2022 年勒索软件防御报告

目录 不断升级的勒索软件问题03第1节|勒索软件的失地 06第2节|可见性差距和无效对策创建 10更大的风险第3节|克服障碍和提高准备 14专注于预防以提高韧性 19关于SpyCloud 19 SpyCloud勒索软件防御报告 不断升级的勒索软件问题 在过去的12个月里，勒索软件攻击迫使一所拥有157年历史的大学关上门，一家领先的汽车制造商 停止操作一天，整个国家宣布紧急状态在过去的几年中，这类新闻一直占据头条，如今可能已显得有些过时。然而，勒索软件威胁的升级使其成为了全球性的危机，这使得许多组织仍将网络安全问题置于首要议程之中。 最近的SpyCloud赞助调查企业CISO发现勒索软件是他们今天面临的最令人担忧的问题。并且有充分的理由：66%的组织2021年受到勒索软件的打击，而2020年为37%。 不仅勒索软件更多产，而且威胁参与者也变得更加精明-他们成功地加密了数据65%的攻击去年，这一比例从2020年的54 %上升。此外，大多数勒索软件攻击现在都涉及双重勒索，攻击者首先窃取数据，并威胁在未支付赎金的情况下泄露数据。仅仅两年前，这种情况还很少见。一帮使用这种策略，而今天它存在于77%的攻击. 在去年的勒索软件防御报告我们了解到，组织对避免遭受攻击的机会感到悲观。只有18%的受访者认为其组织不会发生勒索软件事件，而22%的受访者认为这种情况很可能会多次发生在其组织中。我们想看看自那以后情况如何变化——今年的调查发现，组织今天在应对能力方面甚至更加缺乏信心。 正如我们在本报告中讨论的那样，勒索软件仍然是一个广泛存在、持久且复杂的难题。为了帮助组织获得对这一威胁更加全面的理解，我们还探讨了勒索软件攻击中常常被忽视的方面以及组织如何应对这些问题。 调查人口统计 SpyCloud向从IT安全分析师和架构师/工程师到高管层的各类人员征集了反馈。参与的310名受访者中，大多数来自高级管理层：其中34%为CIO、CISO和安全执行官；另有50%为安全总监、经理或团队负责人（见图1 ）。 我们对不同规模的企业进行了调查（见图2），涵盖从小型企业（500-999名员工）、中型企业（1,000至9,999名员工）到大型企业（10,000名及以上员工）。最大的一组受访者（46%）来自拥有1,000至4,999名员工的雇主，其次是小型企业（500-999名员工）占23% ，以及拥有5,000至9,999名员工的企业占18%。来自大型企业的受访者（10,000名及以上员工）占受访者总数的12%。 按IT安全角色调查参与者 3%2% 5% 6% 34% 50% CIO、CISO或IT 安全执行官 IT安全操作员 /分析师/突发事件Response IT安全总监,经理或团队Lead IT安全管理员 IT安全架构师 /工程师 IT中的其他角色安全 图1 关于SpyCloud调查 继2021年勒索软件防御报告之后，SpyCloud希望了解安全领导者和实践者对威胁的看法是否有所变化，以及他们在防范勒索软件方面是否采取了不同的措施（如果有）。今年，我们对来自拥有至少500名员工的美国、英国和加拿大组织中活跃IT安全角色的310名个人进行了调查。 我们检查了以下领域： •勒索软件攻击的普遍性及影响组织目前已有或计划添加的应对措施勒索软件相关的主要风险及最 •大障碍 • 除了突出调查结果外，报告还提供了增强组织勒索软件防御的见解。我们鼓励您将这些可操作的数据作为组织准备情况的基准，并用于决定如何弥补准备不足的差距。 关键发现 1.勒索软件攻击的患病率正在上升。年复一年，我们看到组织的数量显着减少没有在过去12个月中遭受勒索软件攻击（2022年占比10%比2021年的27.5%有所下降），并且遭受多次攻击的人数显著增加（去年一年中有50%的受访者经历了两到五次攻击，而前一年这一比例为33.5%；去年一年中有近78%的受访者经历了两次及以上至十多次的攻击，而前一年这一比例为近52%）。 