如今，“數(shù)字優(yōu)先”的生活推動(dòng)了我們每個(gè)人在線身份信息（包括證書、個(gè)人身份信息等）的快速增長。而隨著技術(shù)的不斷發(fā)展，想要跟上數(shù)字?jǐn)U張的快速步伐似乎是不可能的。事實(shí)證明，組織和個(gè)人在確保數(shù)字安全方面持續(xù)落入下風(fēng)，但網(wǎng)絡(luò)犯罪分子并不存在這種問題，他們創(chuàng)新技術(shù)和策略的速度與數(shù)字環(huán)境的發(fā)展速度一樣快，甚至能夠在其行動(dòng)觸發(fā)任何危險(xiǎn)信號(hào)之前很久就采用先進(jìn)的方法快速竊取和訪問數(shù)據(jù)。

這種犯罪創(chuàng)新造成了一股網(wǎng)絡(luò)犯罪浪潮，困擾著各種規(guī)模的組織。網(wǎng)絡(luò)犯罪的成本預(yù)計(jì)將在未來五年內(nèi)翻一番以上，從2023年的11.5萬億美元飆升至2028年的23.82萬億美元。網(wǎng)絡(luò)事件不僅排在業(yè)務(wù)風(fēng)險(xiǎn)的首位，而且是導(dǎo)致業(yè)務(wù)中斷的最可怕因素，這種恐懼很大程度上源于勒索軟件的風(fēng)險(xiǎn)。

勒索軟件造成破壞的潛力具有深遠(yuǎn)的影響，也許這就是它被列為頭號(hào)網(wǎng)絡(luò)威脅，令安全領(lǐng)導(dǎo)者夜不能寐的原因所在。然而，投入更多的資源來解決這個(gè)問題似乎收效甚微。

SpyCloud的《2022年勒索軟件防御報(bào)告》（2022 Ransomware Defense Report）發(fā)現(xiàn)，大多數(shù)接受調(diào)查的安全專業(yè)人士對(duì)避免攻擊的前景越來越悲觀，而在過去12個(gè)月里，受到勒索軟件攻擊的組織數(shù)量更是大幅增加。

這場戰(zhàn)斗失敗的最大原因之一是惡意軟件攻擊的擴(kuò)展，在去年達(dá)到了55億次。受惡意軟件感染的員工設(shè)備創(chuàng)建了一個(gè)直接進(jìn)入組織的路徑，因?yàn)樾畔⒏`取程序（infostealer）惡意軟件會(huì)從目標(biāo)URL、登錄憑據(jù)、密碼和身份驗(yàn)證cookie /令牌中竊取新鮮、準(zhǔn)確的數(shù)據(jù)，并將其泄露到設(shè)備和系統(tǒng)信息中，從而輕松地實(shí)現(xiàn)模仿操作。

有了這些數(shù)據(jù)，攻擊者就可以成功模仿員工的訪問權(quán)限，實(shí)施賬戶接管、會(huì)話劫持和勒索軟件攻擊等網(wǎng)絡(luò)犯罪活動(dòng)。根據(jù)Spycloud去年捕獲的暴露于暗網(wǎng)的數(shù)據(jù)顯示，近一半來自僵尸網(wǎng)絡(luò)，而且這種趨勢(shì)仍在迅速增長。

雖然被惡意軟件竊取的數(shù)據(jù)為勒索軟件創(chuàng)造了切入點(diǎn)，并作為“初始訪問”出售給勒索軟件運(yùn)營商，但大多數(shù)組織都沒有修復(fù)惡意軟件感染的全部范圍。由于缺乏全面的感染后補(bǔ)救措施，惡意行為者會(huì)利用仍然有效的泄露數(shù)據(jù)發(fā)動(dòng)有針對(duì)性的攻擊，從而使組織暴露的時(shí)間變得更長。

在最新的《2023年惡意軟件準(zhǔn)備和防御報(bào)告》中，研究人員分析了組織目前應(yīng)對(duì)惡意軟件感染的方法，并討論了“感染后修復(fù)”（Post-Infection Remediation）被忽視的方面，以及組織可以用于降低惡意軟件暴露導(dǎo)致的最具破壞性攻擊風(fēng)險(xiǎn)的方法。

