网络安全服务供应商Orange Cyberdefense发布《Security Navigator 2023》安全导向研究报告
• 网络勒索事件频发,其中40%由恶意软件引发,欧洲是攻击者的目标中心,中小企业、制造业和公共部门首当其冲
• 各规模企业均遭受攻击风险,其中由恶意软件造成的事件占CyberSOC(检测和响应运营中心)总量的40%;
• 99,000多起调查显示,安全事件数量同比增长5%,每个客户平均每月发生34起安全事件,每个组织每天至少发生1起安全事件;
• 从2021年到2022年,网络勒索受害者的所在地发生了显著变化,其中北美的受害者数量有所减少(美国-8%、加拿大-32%),但欧洲(+18%)、英国(+21%)、北欧(+138%)和东亚(+44%)的受害者数量有所增加;
• 报告指出,小型企业尤其需要应对恶意软件事件带来的挑战(49%),而制造业是受网络勒索影响最大的行业,公共行政部门则需主要应对内部因素引发的危机(66%);
• 在CyberSOC检测到的所有安全事件中,近一半(47%)来自内部参与者有意或无意的行为;
• 《Security Navigator 2023》研究报告首次包含了近500万条移动设备补丁级别的匿名专有数据,以此阐释了Android和iOS操作系统漏洞之间的差异。
《Security Navigator 2023》:安全事件数量持续上升,但速度有所放缓
近日,Orange集团旗下网络安全服务供应商Orange Cyberdefense重磅发布年度安全导向研究报告《Security Navigator 2023》,深入分析了CyberSOC团队调查、分类的99,506起潜在事件,事件数量较2022年报告相比增加5%。虽然本年度的研究报告呈现出多个喜人迹象,表明安全事件发生的速度正在放缓,但仍有一些因素引发全球关注。
报告显示,尽管网络攻防正在一些领域取得胜利,却仍然面临诸多挑战。例如,企业平均需要215天才能修复报告的漏洞。即使面对关键漏洞,通常也需要至少6个月的时间才能修复。而在Orange Cyberdefense道德黑客团队进行的所有测试中,有近50%的结果将漏洞报告为“严重”(“重要”或“高度关注”)等级。
网络勒索危及全球各种规模的企业。《Security Navigator 2023》指出,82%的网络勒索受害者是小型企业,与去年相比增加了4%。
在俄乌冲突爆发期间,网络犯罪数量明显减少,但这一现象只是稍纵即逝,而网络勒索事件却显著增加。在过去6个月中,东亚和东南亚的受害者数量分别增长了30%和33%。
网络勒索仍是主要的攻击形式,但受害者所在地正在从北美转向欧洲、亚洲和新兴市场
勒索软件和网络勒索攻击仍是现阶段全球组织面临的主要威胁,Orange Cyberdefense World Watch威胁警报会全年定期发布相关信息。在2022年的3月和4月,由于Lapsus$活动和Conti数据泄露事件,以及俄乌冲突引发的担忧,有关勒索软件的新闻数量在此期间显著增加。同时,在CyberSOC处理的事件中有40%涉及恶意软件。
此外,受害者所在地也发生了明显变化。网络勒索受害者的数量在北美和加拿大分别下降8%和32%,但在欧洲、亚洲和新兴市场有所增加。从2021年到2022年,欧盟的受害者数量增加了18%、英国增加了21%、北欧增加了138%、东亚增长了44%,而拉丁美洲增长了21%。
与此同时,活跃犯罪团体的构成也发生了巨大变化。在2021年观察到的前20名攻击者中,有14名攻击者已经从2022年的排名中消失。在Conti于2022年第二季度解散后,Lockbit2和Lockbit3策划了2022年规模最大的网络勒索事件,受害者总数超过900人。
基于Orange Cyberdefense的观察,攻击者大多为机会主义者,例如在进行追踪的攻击者中,近90%声称攻击目标在美国、50%以上目标在英国、20%以上目标在日本。根据Orange Cyberdefense的观察数据显示,日本是受害者数量最少的国家之一。
• 俄乌冲突影响
值得强调的是,在俄乌冲突爆发后的前几周,Orange Cyberdefense观察到针对波兰客户的网络犯罪活动减少了50%,这显然是网络犯罪分子被俄乌冲突分散了注意力,需要重新集结。果然,这一情况在数周之后恢复如初。
中小企业、制造业和公共部门尤其脆弱
• 中小企业
《Security Navigator 2023》报告指出,遭受网络勒索的小企业数量是大、中型企业总数的4.5倍,而大型企业遭受的影响更为严重。
2022年,中小企业报告的确认事件占总数的49%(2019年:10%,2020年:24%,2021年:35%),这说明中小企业尤其需要处理恶意软件事件带来的威胁。对于员工人数少于500人的中小企业而言,数据泄露的平均成本约为190万美元。因此,此类企业很可能受此影响而面临倒闭的风险。
• 公共部门组织
在CyberSOC处理的安全事件中,公共部门组织报告的事件比例位居第五。在Orange Cyberdefense数据库中,由公共部门报告的社会工程攻击事件也占据了最大比例。