按组织规模调查参与者 6% 7% 23% 18% 46% 500-999 10,000-25,000 1,000-4,999 超过25,000 5,000-9,999 图2 2.组织今年对自身防御的信心有所减弱。我们发现，表示现有勒索软件缓解解决方案状况良好的组织数量略有普遍下降，并且寻求升级或新增安全技术的组织数量有所增加。此外，今年更多组织已采取“备用计划”措施，从开设加密货币账户到购买勒索软件保险附加条款。这些发现表明，组织意识到威胁正在突破其防御体系，并且勒索软件攻击不可避免。 3.未打补丁的漏洞、钓鱼邮件以及未管理的设备的结合构成了最大的风险。调查参与者将这三种途径评为勒索软件入侵的最危险入口点。重要的是要理解，所有这些入口点都是相互关联的— —它们共同极大地增加了成功遭受勒索软件攻击的风险。 4.组织在其多层次防御体系中留下了漏洞。我们并不惊讶地了解到，组织认为数据备份是最为重要的应对措施，并且有67.8 %的组织对其解决方案的性能感到满意。同样，用户意识和端点检测也是其他常见的顶级防御措施之一。然而，让我们感到意外的是，许多组织忽视了其他重要的防御措施。例如，监控受感染的网络会话被视为第三不重要的应对措施。组织多层次防御体系中的这些漏洞给了勒索软件运营商更多的访问机会。 5.缺乏对真实妥协情况的可见性会增加更大的风险敞口。尽管未打补丁的漏洞、钓鱼邮件和未管理设备作为风险攻击途径值得关注，但安全团队无法看到的风险最大的入口点导致了更大的漏洞。例如，感染了恶意软件的设备为勒索软件攻击创造了最大的风险敞口之一，而没有对这些设备及其通过恶意软件泄露的数据导致的被攻破账户进行可见性监控，组织无法获得其风险的完整图景。 第1节|对勒索软件失去基础 一幅荒凉的图画 研究数据显示，过去一年的研究普遍指出勒索软件问题将继续其上升趋势。再次证实，勒索软件在2021年仍然是最主要的威胁，如IBMSecurity研究人员所观察到的那样。他们的最新✲告.根据最新数据，在过去一年中看到的勒索软件相关漏洞增长率达到了13%，这“相当于过去五年总和的规模”。Verizon数据泄露 调查✲告(DBIR)。 进入我们的调查，我们预期会发现类似的结果——并且确实如此，其中包括在过去一年中受到勒索软件影响的组织数量跃升至90%，而前一年这一比例为72.5%（见图3）。此外，其他一些年同比变化表明组织正在失去对勒索软件的防御优势： （注：图3的具体内容未给出，因此保留了“见图3”的表述。如果需要进一步翻译图例或具体数据，请提供相关信息。） 勒索软件事件的过去频率(YOY) 50% 50% 40%34% 30%28% 21% 20% 10% 10% 12% 20% 13% 5%7% 0% None一次2-5次6-10次>10倍 2021 2022 图3 •只有10%的受访者表示他们的组织没有受到影响，比去年的27.5%大幅下降。 •受影响人数在两年到五次之间出现大幅增长，从去年的33.5%上升到今年的50%；在六次到十次之间的受影响人数也显著增加，从13.1%上升到20.3%。 •总体而言，77.7％的受访组织✲告遭受了两次至10次以上的打击，而上一年的调查为51.7 ％。 大小无关紧要 虽然较小的企业往往认为勒索软件攻击者targeting规模较大的成熟企业，但实际上并非如此。我们的研究显示，没有任何规模的企业会免疫于此类攻击。 今年，各规模企业受到影响的比例分布非常紧密，范围从最大型企业中的82.4%到员工数为1,000-4,999人的组织中的91.5%（如图4所示）。但最小规模的企业似乎略逊于最大型企业，这很可能是因为它们的安全资源较少——这意味着他们需要寻找成本效益高的技术来缩小差距。 