關(guān)鍵發(fā)現(xiàn)

人為因素是核心的風(fēng)險(xiǎn)驅(qū)動(dòng)因素

由于勒索軟件仍然是安全團(tuán)隊(duì)面臨的最大威脅，我們的調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚是組織關(guān)注的第二大威脅，這表明人們意識(shí)到人為因素在暴露中起著重要作用。然而，由于缺乏可靠的安全實(shí)踐和資源，使得防御存在漏洞。現(xiàn)代員工強(qiáng)烈渴望便捷性，包括從任何地方訪問應(yīng)用程序和數(shù)據(jù)的能力。但不幸的是，提供這種便捷性往往會(huì)犧牲安全性。調(diào)查發(fā)現(xiàn)，許多組織繼續(xù)允許糟糕的安全措施，例如通過非托管或共享設(shè)備訪問業(yè)務(wù)應(yīng)用程序，以及在企業(yè)和個(gè)人設(shè)備之間同步瀏覽器數(shù)據(jù)。

不斷變化的數(shù)字環(huán)境造成了惡意軟件感染的高風(fēng)險(xiǎn)

向數(shù)字化和云優(yōu)先環(huán)境的轉(zhuǎn)變改變了員工的工作方式。在追求效率和提高生產(chǎn)力的過程中，他們采用了各種第三方工具，但是其中一些采用是在IT控制之外進(jìn)行的。調(diào)查發(fā)現(xiàn)，超過50%的組織允許員工在未經(jīng)IT部門同意的情況下設(shè)置應(yīng)用程序和系統(tǒng)。這些“影子IT”資源，加上越來越多的員工和承包商在管理不足的設(shè)備上訪問公司資源，為訪問和應(yīng)用程序控制以及創(chuàng)建“影子數(shù)據(jù)”方面都創(chuàng)造了安全盲點(diǎn)，這就導(dǎo)致組織對(duì)這些設(shè)備的可視性缺失。

組織擔(dān)心惡意軟件感染，但缺乏足夠的補(bǔ)救措施

絕大多數(shù)的受訪者都認(rèn)為，他們的組織擔(dān)心惡意行為者利用惡意軟件泄露的數(shù)據(jù)進(jìn)行后續(xù)攻擊，如賬戶接管和勒索軟件。然而，許多企業(yè)在惡意軟件修復(fù)或事件響應(yīng)實(shí)踐方面存在漏洞，限制了完整的感染解決范圍，缺少關(guān)鍵步驟（例如重置密碼）。如果對(duì)員工、承包商和供應(yīng)商使用的每臺(tái)設(shè)備上的惡意軟件缺乏可見性，并且沒有適當(dāng)響應(yīng)感染的人員、工具和時(shí)間，安全團(tuán)隊(duì)將無法跟上這種威脅，這就為惡意行為者一次又一次地攻擊敞開了大門。

信息竊取程序關(guān)注度提升

安全運(yùn)營（SecOps）團(tuán)隊(duì)對(duì)信息竊取程序的關(guān)注度正在不斷提升。受訪者將“信息竊取程序”列為第三大擔(dān)憂。此外，98%的受訪者認(rèn)為，更好地獲取受信息竊取程序感染設(shè)備的清晰圖像將顯著改善其安全態(tài)勢(shì)。專為從受感染的設(shè)備竊取憑證和其他形式的訪問而設(shè)計(jì)的信息竊取程序，由于其易于部署、可擴(kuò)展和高成功率，正變得越來越流行。最近的《安全調(diào)查和事件補(bǔ)救報(bào)告》發(fā)現(xiàn)，與前一年相比，惡意行為者在2022年更頻繁地使用被盜憑證，使用信息竊取工具和購買被盜憑證的流行程度也都有所增加。

