2022 年勒索软件防御报告

目录 不断升级的勒索软件问题030610第1节|对勒索软件失去基础第2节|可见性差距和无效对策创建更大的风险第3节|克服障碍和提高准备专注于预防以提高韧性关于SpyCloud141919 不断升级的勒索软件问题 在过去的12个月里，勒索软件攻击迫使一所拥有157年历史的大学关上门，一家领先的汽车制造商停止操作一天，整个国家宣布紧急状态。在占据头条新闻几年后，到现在为止，这些故事可能感觉像是旧新闻。然而，勒索软件威胁升级为全球危机使其处于是许多组织网络安全议程的重中之重。 最近的SpyCloud赞助调查企业CISO发现勒索软件是他们今天面临的最令人担忧的问题。并有充分的理由：2021年，66%的组织受到勒索软件的攻击，而2020年这一比例为37%。 不仅勒索软件更加prolific，而且威胁参与者也变得更加精明-他们成功地在65%的攻击去年，高于2020年的54％。增加伤害的是，大多数勒索软件计划现在涉及双重勒索，攻击者窃取数据first，并威胁说如果不支付赎金就会泄露它。就在两年前，只有一个帮派使用这种策略，而今天它存在于77%的攻击. 在去年的勒索软件防御报告，我们了解到，组织对他们避免的前景感到悲观攻击。只有18％的受访者认为他们的组织不太可能发生勒索软件事件，而22％的受访者认为believed it would likely happen many times. We wanted to see how things have changed since then—and this year’s survey发现组织在今天的fi能力上感到更加不满意。 正如我们在本报告中讨论的那样，勒索软件仍然是一个需要解决的广泛，持久和复杂的问题。对这种威胁有更全面的了解，我们还讨论了勒索软件攻击经常被忽视的方面，以及如何组织可以解决这些问题。 调查人口统计 关于SpyCloud调查 SpyCloud征求了以下个人的回应：角色包括IT安全分析师和架构师/工程师，一直到行政套房。大多数310名参与者来自高层：34%是CIO、CISO和安全主管；50%是安全总监、经理或团队领导(图1)。 在2021年勒索软件防御报告之后，SpyCloud想了解安全领导者和实践者如何对威胁的看法已经改变，它们是什么如果有的话，做不同的事情来抵御勒索软件。今年，我们调查了310名活跃的IT安全角色在美国，英国和加拿大拥有至少500个组织员工。 我们调查了组织规模的横截面 （图2），来自小型（500 - 999名员工）和中端市场(1, 000至9, 999名员工)大型企业（拥有10, 000名或更多员工）。最大的群体(46%)代表拥有1000 -4999名员工，其次是小公司的23%（500 - 999名员工），18%来自拥有5000 - 9, 999名员工。来自最大的受访者企业(10, 000 +员工)占12%respondents. 我们检查了以下领域： ••勒索软件攻击的普遍性和影响组织目前采取的对策到位和/或计划添加•与之相关的最大风险和最大障碍勒索软件 除了强调调查fi的内容外，报告还提供有关如何提升组织的勒索软件防御。我们鼓励您使用此可操作的数据作为贵组织准备和决定如何缩小准备差距。 关键发现 1.勒索软件攻击的流行率正在上升。Year 一年来，我们看到fi的数量显着下降的组织没有被勒索软件击中过去12个月（2022年为10%，2021年为27.5%）和一个显著的fi不能增加那些有经历了多次攻击(50%被击中两次到five次在过去的一年和前一年的33.5%，近78%在过去的一年中被击中两次到10次以上与前一年的近52%相比）。 2.组织对自己的防御感到不那么满意 今年。我们发现整体略有下降表明其现有组织的数量勒索软件缓解解决方案状况良好，并且希望升级或添加新产品的组织数量增加安全技术。此外，更多的组织拥有今年实施“B计划”措施，从开放加密货币帐户购买勒索软件保险骑手。