《2023年恶意软件准备和防御报告》：20%的恶意软件攻击绕过反病毒保护

如今，“数字优先”的生活推动了我们每个人在线身份信息（包括证书、个人身份信息等）的快速增长。而随着技术的不断发展，想要跟上数字扩张的快速步伐似乎是不可能的。事实证明，组织和个人在确保数字安全方面持续落入下风，但网络犯罪分子并不存在这种问题，他们创新技术和策略的速度与数字环境的发展速度一样快，甚至能够在其行动触发任何危险信号之前很久就采用先进的方法快速窃取和访问数据。

这种犯罪创新造成了一股网络犯罪浪潮，困扰着各种规模的组织。网络犯罪的成本预计将在未来五年内翻一番以上，从2023年的11.5万亿美元飙升至2028年的23.82万亿美元。网络事件不仅排在业务风险的首位，而且是导致业务中断的最可怕因素，这种恐惧很大程度上源于勒索软件的风险。

勒索软件造成破坏的潜力具有深远的影响，也许这就是它被列为头号网络威胁，令安全领导者夜不能寐的原因所在。然而，投入更多的资源来解决这个问题似乎收效甚微。

SpyCloud的《2022年勒索软件防御报告》（2022 Ransomware Defense Report）发现，大多数接受调查的安全专业人士对避免攻击的前景越来越悲观，而在过去12个月里，受到勒索软件攻击的组织数量更是大幅增加。

这场战斗失败的最大原因之一是恶意软件攻击的扩展，在去年达到了55亿次。受恶意软件感染的员工设备创建了一个直接进入组织的路径，因为信息窃取程序（infostealer）恶意软件会从目标URL、登录凭据、密码和身份验证cookie /令牌中窃取新鲜、准确的数据，并将其泄露到设备和系统信息中，从而轻松地实现模仿操作。

有了这些数据，攻击者就可以成功模仿员工的访问权限，实施账户接管、会话劫持和勒索软件攻击等网络犯罪活动。根据Spycloud去年捕获的暴露于暗网的数据显示，近一半来自僵尸网络，而且这种趋势仍在迅速增长。

虽然被恶意软件窃取的数据为勒索软件创造了切入点，并作为“初始访问”出售给勒索软件运营商，但大多数组织都没有修复恶意软件感染的全部范围。由于缺乏全面的感染后补救措施，恶意行为者会利用仍然有效的泄露数据发动有针对性的攻击，从而使组织暴露的时间变得更长。

在最新的《2023年恶意软件准备和防御报告》中，研究人员分析了组织目前应对恶意软件感染的方法，并讨论了“感染后修复”（Post-Infection Remediation）被忽视的方面，以及组织可以用于降低恶意软件暴露导致的最具破坏性攻击风险的方法。

关键发现

人为因素是核心的风险驱动因素

由于勒索软件仍然是安全团队面临的最大威胁，我们的调查发现，网络钓鱼是组织关注的第二大威胁，这表明人们意识到人为因素在暴露中起着重要作用。

然而，由于缺乏可靠的安全实践和资源，使得防御存在漏洞。现代员工强烈渴望便捷性，包括从任何地方访问应用程序和数据的能力。但不幸的是，提供这种便捷性往往会牺牲安全性。调查发现，许多组织继续允许糟糕的安全措施，例如通过非托管或共享设备访问业务应用程序，以及在企业和个人设备之间同步浏览器数据。

不断变化的数字环境造成了恶意软件感染的高风险

向数字化和云优先环境的转变改变了员工的工作方式。在追求效率和提高生产力的过程中，他们采用了各种第三方工具，但是其中一些采用是在IT控制之外进行的。调查发现，超过50%的组织允许员工在未经IT部门同意的情况下设置应用程序和系统。这些“影子IT”资源，加上越来越多的员工和承包商在管理不足的设备上访问公司资源，为访问和应用程序控制以及创建“影子数据”方面都创造了安全盲点，这就导致组织对这些设备的可视性缺失。