目前的惡意軟件響應(yīng)實(shí)踐在感染后修復(fù)方面存在空白

盡管人們對(duì)信息竊取程序的風(fēng)險(xiǎn)意識(shí)有所提升，但組織將這類惡意軟件造成的潛在損害降到最低的能力卻并非如此。清除設(shè)備并不能完全消除這種惡意軟件感染造成的損害。根據(jù)SpyCloud的研究顯示，每次感染平均暴露26個(gè)業(yè)務(wù)應(yīng)用程序的訪問權(quán)限。快速檢測和處理這些暴露，對(duì)于阻止試圖損害組織的惡意行為者至關(guān)重要。然而，這最后一步正是不足所在——組織將他們“識(shí)別應(yīng)用程序暴露”的能力排在其他補(bǔ)救步驟之后。調(diào)查還發(fā)現(xiàn)，超過三分之一的組織不設(shè)置應(yīng)用程序密碼，超過四分之一的組織甚至不查看應(yīng)用程序日志以尋找被入侵的跡象。

惡意軟件感染的風(fēng)險(xiǎn)和影響

在過去的幾年里，勒索軟件已經(jīng)成為一個(gè)非常嚴(yán)重的問題，世界經(jīng)濟(jì)論壇調(diào)查的80%安全領(lǐng)導(dǎo)者稱其為“對(duì)公共安全的不斷發(fā)展的威脅”。而且勒索軟件成本也在不斷上升：勒索軟件攻擊的平均成本為450萬美元，高于數(shù)據(jù)泄露的平均成本（435萬美元），這還不包括贖金。

盡管一些研究表明，勒索軟件的攻擊率在過去一年中保持不變，但這并沒有緩解安全領(lǐng)導(dǎo)者和從業(yè)人員的擔(dān)憂。此次調(diào)查的受訪者將勒索軟件列為頭號(hào)威脅，其次是網(wǎng)絡(luò)釣魚/魚叉式網(wǎng)絡(luò)釣魚和信息竊取程序。

【對(duì)組織安全的最大威脅列表】

值得注意的是，這三種威脅是相輔相成的：惡意行為者可能會(huì)通過網(wǎng)絡(luò)釣魚郵件受害者，在設(shè)備上執(zhí)行信息竊取程序惡意軟件，一旦設(shè)備被感染，用戶數(shù)據(jù)或有價(jià)值的公司數(shù)據(jù)都會(huì)被提取出來，用于后續(xù)發(fā)起更復(fù)雜的勒索軟件攻擊，或者將這些數(shù)據(jù)出售給其他威脅行為者，然后由他們來做這件事。

此外，涉及企業(yè)應(yīng)用程序（從SSO實(shí)例到金融系統(tǒng)、客戶數(shù)據(jù)庫和代碼存儲(chǔ)庫等）被盜信息的信息竊取程序日志在地下犯罪活動(dòng)中變得非常豐富，整個(gè)市場都專門從事這種類型的業(yè)務(wù)。研究發(fā)現(xiàn)，僅在2022年，一個(gè)名為Genesis Marketplace的市場就提供了超過43萬個(gè)被盜身份信息。數(shù)據(jù)顯示，在過去6年里，Genesis共計(jì)提供了多達(dá)8000多萬個(gè)賬戶訪問憑證的被盜數(shù)據(jù)，專門為初始訪問經(jīng)紀(jì)人（IAB）提供服務(wù)，這些經(jīng)紀(jì)人通過這些被盜數(shù)據(jù)向勒索軟件運(yùn)營商出售有保證的直接訪問權(quán)限。

惡意軟件是組織最大的擔(dān)憂

正如調(diào)查所顯示的那樣，企業(yè)對(duì)惡意軟件的潛在危害沒有心存任何幻想。不到1%的受訪者表示，他們不擔(dān)心來自受感染設(shè)備的身份驗(yàn)證、會(huì)話和數(shù)據(jù)泄露等更有害的未來攻擊，53%的受訪者表示他們非常擔(dān)心。

