2022 年勒索软件防御报告

目录 不断升级的勒索软件问题03 第1节|对勒索软件失去基础06 第2节|可见性差距和无效对策创建10 更大的风险 第3节|克服障碍和提高准备14 专注于预防以提高韧性19 关于SpyCloud19 不断升级的勒索软件问题 在过去的12个月里，勒索软件攻击迫使一所拥有157年历史的大学关上门，一家领先的汽车制造商停止操作一天，整个国家宣布紧急状态。在占据头条新闻几年后， 到现在为止，这些故事可能感觉像是旧新闻。然而，勒索软件威胁升级为全球危机使其处于是许多组织网络安全议程的重中之重。 最近的SpyCloud赞助调查企业CISO发现勒索软件是他们今天面临的最令人担忧的问题。 并有充分的理由：2021年，66%的组织受到勒索软件的攻击，而2020年这一比例为37%。 不仅勒索软件更加prolific，而且威胁参与者也变得更加精明-他们成功地在65%的攻击去年，高于2020年的54％。增加伤害的是，大多数勒索软件计划现在涉及 双重勒索，攻击者窃取数据first，并威胁说如果不支付赎金就会泄露它。就在两年前，只有一个帮派使用这种策略，而今天它存在于77%的攻击. 在去年的勒索软件防御报告，我们了解到，组织对他们避免的前景感到悲观 攻击。只有18％的受访者认为他们的组织不太可能发生勒索软件事件，而22％的受访者认为 believeditwouldlikelyhappenmanytimes.Wewantedtoseehowthingshavechangedsincethen—andthisyear’ssurvey 发现组织在今天的fi能力上感到更加不满意。 正如我们在本报告中讨论的那样，勒索软件仍然是一个需要解决的广泛，持久和复杂的问题。对这种威胁有更全面的了解，我们还讨论了勒索软件攻击经常被忽视的方面，以及如何 组织可以解决这些问题。 调查人口统计 SpyCloud征求了以下个人的回应：角色包括IT安全分析师和架构师/工程师，一直到行政套房。大多数310名参与者来自高层：34% 是CIO、CISO和安全主管；50%是 安全总监、经理或团队领导(图1)。 我们调查了组织规模的横截面 （图2），来自小型（500-999名员工）和中端市场(1,000至9,999名员工) 大型企业（拥有10,000名或更多员工）。最大的群体(46%)代表拥有1000- 4999名员工，其次是小公司的23% （500-999名员工），18%来自拥有5000-9,999名员工。来自最大的受访者 企业(10,000+员工)占12% respondents. 按IT安全角色调查参与者 3%2% 5% 6% 34% 50% CIO、CISO或IT 安全执行官 IT安全操作员 /分析师/突发事件Response IT安全总监, 经理或团队铅 IT安全 管理员 IT安全架构师 /工程师 IT中的其他角色 安全 图1 关于SpyCloud调查 在2021年勒索软件防御报告之后，SpyCloud 想了解安全领导者和实践者如何 对威胁的看法已经改变，它们是什么 如果有的话，做不同的事情来抵御勒索软件。今年，我们调查了310名活跃的IT安全角色在美国，英国和加拿大拥有至少500个组织员工。 我们检查了以下领域： •勒索软件攻击的普遍性和影响 •组织目前采取的对策到位和/或计划添加 •与之相关的最大风险和最大障碍勒索软件 除了强调调查fi的内容外，报告还提供有关如何提升组织的 勒索软件防御。我们鼓励您使用此可操作的数据作为贵组织准备和 决定如何缩小准备差距。 关键发现 1.勒索软件攻击的流行率正在上升。Year一年来，我们看到fi的数量显着下降的组织没有被勒索软件击中 过去12个月（2022年为10%，2021年为27.5%）和一个显著的fi不能增加那些有 经历了多次攻击(50%被击中两次到five次在过去的一年和前一年的33.5%，近78%在过去的一年中被击中两次到10次以上与前一年的近52%相比）。 