组织担心恶意软件感染，但缺乏足够的补救措施

绝大多数的受访者都认为，他们的组织担心恶意行为者利用恶意软件泄露的数据进行后续攻击，如账户接管和勒索软件。然而，许多企业在恶意软件修复或事件响应实践方面存在漏洞，限制了完整的感染解决范围，缺少关键步骤（例如重置密码）。如果对员工、承包商和供应商使用的每台设备上的恶意软件缺乏可见性，并且没有适当响应感染的人员、工具和时间，安全团队将无法跟上这种威胁，这就为恶意行为者一次又一次地攻击敞开了大门。

信息窃取程序关注度提升

安全运营（SecOps）团队对信息窃取程序的关注度正在不断提升。受访者将“信息窃取程序”列为第三大担忧。此外，98%的受访者认为，更好地获取受信息窃取程序感染设备的清晰图像将显著改善其安全态势。专为从受感染的设备窃取凭证和其他形式的访问而设计的信息窃取程序，由于其易于部署、可扩展和高成功率，正变得越来越流行。最近的《安全调查和事件补救报告》发现，与前一年相比，恶意行为者在2022年更频繁地使用被盗凭证，使用信息窃取工具和购买被盗凭证的流行程度也都有所增加。

目前的恶意软件响应实践在感染后修复方面存在空白

尽管人们对信息窃取程序的风险意识有所提升，但组织将这类恶意软件造成的潜在损害降到最低的能力却并非如此。清除设备并不能完全消除这种恶意软件感染造成的损害。根据SpyCloud的研究显示，每次感染平均暴露26个业务应用程序的访问权限。快速检测和处理这些暴露，对于阻止试图损害组织的恶意行为者至关重要。然而，这最后一步正是不足所在——组织将他们“识别应用程序暴露”的能力排在其他补救步骤之后。调查还发现，超过三分之一的组织不设置应用程序密码，超过四分之一的组织甚至不查看应用程序日志以寻找被入侵的迹象。

恶意软件感染的风险和影响

在过去的几年里，勒索软件已经成为一个非常严重的问题，世界经济论坛调查的80%安全领导者称其为“对公共安全的不断发展的威胁”。而且勒索软件成本也在不断上升：勒索软件攻击的平均成本为450万美元，高于数据泄露的平均成本（435万美元），这还不包括赎金。

尽管一些研究表明，勒索软件的攻击率在过去一年中保持不变，但这并没有缓

解安全领导者和从业人员的担忧。此次调查的受访者将勒索软件列为头号威胁，其次是网络钓鱼/鱼叉式网络钓鱼和信息窃取程序。

【对组织安全的最大威胁列表】

值得注意的是，这三种威胁是相辅相成的：恶意行为者可能会通过网络钓鱼邮件受害者，在设备上执行信息窃取程序恶意软件，一旦设备被感染，用户数据或有价值的公司数据都会被提取出来，用于后续发起更复杂的勒索软件攻击，或者将这些数据出售给其他威胁行为者，然后由他们来做这件事。

此外，涉及企业应用程序（从SSO实例到金融系统、客户数据库和代码存储库等）被盗信息的信息窃取程序日志在地下犯罪活动中变得非常丰富，整个市场都专门从事这种类型的业务。研究发现，仅在2022年，一个名为Genesis Marketplace的市场就提供了超过43万个被盗身份信息。数据显示，在过去6年里，Genesis共计提供了多达8000多万个账户访问凭证的被盗数据，专门为初始访问经纪人（IAB）提供服务，这些经纪人通过这些被盗数据向勒索软件运营商出售有保证的直接访问权限。

恶意软件是组织最大的担忧

正如调查所显示的那样，企业对恶意软件的潜在危害没有心存任何幻想。不到1%的受访者表示，他们不担心来自受感染设备的身份验证、会话和数据泄露等更有害的未来攻击，53%的受访者表示他们非常担心。

【担心数据被盗导致未来攻击的比例（按员工数量计算）】

虽然大型组织通常拥有更多的资源和更复杂的实践，因此拥有更好的防御措施，但与所有规模类别的平均水平相比，其整体担忧程序似乎并没有太大不同：拥有超过25,000名员工的大型组织受访者只是“稍微”（相较于其他规模组织）不太担心数据被盗所导致的未来攻击。