【擔(dān)心數(shù)據(jù)被盜導(dǎo)致未來攻擊的比例（按員工數(shù)量計(jì)算）】

雖然大型組織通常擁有更多的資源和更復(fù)雜的實(shí)踐，因此擁有更好的防御措施，但與所有規(guī)模類別的平均水平相比，其整體擔(dān)憂程序似乎并沒有太大不同：擁有超過25,000名員工的大型組織受訪者只是“稍微”（相較于其他規(guī)模組織）不太擔(dān)心數(shù)據(jù)被盜所導(dǎo)致的未來攻擊。

【嚴(yán)重/極度關(guān)注數(shù)據(jù)被盜對(duì)組織影響的比例（按組織規(guī)模展示）】

這種擔(dān)憂并非毫無根據(jù)。去年，SpyCloud研究人員從地下犯罪組織中恢復(fù)了7.215億個(gè)暴露的用戶名和密碼組合，其中48.5%來自受惡意軟件感染的設(shè)備（其余則是第三方泄露的）。此外，惡意軟件日志還包含其他憑證，包括身份驗(yàn)證cookie，這使惡意行為者能夠在不提供密碼、密鑰或其他因素的情況下劫持會(huì)話，冒充員工，不受限制地訪問有價(jià)值的系統(tǒng)和網(wǎng)絡(luò)，并創(chuàng)造機(jī)會(huì)進(jìn)行代價(jià)高昂、破壞性強(qiáng)的網(wǎng)絡(luò)攻擊。

缺乏可視性阻礙了進(jìn)展

雖然關(guān)注程度很高，但對(duì)這種風(fēng)險(xiǎn)的可見性似乎很低：98%的受訪者認(rèn)同，對(duì)受感染的業(yè)務(wù)應(yīng)用程序有更好的可見性將提高安全狀況。這是組織需要優(yōu)先考慮的領(lǐng)域。他們必須弄清楚如何解決可見性問題，因?yàn)橹灰@個(gè)缺口仍然存在，任何減少暴露風(fēng)險(xiǎn)的努力都將是無效的。

【贊同“對(duì)暴露的應(yīng)用程序擁有更好的可見性將是有益的”受訪者比例】

新一代賬戶接管即將到來，且不會(huì)很快消失

令人意外的一點(diǎn)是，調(diào)查顯示，賬戶接管并非組織擔(dān)憂的大問題，在9個(gè)類別中排名倒數(shù)第二。勒索軟件可能引起了安全團(tuán)隊(duì)的極大關(guān)注，但由惡意軟件感染導(dǎo)致的下一代賬戶接管（ATO）仍應(yīng)被視為高風(fēng)險(xiǎn)。會(huì)話劫持——下一代ATO的一種形式——起源于使用竊取的、仍然有效的身份驗(yàn)證cookie來接管（或“劫持”）會(huì)話。犯罪分子可以利用這些活躍會(huì)話來竊取數(shù)據(jù)，并監(jiān)視和模仿用戶的行為模式。

僅去年一年，SpyCloud的研究人員就重新捕獲了220億條被盜的cookie記錄，這表明犯罪分子正在改變策略，竊取、購買和交易這些高度準(zhǔn)確和有價(jià)值的數(shù)據(jù)，以最大限度地減少他們對(duì)更大的泄露數(shù)據(jù)集的需求，這些數(shù)據(jù)集可能被舊的、過時(shí)的、對(duì)其目的而言有些無用的數(shù)據(jù)所覆蓋。

被忽視的切入點(diǎn)使組織暴露在外

在過去3年多的時(shí)間里，個(gè)人空間和工作空間之間的界限日趨模糊。超過70%的受訪雇主已經(jīng)轉(zhuǎn)向混合工作模式，在這種模式下，高風(fēng)險(xiǎn)的網(wǎng)絡(luò)行為更容易產(chǎn)生漏洞。由于技術(shù)的快速變化，數(shù)字化工作場所的安全風(fēng)險(xiǎn)正在不斷增加。隨著科技的發(fā)展，員工的數(shù)字優(yōu)先生活——要求方便、輕松和最小摩擦——正在超出IT和安全團(tuán)隊(duì)的控制范圍，并影響著安全態(tài)勢(shì)。