2.组织对自己的防御感到不那么满意 今年。我们发现整体略有下降 按组织规模调查参与者 表明其现有组织的数量勒索软件缓解解决方案状况良好，并且希望升级或添加新产品的组织数量增加 6% 安全技术。此外，更多的组织拥有 7% 23% 今年实施“B计划”措施，从开放加密货币帐户购买勒索软件 18% 保险骑手。这些fi编码表明，组织意识到威胁正在通过他们的防御和勒索软件攻击是不可避免的。 46% 500-999 10,000-25,000 1,000-4,999 超过25,000 5,000-9,999 图2 3.未修补的漏洞、网络钓鱼的组合 电子邮件和非托管设备会产生最高的风险。调查参与者将这三个向量列为风险最高的勒索软件的入口点。重要的是要了解 所有这些入口点都是相互关联的-并且在一起，它们大大增加了成功勒索软件的风险 攻击。 4.组织在分层防御中留下了空白。我们并不惊讶地得知组织看到数据 备份作为他们最重要的对策和67.8% 对他们的解决方案的性能感到满意。同样，用户感知和端点检测是其他 顶部的典型防御。然而，我们很惊讶，看看有多少组织忽视了其他重要的 防御。例如，监控受损 网络会话被认为是第三个最不重要的对策。这和其他组织中的差距 分层防御为勒索软件操作员提供了更多获得机会。 5.缺乏对真正妥协的可见性创造了更大的暴露。尽管漏洞未修补，但网络钓鱼电子邮件和非托管设备的风险值得关注攻击媒介，安全团队最危险的切入点看不到导致更大的漏洞。设备 感染了恶意软件，例如，创建一个最大的暴露于勒索软件，并且没有可见性 设备并进入导致的帐户 通过恶意软件虹吸的数据，组织没有全面了解他们的风险。 第1节|对勒索软件失去基础 一幅荒凉的图画 过去一年的研究压倒性地指出勒索软件问题继续上升。再一次，它 是2021年最大的威胁，正如IBM安全研究人员在他们的最新报告。在勒索软件中看到的13%的增长- 根据最新的数据，过去一年的相关违规行为“与过去五年的总和一样大”Verizon数据泄露调查报告(DBIR). 进入我们的调查，我们预计会发现类似的结果-我们做到了，包括跳到90%的组织数量 在过去一年中至少受到一次勒索软件的影响，相比之下，上一年为72.5%(图3)。其他几年- 年份的变化表明，组织正在失去勒索软件的地位： •只有10%的受访者表示他们的组织没有受到影响，fi不能从 去年的27.5%。 勒索软件事件的过去频率(YOY) 50% 40% 50% •这些人的数量有了很大的飞跃 影响了两次到five次，从今年的50% 去年的33.5%； 受影响6到10倍，从13.1%降至20.3%。 30% 20% 10% 0% 28% 10% 21% 12% 34% 13% 20% 5%7% •总体而言，77.7％的受访组织报告被击中两次和10次之间 None一次 2021 2-5次6-10次 2022 >10倍 前一年调查的51.7%。图3 2022年SpyCloud勒索软件防御报告6 大小无关紧要 虽然规模较小的组织经常认为勒索软件攻击者的目标是愈合得更好的大型企业，但这根本不是我们的研究表明，没有任何规模的组织是免疫的。 今年，各规模类别受影响的公司占比分布非常紧密，范围在82.4%之间 最大的企业和拥有1,000-4,999名员工的组织为91.5%（图4）。但最小的组织似乎比最大的稍差，可能是由于安全资源较少-这意味着他们需要寻找 具有成本效益的技术，使玩fi领域达到水平。 至少检测一次(按组织规模) 100% 80% 89% 92% 82% 91% 86% 82% 80% 60% 40% 20% 0% 70%68% 52% 2021 2022 500-999名员工1,000-4,9995,000-9,99910,000-25,000>25,000 图4 付还是不付？ 在过去一年受到勒索软件攻击的人中，65%的人最终支付了赎金(图5)。