【严重/极度关注数据被盗对组织影响的比例（按组织规模展示）】

这种担忧并非毫无根据。去年，SpyCloud研究人员从地下犯罪组织中恢复了7.215亿个暴露的用户名和密码组合，其中48.5%来自受恶意软件感染的设备（其余则是第三方泄露的）。此外，恶意软件日志还包含其他凭证，包括身份验证cookie，这使恶意行为者能够在不提供密码、密钥或其他因素的情况下劫持会话，冒充员工，不受限制地访问有价值的系统和网络，并创造机会进行代价高昂、破坏性强的网络攻击。

缺乏可视性阻碍了进展

虽然关注程度很高，但对这种风险的可见性似乎很低：98%的受访者认同，对受感染的业务应用程序有更好的可见性将提高安全状况。这是组织需要优先考虑的领域。他们必须弄清楚如何解决可见性问题，因为只要这个缺口仍然存在，任何减少暴露风险的努力都将是无效的。

【赞同“对暴露的应用程序拥有更好的可见性将是有益的”受访者比例】

新一代账户接管即将到来，且不会很快消失

令人意外的一点是，调查显示，账户接管并非组织担忧的大问题，在9个类别中排名倒数第二。勒索软件可能引起了安全团队的极大关注，但由恶意软件感染导致的下一代账户接管（ATO）仍应被视为高风险。会话劫持——下一代ATO的一种形式——起源于使用窃取的、仍然有效的身份验证cookie来接管（或“劫持”）会话。犯罪分子可以利用这些活跃会话来窃取数据，并监视和模仿用户的行为模式。

仅去年一年，SpyCloud的研究人员就重新捕获了220亿条被盗的cookie记录，这表明犯罪分子正在改变策略，窃取、购买和交易这些高度准确和有价值的数据，以最大限度地减少他们对更大的泄露数据集的需求，这些数据集可能被旧的、过时的、对其目的而言有些无用的数据所覆盖。

被忽视的切入点使组织暴露在外

在过去3年多的时间里，个人空间和工作空间之间的界限日趋模糊。超过70%的受访雇主已经转向混合工作模式，在这种模式下，高风险的网络行为更容易产生漏洞。由于技术的快速变化，数字化工作场所的安全风险正在不断增加。

随着科技的发展，员工的数字优先生活——要求方便、轻松和最小摩擦——正在超出IT和安全团队的控制范围，并影响着安全态势。

此次调查结果反映了这些趋势，表明安全团队很难跟上不断发展的工作场所。具体发现如下：

57%的组织允许员工在个人设备和公司设备之间同步浏览器数据。虽然这种做法为用户提供了便利，但它允许恶意行为者通过受感染的个人设备窃取公司凭证（包括身份验证cookies），而不会被检测到，用户甚至不会意识到这是妥协的入口点。
由于员工在未经IT部门同意的情况下采用应用程序和系统，54%的组织正在与影子IT做斗争。不仅IT部门对这些未经批准的工具缺乏可视性，而且员工经常使用的消费级应用程序没有基本的安全控制，公司政策也不够强大或根本不存在，无法最大限度地减少或阻止这种访问。
36%的组织允许非管理的个人设备访问业务应用程序和系统，27%的组织允许第三方设备访问。这两种做法都是有风险的，因为缺乏IT和安全控制，而且不受管理的设备很可能具有宽松的安全措施，例如不存在身份验证需求，从而进一步扩大了已经蔓延的攻击面。

【存在危险的安全实践】

远非“足够好”

调查指出，85%的受访组织认为他们的企业设备安装了最新的补丁和反恶意软件，剩下15%的组织并不这么认为。给设备打补丁和保持最新是一项关键的最佳实践，但安全团队不应该仅仅因为勾选了这个复选框就让自己有一种错误的安全感。“复选框式”的解决方案和做法在过去可能已经足够好了，但现在已经无法跟上不断变化的威胁和犯罪策略。