此次調(diào)查結(jié)果反映了這些趨勢(shì)，表明安全團(tuán)隊(duì)很難跟上不斷發(fā)展的工作場所。具體發(fā)現(xiàn)如下：

• 57%的組織允許員工在個(gè)人設(shè)備和公司設(shè)備之間同步瀏覽器數(shù)據(jù)。雖然這種做法為用戶提供了便利，但它允許惡意行為者通過受感染的個(gè)人設(shè)備竊取公司憑證（包括身份驗(yàn)證cookies），而不會(huì)被檢測到，用戶甚至不會(huì)意識(shí)到這是妥協(xié)的入口點(diǎn)。
• 由于員工在未經(jīng)IT部門同意的情況下采用應(yīng)用程序和系統(tǒng)，54%的組織正在與影子IT做斗爭。不僅IT部門對(duì)這些未經(jīng)批準(zhǔn)的工具缺乏可視性，而且員工經(jīng)常使用的消費(fèi)級(jí)應(yīng)用程序沒有基本的安全控制，公司政策也不夠強(qiáng)大或根本不存在，無法最大限度地減少或阻止這種訪問。
• 36%的組織允許非管理的個(gè)人設(shè)備訪問業(yè)務(wù)應(yīng)用程序和系統(tǒng)，27%的組織允許第三方設(shè)備訪問。這兩種做法都是有風(fēng)險(xiǎn)的，因?yàn)槿狈T和安全控制，而且不受管理的設(shè)備很可能具有寬松的安全措施，例如不存在身份驗(yàn)證需求，從而進(jìn)一步擴(kuò)大了已經(jīng)蔓延的攻擊面。

【存在危險(xiǎn)的安全實(shí)踐】

遠(yuǎn)非“足夠好”

調(diào)查指出，85%的受訪組織認(rèn)為他們的企業(yè)設(shè)備安裝了最新的補(bǔ)丁和反惡意軟件，剩下15%的組織并不這么認(rèn)為。給設(shè)備打補(bǔ)丁和保持最新是一項(xiàng)關(guān)鍵的最佳實(shí)踐，但安全團(tuán)隊(duì)不應(yīng)該僅僅因?yàn)楣催x了這個(gè)復(fù)選框就讓自己有一種錯(cuò)誤的安全感。“復(fù)選框式”的解決方案和做法在過去可能已經(jīng)足夠好了，但現(xiàn)在已經(jīng)無法跟上不斷變化的威脅和犯罪策略。

擁有最新的補(bǔ)丁并不一定意味著組織是安全的。根據(jù)研究顯示，在2023年的前6個(gè)月，所有SpyCloud重新捕獲的惡意軟件日志中，有20%在成功執(zhí)行惡意軟件時(shí)安裝了防病毒程序，這意味著該工具實(shí)際上并沒有阻止感染（也稱為產(chǎn)生假陰性）。雖然這些工具在第一道防線中發(fā)揮了重要作用，但它們永遠(yuǎn)不會(huì)是應(yīng)對(duì)犯罪分子的權(quán)宜之計(jì)，因?yàn)檫@些犯罪分子有能力部署強(qiáng)大的惡意軟件以繞過各種身份驗(yàn)證方法（從基本的反病毒程序到MFA和密碼等）。

大型企業(yè)：更加成熟，但風(fēng)險(xiǎn)仍然很高

較大的組織確實(shí)對(duì)其暴露有更好的控制，這反映了更成熟的安全策略。但是，更好的控制并不能消除風(fēng)險(xiǎn)，特別是因?yàn)楦蟮慕M織往往是攻擊者的更大目標(biāo)。此外，隨著企業(yè)越來越多地使用第三方供應(yīng)商和承包商，以及員工能夠利用個(gè)人設(shè)備訪問企業(yè)應(yīng)用，未管理或管理不足的設(shè)備進(jìn)一步增加了風(fēng)險(xiǎn)，因?yàn)閱蝹€(gè)受惡意軟件感染的設(shè)備足以讓攻擊者訪問數(shù)十個(gè)企業(yè)應(yīng)用程序。

