SpyCloud 恶意软件就绪和防御报告

恶意软件准备与防御报告 关于 SpyCloud 调查 5 改变范式 22 关于 SpyCloud 25 疟疾感染引起的暴露 术语表 我们的数字化生活，无论是个人生活还是职业生活，推动了关于我们身份的各种信息的快速增长——从凭证和其他形式的身份验证到个人可识别信息（PII）。尽管我们创造了这个数字世界及其不断演变的技术，跟上数字扩张的快速步伐似乎对人类来说几乎是不可能的——企业和个人都在努力寻找新的安全方式来开展业务。但网络犯罪分子并不面临速度或灵活性的问题；他们能够与数字景观的变化同步创新其技术和策略，包括先进的数据窃取和访问方法，在其行为引起任何警报之前就已经迅速实施。 认证(或会议) COOKIES 或令牌 当你登录一个网站或应用程序时，服务器会在你的浏览器中设置一个临时会话cookie或令牌。这使得应用程序能够记住你是已登录且经过身份验证的。许多认证cookie的实际有效期令人惊讶地长（可达数月甚至更久）。 这种犯罪创新引发了影响所有规模组织的网络犯罪 Epidemic。据估计，网络犯罪的成本将超过两倍 感染后补救 一个关键补充，添加到恶意软件感染响应手册中，步骤不仅限于清除设备。通过重置凭证并无效化暴露应用程序的活跃网络会话，目标是通过针对从受感染设备泄露的初始访问权限并将其出售给勒索软件操作者来消除勒索软件的入口点。 In the next fi ve years, 暴涨从 2023 年的 11.5 万亿美元到 2028 年的 23.82 万亿美元。网络事件不仅排名靠前商业风险虽然存在，但也往往是导致业务中断最害怕的因素之一。这种恐惧主要源于勒索软件的风险。 勒索软件可能造成严重破坏深远的影响， 也许这就是为什么它排名为顶级网络威胁让安全领导者夜不能寐。然而，投入更多资源似乎并不能解决问题。SpyCloud 的2022年勒索软件防御报告调查显示受访的安全专业人士对避免受到攻击的前景越来越悲观，而在过去一年中遭受勒索软件攻击的组织数量显著增加。 管理不足的设备 未更新安全更新的企业设备 ， 例如端点保护或防恶意软件解决方案。 这场失败之战的最大原因之一是恶意软件攻击的激增 ， 这种攻击达到了55 亿去年。受恶意软件感染的员工设备创建了进入组织的直接路径，因为信息窃取程序恶意软件会将来自目标 URL 、登录凭据、密钥和身份验证 Cooie / 令牌的最新准确数据传输到设备和系统信息，从而实现轻松的模拟。有了这些数据，攻击者可以成功地模仿员工的访问，并实施网络犯罪，如帐户接管、会话劫持和勒索软件攻击。去年，SpyClod 重新获取了近一半的暗网暴露数据。来自僵尸网络（ 部署 infostealers 的常用方法) - 这种趋势正在迅速增长。 会议推举 (下一代 ATO) 在传统帐户接管 (ATO) 攻击, 犯罪分子使用另一人的登录凭证，最常见的方式是利用之前泄露站点中重复使用或类似的密码来访问现有账户。 increasingly, 犯罪分子通过会话劫持– 或者称为“下一代账户接管”。犯罪分子利用从受恶意软件感染的设备中窃取的身份验证cookie外泄信息，绕过任何形式的凭据（包括密码、passkeys 乃至多因素认证MFA），从而轻松冒充员工并访问私人信息。 尽管通过恶意软件窃取的数据为勒索软件提供了入口点，并且这些数据被出售给勒索软件运营商作为“初始访问”途径，大多数组织仍未全面 remediate 恶意软件感染的全部范围。缺乏全面的感染后 remediation 可能会使组织暴露时间更长，因为恶意行为者利用仍然有效的外泄数据发起有针对性的攻击。 在本报告中，我们考察了组织目前如何应对恶意软件感染，并识别填补缺口的机会。正如我们在研究发现中指出的，我们共同操作的数字环境增加了恶意软件的风险，同时减少了安全团队对不断扩大的攻击面的可见性。除了呈现调查结果外，本报告还讨论了恶意软件暴露导致最严重攻击后的忽视方面，并探讨组织可以采取哪些措施来降低这些攻击的风险。 