拥有最新的补丁并不一定意味着组织是安全的。根据研究显示，在2023年的前6个月，所有SpyCloud重新捕获的恶意软件日志中，有20%在成功执行恶意软件时安装了防病毒程序，这意味着该工具实际上并没有阻止感染（也称为产生假阴性）。虽然这些工具在第一道防线中发挥了重要作用，但它们永远不会是应对犯罪分子的权宜之计，因为这些犯罪分子有能力部署强大的恶意软件以绕过各种身份验证方法（从基本的反病毒程序到MFA和密码等）。

大型企业：更加成熟，但风险仍然很高

较大的组织确实对其暴露有更好的控制，这反映了更成熟的安全策略。但是，更好的控制并不能消除风险，特别是因为更大的组织往往是攻击者的更大目标。此外，随着企业越来越多地使用第三方供应商和承包商，以及员工能够利用个人设备访问企业应用，未管理或管理不足的设备进一步增加了风险，因为单个受恶意软件感染的设备足以让攻击者访问数十个企业应用程序。

【员工超过10,000人的组织的安全实践】

恶意软件响应能力的差距

尽管受到恶意软件的攻击，但企业识别受感染的业务应用程序的能力却有限。调查发现，组织在恶意软件检测和第一阶段响应方面的能力要比在修复的后期阶段强得多，其中包括识别哪些第三方业务应用程序的凭据被信息伪造程序窃取。

【恶意软件检测和响应能力等级从1（最低）到5（最高）】

安全运营调查参与者可能会对他们与IT同行合作检测受感染设备、隔离和修复设备的能力感到满意；然而，随着数字身份成为当今工作场所的中心，补救措施不应停留在设备上。“重置并忘记它”的心态不再是一个可行的选择。为了真正降低勒索软件的风险，组织必须超越传统的“以机器为中心”的恶意软件响应，转而采用“以身份为中心”的方法，包括完整的感染后修复步骤，以降低与受损应用程序相关的风险。

感染后修复的优先级和能力

在过去的几年里，工作流程自动化已经成为SecOps越来越关注的重点，而当前的经济状况可能会进一步强调这一需求。最近对CISO的一项调查发现，经济不确定性对58%的组织的安全预算产生了负面影响。在这种环境下，43%的受访者将“安全过程和工作流的自动化”列为接下来12到18个月内的最高优先级也就不足为奇了。即使领导者和实践者在优先级上有所不同，但自动化对每个群体来说都是前三名。

【首要安全事项】

除了自动化之外，另外两个最重要的优先事项——更好地衡量安全有效性和更好地保护客户数据——表明安全团队对改善结果和提高安全效率非常感兴趣。为了实现这一目标，组织必须首先消除跨团队、系统和数据的孤岛——这样做需要集成技术来获得单一的事实来源，从而更好地预防和补救。

安全领导者和从业者最终想要的是同一件事——更好的安全——但他们看到了不同的道路。调查发现：

领导者更关注更好地衡量安全有效性、更好的客户数据隐私和自动化，而安全运营从业者和管理员则更重视合规性、云安全性和自动化。
到目前为止，安全架构师和工程师优先考虑提高云应用程序和基础设施的安全性（60%）。去年，SpyCloud恢复了数百万个被恶意软件共享的第三方应用程序凭证，这些凭证可以访问超过56,000个流行的基于云的应用程序，如通信、协作/项目管理和普通人力资源工具。这些数据强调，云仍然是企业寻求数字化转型的首要考虑因素，但基于云的应用程序也会在拥抱数字化体验的工作场所带来更高的风险；因此，组织必须优先考虑云安全。

我们惊讶地发现，第三方风险很少受到调查参与者的关注，在优先事项列表中排名倒数第二。这个排名显示了与前面讨论的恶意软件问题的脱节。研究表明，59%的受访组织经历过由第三方造成的网络攻击或数据泄露。但是组织缺乏对通常被忽视的供应链组件的可见性：管理不足的供应商设备访问他们有价值的系统、网络和应用程序。为了降低来自供应商或承包商的恶意软件感染设备的风险，安全团队需要在组织外部拥有与组织内部相同的可见性。

