云計算網(wǎng)絡檢測和響應提供商ExtraHop公司日前發(fā)布了《2023年全球網(wǎng)絡信心指數(shù)報告》。該公司在報告中指出，從2021年到2022年，勒索軟件攻擊的平均次數(shù)不僅從4次增加到5次，而且83%的受害方至少支付了一次贖金。

報告發(fā)現(xiàn)，盡管像美國聯(lián)邦調(diào)查局和信息系統(tǒng)審計與控制協(xié)會(ISACA)這樣的政府部門反對支付贖金，但許多企業(yè)決定承擔支付贖金的成本，平均金額為925162美元，而不是承受進一步的運營中斷和數(shù)據(jù)丟失的損失。

ExtraHop公司高級技術經(jīng)理Jamie Moles表示，遭到勒索軟件攻擊的企業(yè)之所以支付贖金，是因為他們認為這是恢復業(yè)務最快、最簡單的途徑。

Moles表示，與此同時，許多網(wǎng)絡攻擊團伙主要采用的雙重勒索手段包括在加密數(shù)據(jù)之前竊取數(shù)據(jù)，并威脅受害方支付贖金，否則將其數(shù)據(jù)發(fā)布在互聯(lián)網(wǎng)上，從而給他們施加了額外的壓力，迫使他們支付贖金。

網(wǎng)絡安全債務的成本

在肯德基公司、塔可鐘、必勝客母公司百勝集團遭遇勒索軟件攻擊之后，Brands公司宣布遭遇了勒索軟件攻擊事件。

ExtraHop公司發(fā)布這份調(diào)查報告的一個基本主題是，企業(yè)未能解決由未打補丁的軟件、未管理的設備和影子IT造成的漏洞，從而讓勒索軟件攻擊者利用了他們的數(shù)據(jù)。例如，77%的IT決策者認為，過時的網(wǎng)絡安全實踐導致出現(xiàn)了一半以上的安全事件。

隨著時間的推移，這些未修補的漏洞會成倍增加，使網(wǎng)絡威脅行為者有更多潛在的切入點可以利用，并有更大的影響力迫使企業(yè)支付贖金。

ExtraHop公司首席風險、安全和信息安全官Mark Bowling表示:“勒索軟件攻擊的概率與未被削弱的網(wǎng)絡攻擊面成反比，這是網(wǎng)絡安全債務的一個例子。這種優(yōu)先級降低導致的責任，以及最終的經(jīng)濟損失，加劇了網(wǎng)絡安全債務，使企業(yè)面臨更多風險。”