阴影数据 与影子 IT 的概念类似，这是指在 IT 安全团队的权限之外创建、共享或存储的敏感数据，因此不受公司安全策略的约束。影子数据可以包括在个人设备上创建的公司文档、保存在外部设备上的敏感数据或从不再使用的应用程序存储的数据，仅举几例。. 关于 Spycloud 调查 我们的目标是了解网络安全领导者和实践者当前的恶意软件 remediation 实践和优先级。我们对来自美国和英国、组织员工从 500 人到超过 25,000 人的活跃 IT 安全角色的 317 名个人进行了调查。 调查检查了以下领域 ： 对网络安全威胁和恶意软件暴露的关注安全措施和事件响应协议感染后修复功能和最佳实践 我们征求了包括IT安全分析师、事件响应人员、部门领导和CISO在内的实践者的反馈。近三分之一的参与者是安全从业人员以及其他非领导角色的人员（如图1所示）。 1, 000 - 4, 999 个组织代表了最大的队列 ， 占 38 ％(图 2) 。 1随着勒索软件仍被视为安全团队面临的最大威胁之一，我们的调查发现，欺诈（钓鱼）是组织最为关切的第二大威胁，这表明人们意识到了人为因素在暴露风险中的重要作用。然而，缺乏 robust 的安全实践和资源导致防御存在漏洞。现代 workforce 期望便捷性和易用性，包括能够从任何地方访问应用程序和数据，同时减少摩擦。不幸的是，提供这种便利往往牺牲了安全性。我们发现，许多组织仍然允许使用未经管理或共享设备访问企业应用程序，并且能够在公司和个人设备之间同步浏览器数据等不良的安全实践。1. 人类行为 — — 有意和无意 — — 是核心风险驱动因素。 2向数字化和云优先环境的转变改变了员工的工作方式。为了追求效率和提高生产力，他们采用了各种第三方工具，但其中一些采用超出了IT的控制范围。我们的调查发现，超过50%的组织中有员工未经IT同意就设置了应用程序和系统。这些“影子 IT资源的增加，结合员工和合同工在未管理或管理不足的设备上访问企业资源的情况，会在安全方面造成盲点——不仅在访问控制和应用控制的背景下，还在于形成“影子数据”。因此，组织对企业这些设备缺乏可见性，也无法监控超出其控制范围的关键访问和敏感数据。2. 不断变化的数字环境造成恶意软件感染的高风险。 3调查显示，令人担忧的是，99%的受访者认为其组织对其它恶意行为者利用被恶意软件窃取的数据进行后续攻击（如账户接管和勒索软件攻击）表示关注。然而，许多企业在其恶意软件清除或过时的事件响应实践方面存在差距，这限制了彻底解决感染范围的能力，未能采取关键步骤，例如对暴露的应用程序中无效的网络会话进行验证并重置密码。没有对企业员工、合同工和供应商使用的每台设备上的恶意软件进行全面可见性，且缺乏相应的人力、工具和时间来妥善应对感染，安全团队无法跟上这一威胁，从而为恶意行为者反复攻击留下了机会。3. 组织担心恶意软件感染 ， 但缺乏足够的措施来补救它们。 4安全运营（SecOps）团队对信息窃取工具的趋势保持警觉：调查受访者将信息窃取工具列为第三大担忧。此外，98%的受访者认为，更好地获得对企业应用程序的清晰了解，以评估哪些设备可能受到信息窃取工具的影响，将显著提高其安全态势。信息窃取工具专门设计用于从受感染的机器中窃取凭证和其他形式的访问权限，由于其部署简便、可扩展性强以及成功率高，这些工具正变得越来越普遍。最近有关安全性的报告进一步表明了这一点。调查并且事故响应发现，与前一年相比，2022年恶意行为者使用盗取凭证的情况更加频繁，同时信息窃取工具的使用频率和购买被盗凭证的行为也有所增加。4. Infostealers 是一个日益关注的问题 - 并且是一个流行的策略 ， 应该出现在每个 SecOps 团队的雷达上。 5尽管人们对信息窃取者的风险意识很高，但组织减少此类恶意软件可能造成的潜在损害的能力却不高。仅仅清理设备并不能完全消除此类恶意软件感染造成的损害。