SpyCloud 恶意软件就绪和防御报告

恶意软件准备与防御报告 TABLEOFCONTENTS 不断增长的恶意软件感染暴露3 关于SpyCloud调查5 主要发现7 恶意软件感染的风险和影响10 恶意软件是组织的主要关注点11 缺乏能见度阻碍了进展12 下一代账户接管在这里，不会很快消失13 忽视了使组织暴露的入口点14 “足够好”真的不是15 大型企业：更成熟，但仍处于高风险16 恶意软件响应能力的差距16 感染后补救优先事项和能力18 传统恶意软件消耗资源19 对恶意软件感染的常规响应：缺少什么？20 改变范式22 最后的想法24 关于SpyCloud25 疟疾感染引起的暴露 术语表 认证(或会议)COOKIES或令牌 当你登录一个网站或应用程序时，服务器会在你的浏览器中设置一个临时会话cookie或令牌。这使得应用程序能够记住你是已登录且经过身份验证的。许多认证cookie的实际有效期令人惊讶地长 （可达数月甚至更久）。 感染后补救 一个关键补充，添加到恶意软件感染响应手册中，步骤不仅限于清除设备。通过重置凭证并无效化暴露应用程序的活跃网络会话，目标是通过针对从受感染设备泄露的初始访问权限并将其出售给勒索软件操作者来消除勒索软件的入口点。 我们的数字化生活，无论是个人生活还是职业生活，推动了关于我们身份的各种信息的快速增长——从凭证和其他形式的身份验证到个人可识别信息（PII）。尽管我们创造了这个数字世界及其不断演变的技术，跟上数字扩张的快速步伐似乎对人类来说几乎是不可能的——企业和个人都在努力寻找新的安全方式来开展业务。但网络犯罪分子并不面临速度或灵活性的问题；他们能够与数字景观的变化同步创新其技术和策略，包括先进的数据窃取和访问方法，在其行为引起任何警报之前就已经迅速实施。 这种犯罪创新引发了影响所有规模组织的网络犯罪Epidemic。据估计，网络犯罪的成本将超过两倍 Inthenextfiveyears,暴涨从2023年的11.5万亿美元到2028年的23.82万亿美元 。网络事件不仅排名靠前商业风险虽然存在，但也往往是导致业务中断最害怕的因素之一。这种恐惧主要源于勒索软件的风险。 勒索软件可能造成严重破坏深远的影响，也许这就是为什么它排名为顶级网络威胁让安全领导者夜不能寐。然而，投入更多资源似乎并不能解决问题。SpyCloud的2022 年勒索软件防御报告调查显示受访的安全专业人士对避免受到攻击的前景越来越悲观 ，而在过去一年中遭受勒索软件攻击的组织数量显著增加。 管理不足的设备 未更新安全更新的企业设备，例如端点保护或防恶意软件解决方案。 SPYCLOUDMALWAREREADINESS&DEFENSEREPORT3 会议推举(下一代ATO) 这场失败之战的最大原因之一是恶意软件攻击的激增，这种攻击达到了55亿去年 。受恶意软件感染的员工设备创建了进入组织的直接路径，因为信息窃取程序恶意软件会将来自目标URL、登录凭据、密钥和身份验证Cooie/令牌的最新准确数据传输到设备和系统信息，从而实现轻松的模拟。有了这些数据，攻击者可以成功地模仿员工的访问，并实施网络犯罪，如帐户接管、会话劫持和勒索软件攻击。去年，SpyClod重新获取了近一半的暗网暴露数据。来自僵尸网络（部署infostealers的常用方法)-这种趋势正在迅速增长。 在传统帐户接管(ATO)攻击,犯罪分子使用另一人的登录凭证，最常见的方式是利用之前泄露站点中重复使用或类似的密码来访问现有账户。increasingly,犯罪分子通过会话劫持–或者称为“下一代账户接管”。犯罪分子利用从受恶意软件感染的设备中窃取的身份验证cookie外泄信息，绕过任何形式的凭据（包括密码、passkeys乃至多因素认证MFA），从而轻松冒充员工并访问私人信息。 尽管通过恶意软件窃取的数据为勒索软件提供了入口点，并且这些数据被出售给勒索软件运营商作为“初始访问”途径，大多数组织仍未全面remediate恶意软件感染的全部范围。