影响至少一次(按组织规模) 100% 89% 92% 91% 86% 80% 80% 82% 82% 70%68% 60% 52% 2021 40% 20% 0% 2022 500-999名员工1,000-4,9995,000-9,99910,000-25,000>25,000 图4 付还是不付？ 在过去一年遭受勒索软件攻击的企业中，65%最终支付了赎金（如图5所示）。但这并不意味着他们成功恢复了数据。我们发现 ，在支付赎金的企业中，略超过一半的企业能够完全恢复数据，大约三分之一的企业实现了部分恢复。而在未支付赎金的企业中，92%通过数据备份等手段成功恢复了数据。虽然这看似是个好消息，但实际上并非如此——这些组织无法确定在数据被恢复之前，是否已经被泄露到暗网上，从而使其可供其他网络犯罪分子使用。 勒索软件攻击的响应和结果 付赎金,完全恢复的数据 36% 没有付赎金, 恢复的数据 32% 付赎金,部分恢复的数据 24% 已付赎金，必须恢复数据的另一种方式 没有付赎金,未恢复数据 付赎金, 丢失了我们的数据 4% 3% 1% 图5 记住，赎金只是勒索软件攻击总成本中的一小部分。即使攻击没有导致数据被加密或窃取，也没有支付赎金，仍然存在多种其他影响，包括应对时间、对面向客户的服务的影响以及员工生产力的损失。在私营部门，86%的公司✲告由于勒索软件事件而失去收入，90％的人说他们失去了运营能力。此外，37%✲告提到不得不裁员，并有35%的人表示经历了高层辞职。尽管影响取决于业务性质，总体成本依然广泛而深远。平均赎金为$812,360全球去年，补救的平均成本要高得多-140万美元。 感知就是一切 今年，我们还想了解组织最担心的是哪些问题，这些问题源于勒索软件攻击。前五大担忧中的四个——敏感或专有数据的泄露 、品牌声誉受损、由于运营中断导致客户生产力或满意度下降、关键服务/基础设施中断——与外部感知有关（图6）。这些面向外部的担忧可能源自多种因素的综合作用： •通过其双重勒索campaigns，犯罪分子正在宣传自己的行为。即使网络攻击者不公开宣称，勒索软件攻击相比其他类型的网络安全事件对利益相关者和公众来说更为显眼。品牌声誉对于业务增长至关重要，因 •此备受关注。董事会对勒索软件攻击的高度敏感性正在增加，并且他们越来越意识到其巨大的商业影响 。 • • 勒索软件攻击对您的组织的最大影响 暴露敏感或专有数据 损害品牌声誉 恢复和恢复正常运营的硬成本由于运营中断而导致的客户生产力或满意度损失 关键服务/基础设施中断因运营中断造成的收入损失 合规/罚款的硬成本 无法恢复关键业务数据由于运营中断而导致的员工生产力损失 支付赎金的艰难成本不得不关闭/关闭业务 在1到5的范围内 3.92 3.85 3.82 3.75 3.73 3.69 3.66 3.65 3.63 3.60 3.47 图6 对预防和防御失去信心 年度对比显示，对现有安全技术满意的企业受访者数量普遍下降（如图7所示），而计划升级或增加工具的企业则有所增加。这一转变表明，企业意识到威胁正在渗透，并且意识到即便有这些防护层，漏洞仍然存在。 随着勒索软件攻击者不断加强攻势，组织感到其防御能力减弱是可以理解的。显然，他们看到了改进的空间，并希望投入更多努力来实现这一目标。关键在于确保任何对安全栈的升级或添加都从整体上应对勒索软件风险，并填补安全态势中的漏洞 计划用于勒索软件缓解的安全技术 已经在良好的状态 计划升级 要添加的计划 图7 ，而不是创建更多影响有限的工作。 数据备份 61.9% 电子邮件安全(使用网络钓鱼检测) 52.4% 多因素身份验证(MFA) 50.5% 端点/设备保护 45.9% 欺骗技术(例如，虚拟蜜罐) 37.9% 入侵检测系统(IDS) 33.3% 用户和实体行为分析(UEBA) 33.1% 用户意识/培训 32.9% 补丁和安全配置管理 32.8% 威胁情✲服务/共享平台 25.6% 监视受攻击的凭据 24.3% 用户和实体行为分析(UEBA) 23.8% 欺骗技术(例如，虚拟蜜罐) 23.5% 端点/设备保护 22.