根据SpyCloud的研究，每次感染平均暴露了对企业应用的访问权限达到26个业务应用程序。迅速检测并采取行动应对这些暴露对于中断企图损害组织的恶意行为至关重要。然而，这一最后一步却是薄弱环节——组织在识别应用暴露方面的能力排名低于其他补救措施。我们的调查还发现，超过三分之一的组织不重置应用密码，甚至有超过四分之一的组织根本不审查应用日志以寻找被破坏的迹象。5. 当前的恶意软件响应实践在感染后补救中留下了空白。 疟疾感染的风险和意义 在过去的几年里 ， 勒索软件已经成为一个严重的问题80%由公共安全调查的安全领导人。和: at世界经济论坛将其称为不断演变的危险威胁成本不断上升450万美元，勒索软件攻击的平均成本高于数据泄露（435万美元），而且还不包括赎金。 虽然一些研究表明过去一年勒索软件攻击率保持稳定，但这并未缓解安全领导层和实践者的担忧。我们的调查受访者将勒索软件是最大的威胁 ， 其次是网络钓鱼 / 鱼叉式网络钓鱼和信息窃取者（ 图 3) 。 值得注意的是，这三种威胁是齐头并进的 ： 恶意行为者可能会通过用户成为电子邮件网络钓鱼活动中的恶意链接或图像的牺牲品，在设备上执行 ifostealer 恶意软件 ，一旦设备被感染，用户数据或有价值的企业数据被提取出来，他们就可以发起更复杂的勒索软件攻击，或者将这些数据出售给其他威胁行为者。 此外，包含对企业应用程序（包括单点登录实例、财务系统、客户数据库和代码仓库）访问权限被盗记录的日志已成为犯罪地下世界的常见商品，并且整个市场专门从事此类“产品”。我们的研究发现，仅Genesish Marketplace一家市场在2022年就提供了超过43万条被盗身份信息。尽管该市场在2023年初被执法部门关闭，但在过去6年中，Genesis仍然提供了大量的被盗数据。80 + 百万专门为初始接入经纪人（IABs）提供的账户访问凭证，这些凭证专门针对被盗数据以向勒索软件运营商提供受保证的直接访问。 组织对恶意软件可能造成的潜在危害毫无幻想，我们的调查结果表明了这一点。不到1%的受访者表示他们不担心未来更严重的攻击，这些攻击源自身份验证、身份信息、会话及其他数据从受感染设备泄露的数据，而53%的受访者表示他们极为关注（如图4所示）。 虽然大型组织通常由于更多的资源和更复杂的实践而拥有更好的防御 ， 但规模在这里似乎并没有什么不同 ： 与所有规模类别的平均值相比 ， 拥有 25, 000 名或更多员工的企业的受访者对被盗数据导致未来攻击的担忧程度略低(图 5) 。 这种担心并非没有根据。去年 ， SpyCloud 研究人员从地下犯罪分子中回收了 7.215 亿个暴露的用户名和密码组合 ， 其中48.5%从恶意软件感染的设备中泄露出来（剩余的部分在第三方泄露事件中流出）。此外，恶意软件日志还包含其他凭证，包括认证cookie——这使恶意行为者能够劫持一个会话不提供密码、访问密钥或第二因素认证的情况下，假冒员工身份，获得不受限制的访问权限，进入宝贵的信息系统和网络，并创造实施昂贵且具有破坏性的网络攻击的机会。 缺乏能见度阻碍了进展 尽管担忧很高，但对这一风险的可见性却显得较低：98%的受访者认为，拥有更好的可见性来了解信息窃取者感染后暴露的企业应用程序将提高安全态势（如图6所示）。这是一个需要优先考虑的领域。组织必须解决可见性问题，因为只要存在这一差距，所有降低暴露风险的努力都将无效。 下一代账户接管即将到来 ， 不会很快消失 人类因素 ： 常见的螺纹 我们惊讶地发现，账户接管并不是组织的主要担忧，在九个类别中仅排名倒数第二。虽然勒索软件可能占据了安全团队的大部分注意力，但由恶意软件感染导致的新一代账户接管（ATO）仍然应该被视为一种高风险。会话劫持——一种新一代ATO的形式——源自使用被盗但仍有效的认证cookie接管（或“劫持”）一个会话，以冒充合法员工的真实副本。这种方法超越了传统的凭据泄露，扩展了犯罪分子可以利用的数据范围