缺乏全面的感染后remediation可能会使组织暴露时间更长，因为恶意行为者利用仍然有效的外泄数据发起有针对性的攻击。 在本报告中，我们考察了组织目前如何应对恶意软件感染，并识别填补缺口的机会。正如我们在研究发现中指出的，我们共同操作的数字环境增加了恶意软件的风险，同时减少了安全团队对不断扩大的攻击面的可见性。除了呈现调查结果外，本报告还讨论了恶意软件暴露导致最严重攻击后的忽视方面，并探讨组织可以采取哪些措施来降低这些攻击的风险。 阴影数据 与影子IT的概念类似，这是指在IT安全团队的权限之外创建、共享或存储的敏感数据，因此不受公司安全策略的约束。影子数据可以包括在个人设备上创建的公司文档、保存在外部设备上的敏感数据或从不再使用的应用程序存储的数据，仅举几例。. 4 关于Spycloud调查 我们的目标是了解网络安全领导者和实践者当前的恶意软件remediation实践和优先级。我们对来自美国和英国、组织员工从500人到超过25,000人的活跃IT安全角色的317名个人进行了调查。 调查检查了以下领域： 对网络安全威胁和恶意软件暴露的关注安全措施和事件响应协议感染后修复功能和最佳实践 我们征求了包括IT安全分析师、事件响应人员、部门领导和CISO在内的实践者的反馈。近三分之一的参与者是安全从业人员以及其他非领导角色的人员（如图1所示）。 8% 5% 25% 12% 6% 44% 按角色调查参与者 图1 CIO、CISO或IT安全主管IT安全总监、经理或团队领导IT安全架构师/工程师 IT安全操作员/分析师/事件响应者IT安全管理员 IT安全中的其他角色 5 参与者代表了从中型到超大型企业的组织规模的横截面， 1,000-4,999个组织代表了最大的队列，占38％(图2)。 8% 图2 19% 11% 24% 38% 按组织规模调查参与者 500–999 1,000–4,999 5,000–9,999 10,000–25,000 超过25,000 6 1 关键发现 随着勒索软件仍被视为安全团队面临的最大威胁之一，我们的调查发现，欺 诈（钓鱼）是组织最为关切的第二大威胁，这表明人们意识到了人为因素在暴露风险中的重要作用。然而 ，缺乏robust的安全实践和资源导致防御存在漏洞。现代workforce期望便捷性和易用性，包括能够从任何地方访问应用程序和数据，同时减少摩擦。不幸的是，提供这种便利往往牺牲了安全性。我们发现，许多组织仍然允许1使.人用未类经行管为理或—共—享设有备意访和问无企意业应—用—程序是，核并心且能风够险在驱公动司因和个素人。设备之间同步浏览器数据等不良的安全实践。 向数字化和云优先环境的转变改变了员工的工作方式。为了追求效率和提高生产力，他们采用了各种第三方工具，但其中一些采用超出了IT的控制范围。我们的调查发现，超过50%的组织中有员工未经IT同意就设置了应用程序和系统。这些“影子IT资源的增加，结合员工和合同工在未管理或管理不足的设备上访问企业资源的情况，会在安全方面造成盲点——不仅在访问控制和应用控制的背景下，还在于形成“影子数据”。因此，组2织.对不企断业变这化些的设备数缺字乏环可境见造性，成也恶无意法软监件控超感出染其的控高制风范围险的。关键访问和敏感数据。 2 7 3调查显示，令人担忧的是，99%的受访者认为其组织对其它恶意行为者利用被恶 意软件窃取的数据进行后续攻击（如账户接管和勒索软件攻击）表示关注。然而，许多企业在其恶意软件清除或过时的事件响应实践方面存在差距，这限制了彻底解决感染范围的能力，未能采取关键步骤，例如对暴露的应用程序中无效的网络会话进行验证并重置密码。没有对企业员工、合同工和供应商使用的每台设备上的恶意软件进行全面可见性，3.且组缺织乏担相应心的恶人意力软、件工具感和染时，间来但妥缺善乏应对足感够染的，措安施全团来队补无救法它跟们上这。