[资安人文章分享] 三分之二的组织连续第二年回报遭到勒索软体攻击

Sophos发布《2023 年勒索软体现况》年度报告，在受访组织遭到的勒索软体攻击中，有 76% 的攻击者成功加密了资料。这是 Sophos 自 2020 年开始发布报告以来，勒索软体加密资料比例最高的一次。

该调查还显示，当组织支付赎金来解密资料时，最终的复原成本倍增到了 75 万美元，其他使用备份恢复资料的组织只需 37.5 万美元。此外，支付赎金通常意味著需要的复原时间更长。在使用备份复原资料的组织中，有 45% 在一周内即可恢复正常，支付赎金的组织只有 39% 可以办到。

总体而言，有 66% 的受访组织受到勒索软体攻击，这与前一年的数字相同。这表明尽管有些人认为攻击有减少的趋势，但其实勒索软体攻击的频率没有下降。

Sophos 现场技术长 Chester Wisniewski 表示：「在疫情期间短暂下降后，资料被加密的比例已经回到非常高的水平，这一点令人担忧。勒索软体攻击者不断改进他们的攻击方法，并且加快攻击速度，以缩短防御者可以采取作为的时间。而且一旦支付赎金，事件成本便会显著上升。因为大多数受害者无法仅透过购买加密金钥来复原所有档案，他们还是必须使用备份进行重建和复原。支付赎金不仅会让罪犯食髓知味，还会延缓事件回应速度，并再次增加原本就已经非常高昂的复原成本。」

分析勒索软体攻击的根本原因后，最常见的是漏洞利用 (占 36% 的案件)，其次是被窃的凭证 (占 29%)。这与 Sophos《2023 年给企业领袖的活跃攻击者报告》中在案例的事件回应发现一致。

报告的其他主要发现包括：

• 在 30% 的案件中，资料遭到加密且遭窃，表明这种「双重攻击」的手法 (资料加密和资料外泄) 越来越普遍。
• 教育机构回报的勒索软体攻击率最高。在受访的高等教育机构中有 79% 回报他们成为受害者，初中等教育机构则有 80%。
• 整体而言，受访者中有 46% 支付了赎金，而且越大型的机构越有可能付钱。事实上，超过一半的年营收超过 5 亿美元的企业都支付了赎金，其中以营收最高的企业支付比率最高。原因可能是因为较大型的公司更有可能制定了独立的网路安全保险政策，用以支付赎金的需求。

Chester Wisniewski 补充说：「三分之二的组织连续第二年回报他们遭到勒索软体攻击，这意味著我们可能已经进入了一个高原期。降低这个数字的关键在于必须努力缩短侦测和回应的时间。人为引导的威胁捕猎在防范这些犯罪方面非常有效，但我们必须调查警示，在数小时或数天内就将威胁从系统中排除，而不是耗时数周或数月的时间。经验丰富的分析师可以在几分钟内就识别出攻击者入侵的模式并立即采取行动。这很可能是三分之一的组织能够保持安全，另外三分之二却无法幸免的区别。在今日，组织必须全天候保持警惕才能做好有效的防御。」

勒索软体任务小组 (Ransomware Task Force, RTF) 执行董事兼安全技术研究所策略长 Megan Stifel 表示：「Sophos 最新的报告提醒人们，勒索软体仍然是一个大规模且涵盖范围极广的威胁，尤其是对那些容易遭到锁定且资源不足，却没有专责内部资源进行防范、应对和复原勒索软体的组织来说。

「增强安全的一种方式，就是实施 RTF 的勒索软体防御蓝图，这一点与 Sophos 在报告中的发现一致。该防御蓝图是一个根据 CIS IG1 控制列表的 48 项防护措施所制定的框架。私人和公共部门早该联手共同对抗勒索软体，这就是为什么我们很高兴能够与 Sophos 等网路安全厂商合作的原因。」

Sophos 建议采用以下最佳作法来帮助组织防御勒索软体和其他网路攻击：

• 强化防御措施：
  • 采用能够防御最常见攻击管道的安全工具，包括具有强大的反漏洞利用功能以防止漏洞攻击的端点保护，以及可以被窃凭证被滥用的零信任网路存取 (ZTNA)。
  • 利用自适应性技术来自动回应攻击、中断攻击者的操作，并为防御者争取时间以作出回应。
  • 24/7 全天候的威胁侦测、调查和回应，无论是由公司内部还是由专业的托管式侦测和回应 (MDR) 供应商提供。
• 最佳化攻击准备，包括定期备份、练习从备份中复原资料，以及保持最新的事件回应计画
• 保持良好的安全保健习惯，包括及时安装修补程式和定期检查安全工具设定

《2023 年勒索软体现况》报告的数据来自于一份在 2023 年 1 月 至 3 月之间对 3,000 位信息安全/IT 领导者所做的独立调查。调查对象分布在美洲、欧洲、中东和亚太地区的 14 个国家。受访组织员工数量在 100 至 5,000 人之间，营收额从不到 1,000 万美元到超过 50 亿美元不等。