【員工超過10,000人的組織的安全實(shí)踐】

惡意軟件響應(yīng)能力的差距

盡管受到惡意軟件的攻擊，但企業(yè)識(shí)別受感染的業(yè)務(wù)應(yīng)用程序的能力卻有限。調(diào)查發(fā)現(xiàn)，組織在惡意軟件檢測和第一階段響應(yīng)方面的能力要比在修復(fù)的后期階段強(qiáng)得多，其中包括識(shí)別哪些第三方業(yè)務(wù)應(yīng)用程序的憑據(jù)被信息偽造程序竊取。

【惡意軟件檢測和響應(yīng)能力等級(jí)從1（最低）到5（最高）】

安全運(yùn)營調(diào)查參與者可能會(huì)對(duì)他們與IT同行合作檢測受感染設(shè)備、隔離和修復(fù)設(shè)備的能力感到滿意；然而，隨著數(shù)字身份成為當(dāng)今工作場所的中心，補(bǔ)救措施不應(yīng)停留在設(shè)備上。“重置并忘記它”的心態(tài)不再是一個(gè)可行的選擇。為了真正降低勒索軟件的風(fēng)險(xiǎn)，組織必須超越傳統(tǒng)的“以機(jī)器為中心”的惡意軟件響應(yīng)，轉(zhuǎn)而采用“以身份為中心”的方法，包括完整的感染后修復(fù)步驟，以降低與受損應(yīng)用程序相關(guān)的風(fēng)險(xiǎn)。

感染后修復(fù)的優(yōu)先級(jí)和能力

在過去的幾年里，工作流程自動(dòng)化已經(jīng)成為SecOps越來越關(guān)注的重點(diǎn)，而當(dāng)前的經(jīng)濟(jì)狀況可能會(huì)進(jìn)一步強(qiáng)調(diào)這一需求。最近對(duì)CISO的一項(xiàng)調(diào)查發(fā)現(xiàn)，經(jīng)濟(jì)不確定性對(duì)58%的組織的安全預(yù)算產(chǎn)生了負(fù)面影響。在這種環(huán)境下，43%的受訪者將“安全過程和工作流的自動(dòng)化”列為接下來12到18個(gè)月內(nèi)的最高優(yōu)先級(jí)也就不足為奇了。即使領(lǐng)導(dǎo)者和實(shí)踐者在優(yōu)先級(jí)上有所不同，但自動(dòng)化對(duì)每個(gè)群體來說都是前三名。

【首要安全事項(xiàng)】

除了自動(dòng)化之外，另外兩個(gè)最重要的優(yōu)先事項(xiàng)——更好地衡量安全有效性和更好地保護(hù)客戶數(shù)據(jù)——表明安全團(tuán)隊(duì)對(duì)改善結(jié)果和提高安全效率非常感興趣。為了實(shí)現(xiàn)這一目標(biāo)，組織必須首先消除跨團(tuán)隊(duì)、系統(tǒng)和數(shù)據(jù)的孤島——這樣做需要集成技術(shù)來獲得單一的事實(shí)來源，從而更好地預(yù)防和補(bǔ)救。

安全領(lǐng)導(dǎo)者和從業(yè)者最終想要的是同一件事——更好的安全——但他們看到了不同的道路。調(diào)查發(fā)現(xiàn)：

• 領(lǐng)導(dǎo)者更關(guān)注更好地衡量安全有效性、更好的客戶數(shù)據(jù)隱私和自動(dòng)化，而安全運(yùn)營從業(yè)者和管理員則更重視合規(guī)性、云安全性和自動(dòng)化。
• 到目前為止，安全架構(gòu)師和工程師優(yōu)先考慮提高云應(yīng)用程序和基礎(chǔ)設(shè)施的安全性（60%）。去年，SpyCloud恢復(fù)了數(shù)百萬個(gè)被惡意軟件共享的第三方應(yīng)用程序憑證，這些憑證可以訪問超過56,000個(gè)流行的基于云的應(yīng)用程序，如通信、協(xié)作/項(xiàng)目管理和普通人力資源工具。這些數(shù)據(jù)強(qiáng)調(diào)，云仍然是企業(yè)尋求數(shù)字化轉(zhuǎn)型的首要考慮因素，但基于云的應(yīng)用程序也會(huì)在擁抱數(shù)字化體驗(yàn)的工作場所帶來更高的風(fēng)險(xiǎn)；因此，組織必須優(yōu)先考慮云安全。

