒索软件攻击- 或将这些数据出售给其他威胁参与者，然后他们这样做。 此外，infostealer日志包含对企业应用程序的被盗访问，从SSO实例到 fi财务系统、客户数据库和代码库在犯罪地下已经变得丰富，并且 整个市场都专注于这种类型的“提供”。仅一个市场，创世纪市场，提供的不仅仅是 我们的研究发现，仅在2022年就有430,000个被盗身份。虽然在2023年初被执法部门关闭，但在过去6年，创世纪提供了被盗数据80+百万帐户访问凭据专门针对 初始访问经纪人（IAB），他们通过此被盗数据向勒索软件运营商出售有保证的直接访问。 对组织安全的最大威胁 1（最低）至5（最高）的比例 勒索软件4.22 网络钓鱼/鱼叉式网络钓鱼 Infostealers(虹吸的恶意软件登录凭据、会话Cookie等) Web应用程序攻击高级持续威胁(APT) 恶意内部人员 3.79 3.71 4.07 4.05 3.96 供应链攻击3.69 账户接管(ATO)3.66