一威胁，从而为 恶意行为者反复攻击留下了机会。 安全运营（SecOps）团队对信息窃取工具的趋势保持警觉：调查受访者将信息窃取工具列为第三大担忧。此外，98%的受访者认为，更好地获得对企业应用程序的清晰了解，以评估哪些设备可能受到信息窃取工具的影响，将显著提高其安全态势。信息窃取工具专门设计用于从受感染的机器中窃取凭证和其他形式的访问权限，由于其部署简便、可扩展性强以及成功率高，这些工具正变得越来越普遍 。最近有关安全性的报4.告In进fo一s步te表al明er了s这是一一点个。日调益查关并注且的事问故题响应-发并现且，是与一前个一年流相行比的，策20略22年，恶应意该行为者使用盗取凭证的情况出更现加在频每繁，个同S时e信cO息p窃s取团工队具的的雷使达用频上率。和购买被盗凭证的行为也有所增加。 4 8 5尽管人们对信息窃取者的风险意识很高，但组织减少此类恶意软件可能造成的潜 在损害的能力却不高。仅仅清理设备并不能完全消除此类恶意软件感染造成的损害。根据SpyCloud的研究，每次感染平均暴露了对企业应用的访问权限达到26个业务应用程序。迅速检测并采取行动应对这些暴露对于中断企图损害组织的恶意行为至关重要。然而，这一最后一步却是薄弱环节——组织在识别应用暴露方面的能力排名低于其他补救措施5.。当我前们的的调恶查意还软发件现响，超应过实三践分在之感一的染组后织补不救重中置应留用下密了码空，白甚至。有超过四分之一的组 织根本不审查应用日志以寻找被破坏的迹象。 9 疟疾感染的风险和意义 在过去的几年里，勒索软件已经成为一个严重的问题80%由公共安全调查的安全领导人。和:at世界经济论坛将其称为不断演变的危险威胁成本不断上升450万美元，勒索软件攻击的平均成本高于数据泄露（435万美元），而且还不包括赎金。 虽然一些研究表明过去一年勒索软件攻击率保持稳定，但这并未缓解安全领导层和实践者的担忧。我们的调查受访者将勒索软件是最大的威胁，其次是网络钓鱼/鱼叉式网络钓鱼和信息窃取者（图3)。 值得注意的是，这三种威胁是齐头并进的：恶意行为者可能会通过用户成为电子邮件网络钓鱼活动中的恶意链接或图像的牺牲品，在设备上执行ifostealer恶意软件，一旦设备被感染，用户数据或有价值的企业数据被提取出来，他们就可以发起更复杂的勒索软件攻击，或者将这些数据出售给其他威胁行为者。 此外，包含对企业应用程序（包括单点登录实例、财务系统、客户数据库和代码仓库）访问权限被盗记录的日志已成为犯罪地下世界的常见商品，并且整个市场专门从事此类“产品”。我们的研究发现，仅GenesishMarketplace一家市场在2022年就提供了超过43万条被盗身份信息。尽管该市场在2023年初被执法部门关闭，但在过去6年中，Genesis仍然提供了大量的被盗数据。80+百万专门为初始接入经纪人（IABs）提供的账户访问凭证，这些凭证专门针对被盗数据以向勒索软件运营商提供受保证的直接访问。 对组织安全的最大威胁 1(最低)至5(最高)的比例 4.22 勒索软件 4.07 4.05 网络钓鱼/鱼叉式网络钓鱼Infostealers(虹吸的恶意软件 3.96 登录凭据、会话Cookie等) 3.79 3.71 图3 Web应用程序攻击高级持续威胁(APT) 3.69 3.66 恶意内部人员供应链攻击 账户接管(ATO) 3.64 移动恶意软件(定位 移动设备) 10 恶意软件是组织的主要关注点 组织对恶意软件可能造成的潜在危害毫无幻想，我们的调查结果表明了这一点。不到1%的受访者表示他们不担心未来更严重的攻击，这些攻击源自身份验证、身份信息、会话及其他数据从受感染设备泄露的数据，而53%的受访者表示他们极为关注（如图4所示）。 7% 39% 53% >1% 对窃取数据导致未来攻击的担忧 （按雇员人数) 图4 非常关注 Significantlyconcerned有点担