但这并不意味着他们我们发现，在那些付费的人中，略多于一半的人完全恢复了他们的数据，大约三分之一的人 成功地部分恢复。在那些没有付费的人中，92%的人设法通过数据备份等手段恢复了他们的数据。从表面上看，这似乎是个好消息，但事实并非如此-这些组织无法确定被盗数据是否 在检索之前已经在暗网上共享，使其可用于其他网络犯罪分子。 勒索软件攻击的响应和结果 付赎金,完全恢复的数据 没有付赎金, 恢复的数据 付赎金,部分恢复的数据 已付赎金，必须4% 恢复数据的另一种方式 24% 32% 36% 没有付赎金,3% 未恢复数据 付赎金,1% 丢失了我们的数据 图5 2022年SpyCloud勒索软件防御报告7 请记住，赎金只是勒索软件攻击总成本的一小部分。即使攻击不会导致 加密或被盗的数据或有偿赎金，还有各种其他影响，包括缓解时间，对客户的影响- 面对服务和员工生产力的损失。在私营部门，86%的公司报告由于以下原因导致的收入损失勒索软件事件，90%的人说他们失去了操作能力。此外，37%报告不得不解雇员工和35%说他们经历了C级辞职。虽然影响取决于业务的性质，但总体成本远 reaching.Whiletheaverageransomwas$812,360全球去年，补救的平均成本要高得多-1.4美元百万。 感知就是一切 今年，我们还想知道哪些组织最担心勒索软件攻击。四个 最关注的five问题-敏感或专有数据的暴露、品牌声誉的损害、客户生产力的损失或因运营中断而感到满意，以及关键服务/基础设施的中断-与外部感知有关 （图6）。这些面向外的担忧可能源于多种因素： •通过他们的双重勒索活动，犯罪分子正在宣传他们的行为。 •即使网络攻击者对此并不直言不讳，勒索软件攻击对利益相关者来说也更明显与其他类型的网络事件相比，潜在的公众。 •品牌声誉对企业的发展至关重要，因此备受关注。 •董事会对勒索软件攻击的敏感性更高，他们越来越意识到巨大的商业影响。 勒索软件攻击对您的组织的最大影响 暴露敏感或专有数据 3.92 损害品牌声誉 3.85 恢复和恢复正常运营的硬成本 3.82 由于运营中断而导致的客户生产力或满意度损失 3.75 关键服务/基础设施中断 3.73 因运营中断造成的收入损失 3.69 法规遵从性的硬成本/fines 3.66 无法恢复关键业务数据 3.65 由于运营中断而导致的员工生产力损失 3.63 支付赎金的艰难成本 3.60 不得不关闭/关闭业务 3.47 在1到5的范围内 图6 fi在预防和防御中失去信心 与去年同期相比，我们发现对他们现有的安全性感到满意的受访者数量全面下降 technologiesandanincreaseinthoseplanningtoupgradeoraddtotheirtoolset(Figure7).Thisshiftindicatesorganizationsare 意识到威胁正在溜走，并意识到尽管有这些防御层，差距仍然存在。 随着勒索软件攻击者的发展，可以理解的是，组织在防御方面感觉不那么自信。显然， Theyseeroomforimprovement—andwanttodetailmoreefforttogetthere.Thekeyistoensurethatanyupgradeor 计划用于勒索软件缓解的安全技术 已经在良好的状态 添加到安全堆栈中的方法是整体上勒索软件的风险，而不是安全状态中的裂缝，而不是创造更多影响有限的跑腿工作。 数据备份 61.9% 电子邮件安全（使用网络钓鱼检测） 52.4% 多因素身份验证(MFA) 50.5% 端点/设备保护 45.9% 计划升级 欺骗技术（例如，虚拟蜜罐） 37.9% 入侵检测系统(IDS) 33.3% 用户和实体行为分析(UEBA) 33.1% 用户意识/培训 32.9% 修补程序和安全的fi配置管理 32.8% 要添加的计划 威胁情报服务/共享平台 25.6% 监视受攻击的凭据 24.3