我們驚訝地發(fā)現(xiàn)，第三方風(fēng)險(xiǎn)很少受到調(diào)查參與者的關(guān)注，在優(yōu)先事項(xiàng)列表中排名倒數(shù)第二。這個(gè)排名顯示了與前面討論的惡意軟件問題的脫節(jié)。研究表明，59%的受訪組織經(jīng)歷過由第三方造成的網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露。但是組織缺乏對(duì)通常被忽視的供應(yīng)鏈組件的可見性：管理不足的供應(yīng)商設(shè)備訪問他們有價(jià)值的系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序。為了降低來自供應(yīng)商或承包商的惡意軟件感染設(shè)備的風(fēng)險(xiǎn)，安全團(tuán)隊(duì)需要在組織外部擁有與組織內(nèi)部相同的可見性。

傳統(tǒng)惡意軟件消耗資源

對(duì)于大多數(shù)組織來說，惡意軟件響應(yīng)并不局限于SecOps。這是一個(gè)團(tuán)隊(duì)工作，需要多個(gè)核心業(yè)務(wù)領(lǐng)域的參與，從IT、網(wǎng)絡(luò)運(yùn)營和工程到法規(guī)遵從和法律部門。由于至少有七個(gè)部門參與到這個(gè)過程中，成本可能會(huì)迅速增加——這也就解釋了為什么自動(dòng)化對(duì)組織來說是如此緊迫。簡化修復(fù)可以釋放員工數(shù)量和成本中心資源，并保護(hù)組織免受攻擊的無形成本，例如對(duì)品牌聲譽(yù)的損害和業(yè)務(wù)損失。

【參與惡意軟件響應(yīng)過程的人員/團(tuán)隊(duì)】

對(duì)惡意軟件感染的常規(guī)響應(yīng)缺少什么？ 

根據(jù)最近的研究，攻擊者的停留時(shí)間一直在增長，為惡意行為者提供了充足的時(shí)間來操作惡意軟件泄露的數(shù)據(jù)。減少平均發(fā)現(xiàn)時(shí)間（MTTD）和平均補(bǔ)救時(shí)間（MTTR）的最佳方法之一是獲取受感染的所有應(yīng)用程序的完整圖像，包括目標(biāo)url、被竊取的會(huì)話cookie /令牌和被盜憑據(jù)。對(duì)攻擊者竊取的確切訪問權(quán)限采取行動(dòng)，可以縮短企業(yè)面臨額外數(shù)據(jù)泄露風(fēng)險(xiǎn)的時(shí)間，并破壞網(wǎng)絡(luò)犯罪分子發(fā)起后續(xù)攻擊的能力，同時(shí)減輕惡意軟件感染響應(yīng)跨團(tuán)隊(duì)資源的負(fù)擔(dān)。

然而，許多組織在這方面表現(xiàn)不足。我們發(fā)現(xiàn)，27%的人沒有定期檢查他們的應(yīng)用程序日志以尋找泄露的跡象，36%的人沒有為可能暴露的應(yīng)用程序重置密碼，39%的人沒有在暴露跡象時(shí)終止會(huì)話cookie。

【對(duì)惡意軟件感染的常規(guī)響應(yīng)】

導(dǎo)致問題更加復(fù)雜的因素是，缺乏對(duì)整個(gè)環(huán)境的可見性。正如我們之前提到的，近三分之一的組織沒有很好地處理他們的企業(yè)管理設(shè)備，更不用說那些未被管理和管理不足的設(shè)備了。BYOD趨勢(shì)可能會(huì)節(jié)省運(yùn)營成本，提高員工的生產(chǎn)力，但如果節(jié)省成本是以犧牲安全性為前提，那么從長遠(yuǎn)來看，這真的是有益的嗎？

