虹科分享 | 网络安全评级 | SANS关于勒索软件和恶意软件入侵的调查得出的4个主要结论

3月初,SANS研究所分享了他们基于2022年对勒索软件和恶意软件入侵的调查得出的一些有见地的发现。SANS研究所的使命是赋予网络安全专业人员以实用技能和知识,使世界变得更安全。这项调查包括来自世界各地各种规模的组织的不同职位和行业的参与者。

“在这项调查中,我们想了解受访者过去一年的情况。从恶意软件和勒索软件入侵的事件响应(IR)角度来看,我们的调查重点关注调查生命周期中的关键点,以及我们的各个团队如何应对他们面临的挑战。”

为了帮助组织更好地了解和准备应对2023年面临的勒索软件和恶意软件威胁,SecurityScorecard分享了我们从SANS 研究所调查中获得的主要结论:

1.大多数组织预计会成为威胁参与者的目标

79%的受访者认为他们的组织在2022年成为勒索软件威胁行为者的积极目标。考虑到调查中的大多数组织(87.4%)在2022年至少应对了一次安全事件,这些担忧是可以理解的。

在过去的12个月里,你或你的团队回应了多少事件?

Note:这些都是已响应事件,但您可以去确认,这不是过去一年中发现的数量。

资料来源:SANS研究所

21%的受访者可能不觉得自己是威胁行为者的目标,原因有几个。有些理由是合法的;它们可能所在的行业在统计上不太可能成为主要目标。其他人则不那么合法,甚至接近一厢情愿的想法。例如,他们可能认为威胁行为者在他们已经遭受攻击后不会再次攻击他们。

SecurityScorecard敦促每个组织,无论规模或行业,都要采取预防措施,防止勒索软件和其他恶意软件攻击。

2.建立事件响应计划是安全团队的首要任务

这项调查的一个非常积极的迹象是,组织正在积极采取措施,通过各种安全举措增强其网络弹性。

值得注意的是,很大一部分参与者似乎优先考虑实施事件响应能力:81.2%的受访者表示他们已经制定了事件响应计划,而35.4%的受访者表示他们已经聘请了一家事件响应公司作为定金。

在入侵期间,快速和协调的行动是至关重要的。拥有可供您使用的事件响应计划或专家团队将显著提高您快速恢复和最大限度减少系统停机的机会。在事件响应团队成员和主要利益攸关方之间建立清晰的沟通渠道对于有效的事件响应至关重要。精心设计的沟通计划规定了在事件期间需要通知谁、通知的时间以及跨部门保持沟通的方法。

桌面练习是设计深思熟虑的事件响应计划的绝佳方法。桌面练习是基于讨论的非正式模拟,可帮助组织确定其当前事件响应计划中的差距。它们模拟网络事件或事件,并对组织的响应策略、计划和程序进行压力测试,以评估其业务单位内的有效性。

有关建立有效的事件响应计划的其他见解,请阅读国家标准与技术研究所(NIST)的此框架。

3.近一半的参与者购买了网络保险

购买网络保险是调查参与者为降低勒索软件风险而采取的流行措施。

当涉及到网络时,保险是一个有点微妙的问题。一方面,保险公司正面临着越来越复杂的威胁行为者的挑战,不得不提高保费,提高承保标准,并减少可用的承保范围。另一方面,保险公司知道网络是他们许多客户的一大痛点,所以他们不愿退出这个市场。

保险是健康风险管理计划的必要组成部分。当拥有网络保险的组织放弃了其他必要的预防步骤,认为如果发生最坏的情况,他们已经完全覆盖时,问题就会出现。

几年前,当网络保险将支付在勒索软件攻击情况下解密您的环境的赎金的费用时,这种思路是有意义的。然而,从2020年到2022年,网络保险保费增长了185%。尽管2023年的保费似乎趋于平稳,但结果仍然是严格的承保和覆盖限制。

在一头扎进网络保险单之前,先问如下问题:

◎获得保险的要求是什么?

◎报道了哪些类型的事件?

◎免赔额和最高承保金额是多少?

◎保险费是如何计算的?

◎你如何降低它的成本?

◎它是否涵盖数字取证和事件响应等?

4.网络威胁情报的作用

在组织面对威胁之前主动发现主动威胁和新出现的威胁,可显著提高网络弹性。因此,我们高兴地看到46%的调查参与者可能会投资于威胁情报订阅。威胁情报为组织提供关于可能的风险和威胁的深入情报,为他们提供可操作的见解和数据,以防止网络攻击。

威胁情报是收集和分析有关组织的潜在或实际网络威胁的信息,这些威胁通常不会被内部安全控制检测到。此类信息包括:泄露的凭据(用户名/密码组合)和个人身份信息(PII)、冒名顶替者域名、社交媒体和黑客论坛聊天。SecurityScorecard可以通过从支持我们的评级平台和攻击面情报工具的数据中获得的独特见解来补充这些传统的威胁情报数据源。

网络威胁情报的有效性也在此次调查中可见一斑,13%的遭受入侵的受访者表示,他们使用威胁情报来检测事件。

SecurityScorecard是一个一体化的解决方案,以保护免受勒索软件和其他威胁。

到2023年,勒索软件和恶意软件威胁不会消失。为了保护组织的完整性和稳定性,明智和有效的安全投资是必要的。SecurityScorecard帮助您简化您的安全程序,从事件预防措施到有效的补救和恢复。

SecurityScorecard的事件响应解决方案使您能够立即采取行动,以补救事件和减轻风险。我们的事件响应能力包括高级黑客战术、技术和程序(TTPs)的情报,以及每个事件响应供应商都无法提供的妥协指标(IOCs)。

网络风险情报(CRI)由SecurityScorecard威胁研究、情报、知识和接触(STRIKE)团队提供,将专家领导的人工分析与深层和黑暗的情报来源相结合,提供定制的和可操作的报告,以减少组织的网络风险暴露。