这些fi编码表明，组织意识到威胁正在通过他们的防御和勒索软件攻击是不可避免的。 电子邮件和非托管设备会产生最高的风险。调查参与者将这三个向量列为风险最高的勒索软件的入口点。重要的是要了解所有这些入口点都是相互关联的-并且在一起，它们大大增加了成功勒索软件的风险攻击。 4.组织在分层防御中留下了空白。 我们并不惊讶地得知组织看到数据备份作为他们最重要的对策和67.8%对他们的解决方案的性能感到满意。同样，用户感知和端点检测是其他顶部的典型防御。然而，我们很惊讶，看看有多少组织忽视了其他重要的防御。例如，监控受损网络会话被认为是第三个最不重要的对策。这和其他组织中的差距分层防御为勒索软件操作员提供了更多获得机会。 5.缺乏对真正妥协的可见性创造了更大的暴露。尽管漏洞未修补，但网络钓鱼电子邮件和非托管设备的风险值得关注攻击媒介，安全团队最危险的切入点看不到导致更大的漏洞。设备感染了恶意软件，例如，创建一个最大的暴露于勒索软件，并且没有可见性设备并进入导致的帐户通过恶意软件虹吸的数据，组织没有全面了解他们的风险。 第1节|对勒索软件失去基础 一幅荒凉的图画 过去一年的研究压倒性地指出勒索软件问题继续上升。再一次，它是2021年最大的威胁，正如IBM安全研究人员在他们的最新报告。在勒索软件中看到的13%的增长-根据最新的数据，过去一年的相关违规行为“与过去五年的总和一样大”Verizon数据泄露调查报告(DBIR). 进入我们的调查，我们预计会发现类似的结果-我们做到了，包括跳到90%的组织数量在过去一年中至少受到一次勒索软件的影响，相比之下，上一年为72.5% (图3)。其他几年-年份的变化表明，组织正在失去勒索软件的地位： •只有10%的受访者表示他们的组织没有受到影响，fi不能从去年的27.5%。 •这些人的数量有了很大的飞跃影响了两次到five次，从今年的50%去年的33.5%；受影响6到10倍，从13.1%降至20.3%。 大小无关紧要 虽然规模较小的组织经常认为勒索软件攻击者的目标是愈合得更好的大型企业，但这根本不是我们的研究表明，没有任何规模的组织是免疫的。 今年，各规模类别受影响的公司占比分布非常紧密，范围在82.4%之间最大的企业和拥有1, 000 - 4, 999名员工的组织为91.5%（图4）。但最小的组织似乎比最大的稍差，可能是由于安全资源较少-这意味着他们需要寻找具有成本效益的技术，使玩fi领域达到水平。 付还是不付？ 在过去一年受到勒索软件攻击的人中，65%的人最终支付了赎金(图5)。但这并不意味着他们我们发现，在那些付费的人中，略多于一半的人完全恢复了他们的数据，大约三分之一的人成功地部分恢复。在那些没有付费的人中，92%的人设法通过数据备份等手段恢复了他们的数据。从表面上看，这似乎是个好消息，但事实并非如此-这些组织无法确定被盗数据是否在检索之前已经在暗网上共享，使其可用于其他网络犯罪分子。 请记住，赎金只是勒索软件攻击总成本的一小部分。即使攻击不会导致加密或被盗的数据或有偿赎金，还有各种其他影响，包括缓解时间，对客户的影响-面对服务和员工生产力的损失。在私营部门，86%的公司报告由于以下原因导致的收入损失勒索软件事件，90%的人说他们失去了操作能力。此外，37%报告不得不解雇员工和35%说他们经历了C级辞职。虽然影响取决于业务的性质，但总体成本远reaching. While the average ransom was$812, 360全球去年，补救的平均成本要高得多- 1.4美元百万。 感知就是一切 今年，我们还想知道哪些组织最担心勒索软件攻击。四个最关注的five问题-敏感或专有数据的暴露、品牌声誉的损害、客户生产力的损失或因运营中断而感到满意，以及关键服务/基础设施的中断-与外部感知有关（图6）。这些面向外的担忧可能源于多种因素： 通过他们的双重勒索活动，犯罪分子正在宣传他们的行为。