從“以設(shè)備為中心”轉(zhuǎn)向“以身份為中心”

勒索軟件是一個(gè)多方面的問題，且仍然是一個(gè)持續(xù)的威脅。在《2023年數(shù)據(jù)訪問調(diào)查報(bào)告》中，威瑞森發(fā)現(xiàn)，勒索軟件似乎在統(tǒng)計(jì)數(shù)據(jù)上保持穩(wěn)定，與去年相比，勒索軟件涉及不到四分之一（24%）的違規(guī)行為，而且無論現(xiàn)有的防御機(jī)制是否到位，勒索軟件仍然存在。但是許多組織并沒有意識(shí)到勒索軟件是一個(gè)真正的惡意軟件問題。

惡意行為者正在利用受感染的系統(tǒng)來泄露有助于勒索軟件攻擊的數(shù)據(jù)，識(shí)別公司資源的潛在入口點(diǎn)，并交付可執(zhí)行文件。企業(yè)面臨的挑戰(zhàn)是，缺乏對(duì)訪問網(wǎng)絡(luò)的受管理/未受管理設(shè)備上的惡意軟件感染的可見性，以及由此暴露的勞動(dòng)力應(yīng)用程序。

修復(fù)被惡意軟件感染的應(yīng)用程序可以大大提高阻止惡意行為者的能力。然而，傳統(tǒng)的惡意軟件響應(yīng)實(shí)踐無法應(yīng)對(duì)威脅形勢(shì)、技術(shù)和數(shù)字化勞動(dòng)力的快速發(fā)展。

對(duì)于大多數(shù)SecOps團(tuán)隊(duì)來說，應(yīng)對(duì)員工設(shè)備上的惡意軟件感染是關(guān)于端點(diǎn)本身的——一個(gè)以機(jī)器為中心的過程，包括識(shí)別被惡意軟件感染的設(shè)備，將用戶和設(shè)備與網(wǎng)絡(luò)隔離，并對(duì)設(shè)備進(jìn)行成像。最好的情況是，這切斷了與網(wǎng)絡(luò)罪犯的初始連接，但并沒有考慮到被竊取的憑證、cookie和其他已經(jīng)掌握在對(duì)手手中的訪問方式，它們將進(jìn)入暗網(wǎng)市場——在設(shè)備被清理后很長一段時(shí)間內(nèi)，網(wǎng)絡(luò)攻擊的循環(huán)將持續(xù)下去。

此外，越來越多的惡意軟件開發(fā)者正在精心設(shè)計(jì)他們的惡意軟件來竊取信息，而不會(huì)在受害者的設(shè)備上留下痕跡，也就是所謂的非持續(xù)性惡意軟件，這種惡意軟件幾乎不會(huì)留下任何痕跡，因此也無法告知防御者所遇到的感染類型。

以身份為中心的方法通過超越傳統(tǒng)的惡意軟件響應(yīng)來修復(fù)設(shè)備之外的暴露，從而破壞勒索軟件和其他攻擊。感染后修復(fù)是惡意軟件感染響應(yīng)框架中的一系列附加步驟，旨在通過重置應(yīng)用程序憑據(jù)和使被惡意軟件竊取的會(huì)話cookie失效，來消除勒索軟件和其他關(guān)鍵威脅的機(jī)會(huì)。

但要做到這一點(diǎn)，我們需要知道哪些訪問權(quán)限被竊取了，這樣安全團(tuán)隊(duì)就可以以一種自動(dòng)化的方式直接將攻擊者的努力拒之門外，并阻止針對(duì)企業(yè)的網(wǎng)絡(luò)犯罪機(jī)會(huì)，以領(lǐng)先于網(wǎng)絡(luò)罪犯和不斷增長的地下市場一步。

原文鏈接：https://3791228.fs1.hubspotusercontent-na1.net/hubfs/3791228/spycloud-report-2023-malware-readiness-and-defense.pdf