传统恶意软件消耗资源

对于大多数组织来说，恶意软件响应并不局限于SecOps。这是一个团队工作，需要多个核心业务领域的参与，从IT、网络运营和工程到法规遵从和法律部门。由于至少有七个部门参与到这个过程中，成本可能会迅速增加——这也就解释了为什么自动化对组织来说是如此紧迫。简化修复可以释放员工数量和成本中心资源，并保护组织免受攻击的无形成本，例如对品牌声誉的损害和业务损失。

【参与恶意软件响应过程的人员/团队】

对恶意软件感染的常规响应缺少什么？

根据最近的研究，攻击者的停留时间一直在增长，为恶意行为者提供了充足的时间来操作恶意软件泄露的数据。减少平均发现时间（MTTD）和平均补救时间（MTTR）的最佳方法之一是获取受感染的所有应用程序的完整图像，包括目标url、被窃取的会话cookie /令牌和被盗凭据。对攻击者窃取的确切访问权限采取行动，可以缩短企业面临额外数据泄露风险的时间，并破坏网络犯罪分子发起后续攻击的能力，同时减轻恶意软件感染响应跨团队资源的负担。

然而，许多组织在这方面表现不足。我们发现，27%的人没有定期检查他们的应用程序日志以寻找泄露的迹象，36%的人没有为可能暴露的应用程序重置密码，39%的人没有在暴露迹象时终止会话cookie。

【对恶意软件感染的常规响应】

导致问题更加复杂的因素是，缺乏对整个环境的可见性。正如我们之前提到的，近三分之一的组织没有很好地处理他们的企业管理设备，更不用说那些未被管理和管理不足的设备了。BYOD趋势可能会节省运营成本，提高员工的生产力，但如果节省成本是以牺牲安全性为前提，那么从长远来看，这真的是有益的吗？

从“以设备为中心”转向“以身份为中心”

勒索软件是一个多方面的问题，且仍然是一个持续的威胁。在《2023年数据访问调查报告》中，威瑞森发现，勒索软件似乎在统计数据上保持稳定，与去年相比，勒索软件涉及不到四分之一（24%）的违规行为，而且无论现有的防御机制是否到位，勒索软件仍然存在。但是许多组织并没有意识到勒索软件是一个真正的恶意软件问题。

恶意行为者正在利用受感染的系统来泄露有助于勒索软件攻击的数据，识别公司资源的潜在入口点，并交付可执行文件。企业面临的挑战是，缺乏对访问网络的受管理/未受管理设备上的恶意软件感染的可见性，以及由此暴露的劳动力应用程序。

修复被恶意软件感染的应用程序可以大大提高阻止恶意行为者的能力。然而，传统的恶意软件响应实践无法应对威胁形势、技术和数字化劳动力的快速发展。

对于大多数SecOps团队来说，应对员工设备上的恶意软件感染是关于端点本身的——一个以机器为中心的过程，包括识别被恶意软件感染的设备，将用户和设备与网络隔离，并对设备进行成像。最好的情况是，这切断了与网络罪犯的初始连接，但并没有考虑到被窃取的凭证、cookie和其他已经掌握在对手手中的访问方式，它们将进入暗网市场——在设备被清理后很长一段时间内，网络攻击的循环将持续下去。

此外，越来越多的恶意软件开发者正在精心设计他们的恶意软件来窃取信息，而不会在受害者的设备上留下痕迹，也就是所谓的非持续性恶意软件，这种恶意软件几乎不会留下任何痕迹，因此也无法告知防御者所遇到的感染类型。

以身份为中心的方法通过超越传统的恶意软件响应来修复设备之外的暴露，从而破坏勒索软件和其他攻击。感染后修复是恶意软件感染响应框架中的一系列附加步骤，旨在通过重置应用程序凭据和使被恶意软件窃取的会话cookie失效，来消除勒索软件和其他关键威胁的机会。

但要做到这一点，我们需要知道哪些访问权限被窃取了，这样安全团队就可以以一种自动化的方式直接将攻击者的努力拒之门外，并阻止针对企业的网络犯罪机会，以领先于网络罪犯和不断增长的地下市场一步。

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”，申请加入群聊】

https://3791228.fs1.hubspotusercontent-na1.net/hubfs/3791228/spycloud-report-2023-malware-readiness-and-defense.pdf