即使网络攻击者对此并不直言不讳，勒索软件攻击对利益相关者来说也更明显与其他类型的网络事件相比，潜在的公众。品牌声誉对企业的发展至关重要，因此备受关注。董事会对勒索软件攻击的敏感性更高，他们越来越意识到巨大的商业影响。 勒索软件攻击对您的组织的最大影响 fi在预防和防御中失去信心 与去年同期相比，我们发现对他们现有的安全性感到满意的受访者数量全面下降technologies and an increase in those planning to upgrade or add to their toolset (Figure 7). This shift indicates organizations are意识到威胁正在溜走，并意识到尽管有这些防御层，差距仍然存在。 随着勒索软件攻击者的发展，可以理解的是，组织在防御方面感觉不那么自信。显然，They see room for improvement—and want to detail more effort to get there. The key is to ensure that any upgrade or添加到安全堆栈中的方法是整体上勒索软件的风险，而不是安全状态中的裂缝，而不是创造更多影响有限的跑腿工作。 计划用于勒索软件缓解的安全技术 第二节能见度差距与有效对策创造更大的风险 对策真的有效吗？ 调查参与者将数据备份，用户意识，端点安全性，入侵检测系统和电子邮件安全性排名为针对勒索软件的最有价值的对策（图8）。这种方法为他们提供了覆盖人群，数据，端点、网络和电子邮件，它们是最重要或高度针对性的资产。 然而，如前所述，这些技术似乎并不能有效解决问题。组织正在准备对于勒索软件事件的必然性，今年更多的人实施了替代措施，包括开设比特币账户并为勒索软件事件创建响应计划(图9)。 The highest jump was in ransomware - specificfic insurance riders, from 50.4% last year to 72.3% this year. This leap reflects the近年来，人们对网络安全保险的兴趣与日俱增-64%的公司在2022年购买了它，相比之下两年前. 在许多情况下，将一些风险转移给保险公司可能是一个谨慎的举动。但是，这并不能解决潜在的预防不足的问题，因此，在first中防止攻击是暂时的，而不是长期的。地方。把它想象成购买汽车保险。如果你出了事故，保险将支付你的一些费用，但是并不意味着你应该在没有安全带的情况下肆无忌惮地开车。你仍然应该依靠良好的驾驶习惯来防止事故。就像汽车保险一样，如果你有太多的索赔，你的保费很快就会飙升——或者更糟糕的是，你可能会完全失去保险。 最危险的入口点 与去年相比，参与者对所有潜在的勒索软件入口点进行了更多关注。未修补的漏洞，网络钓鱼电子邮件和非托管设备被视为风险最大的矢量（图10）。顶部的漏洞，因为它们是攻击者的常见策略，他们经常通过感染设备来影响组织与恶意软件。勒索软件是一个恶意软件问题-去年，勒索软件存在于70％的恶意软件相关漏洞中，根据Verizon的DBIR。 同样，网络钓鱼，非托管个人设备（甚至用于访问工作应用程序的共享家庭设备），弱或暴露的凭证，以及任何其他这些入口点会增加对恶意软件的暴露。它们中的每一个都会产生风险单独地，但在一起，它们充当力乘数。此外，威胁行为者不仅在初始进入时针对这些向量而且在攻击的多个阶段，使他们能够升级特权，横向移动，并执行其最终目标。 受恶意软件感染的设备如何使您的组织成为目标 许多勒索软件运营商将first外包他们攻击的阶段-最初进入称为初始访问经纪人的专门小组。这些经纪人使用各种策略来分析fi一个组织，但通常他们会寻找方法冒充内部人员而不是尝试突破fi重墙和其他入侵预防技术。冒充内部人员，他们需要数据，如凭据登录或启用会话劫持的Cookie -以及这