对于大多数行业来说,Orange Cyberdefense检测到的大多数事件都由内部行为导致,但对于医疗保健类客户,76%的事件由外部行为导致,如犯罪黑客和APT(国家支持的威胁行为体)。
• 就受害者数量而言,制造业仍然是受影响最大的行业
尽管研究结果表明,在“最愿意支付赎金”的行业中,制造业仅排名第五,但就网络勒索受害者的数量而言,制造业仍是受影响最大的行业。《Security Navigator 2023》报告显示,犯罪分子正在破坏“传统”的信息技术系统,而非更专业的运营技术。同时,犯罪分子将大量受害者的产生主要归因于信息技术漏洞管理不善。据Orange Cyberdefense数据显示,制造业企业平均需要232天才能修复报告的漏洞。在此维度上,制造业依然位列第五。
关键漏洞持续存在,修复延迟威胁安全
据全新的漏洞洞察数据库显示,研究人员确认企业信息技术系统持续存在严重漏洞,其中47%已确认的漏洞被评定为“重要”或“高度关注”等级。关键漏洞仍需要半年以上(184天)时间才能修复,其他漏洞则可能需要更长时间。同时,数据表明许多漏洞(甚至是关键漏洞)永远无法得到修复。
制造业的信息技术漏洞平均需要235天可被修复,而其他行业的平均修复时间为215天;在医院(医疗保健和社会援助部门),信息技术漏洞平均需要491天得到修复;而在交通部门,信息技术漏洞的平均修复时间为473天。
值得注意的是,Orange Cyberdefense道德黑客发现一个已确认的“严重”(“重要”或“高度关注”)级别漏洞的平均时间为7.7天。
人力困境:在大多数行业中,内部威胁事件的数量超过外部攻击,而网络安全的空缺岗位却无人填补
组织员工身处公司防御的最前线,却也可能是防御最薄弱的环节。《Security Navigator 2023》报告指出:
• 对于公共行政部门,Orange Cyberdefense处理的大部分事件源于内部参与者有意或无意的行为;
• 对于制造业客户,58%的事件被归类为内部事件,而对于运输和仓储客户,这一数字高达64%。
《Security Navigator 2023》报告列举了更高级别安全监控提高控制有效性的手段,但这无疑也会产生更多误报,可能会给安全专业人员带来更大压力。仅在欧洲、中东和非洲地区,制造业就亟需填补30多万个网络安全职位的空缺。
移动安全:iOS系统与Android系统
在2021年9月至2022年9月期间,Orange Cyberdefense与近500万台移动设备产生交互,《Security Navigator 2023》报告首次包含了这些移动设备的专用补丁数据。据第三方研究数据显示,iOS系统和Android系统在2021年都处理了数量庞大的漏洞,其中:
• Android系统报告了547个漏洞,iOS系统报告了357个漏洞;
• 79%的Android系统漏洞被认为攻击复杂性较低(意味着攻击者可以轻松利用这些漏洞),而iOS系统的这一比例仅为24%;
• iOS系统有45个漏洞获得CVSS高分,而Android系统仅有18个。
《Security Navigator 2023》报告对iOS系统和Android系统报告的严重漏洞进行检查,并确定了修复生态系统的所需时长。在iOS系统中,90%的生态系统需要224天升级到补丁版本。而无论使用Android系统和iOS系统,约有10%的用户永远不会安装适合的补丁。
调查结果显示,由于生态系统的同质性,较高比例的iOS用户会在首次披露安全问题时面临被攻击的风险,然而用户可以通过快速迁移到新版本来规避风险,70%的用户会在补丁发布后51天内进行更新。与iOS系统相比,Android生态系统则更加支离破碎,这意味着Android设备往往更加容易遭到旧漏洞的攻击,易受新漏洞攻击的Android设备相对较少。
Orange Cyberdefense首席执行官Hugues Foulon表示:“在过去几个月的时间里,宏观环境事件频发,网络安全生态系统也因此变得更加警惕和团结。网络攻击事件正在成为头条新闻,而俄乌冲突的发生再次表明,数字化世界也是虚拟的战场。”
Hugues Foulon总结道:“Orange Cyberdefense的客户非常成熟,其所面临的安全事件数量增长总体放缓,呈现出喜人的迹象(+5%,前一年为+13%),这表明我们能够帮助客户赢得与恶意行为者的斗争。然而,这些成功不应减缓我们打击网络犯罪的努力。今年的《Security Navigator 2023》报告调查结果展现出各规模组织所面临的巨大挑战。来自各个方向威胁在不断演变,变得更加复杂,而这也凸显了我们要为应对威胁不懈努力,并在网络攻防中为客户提供有力的支持。”
《Security Navigator 2023》报告包括:
• 来自全球2,700多名专家和Orange CyberDefense 17个安全运营中心(SOC,Security Operation Center)、13个CyberSOC和8个不同位置CERT提供的100%第一手分析;
• 28页CyberSOC统计数据;
• 有关网络攻防形势和俄乌冲突网络影响的详细分析;
• 来自漏洞操作中心和渗透测试服务的全新数据库,分析漏洞的范围和形态对各行业造成的影响;
• 聚焦影响制造业的威胁和漏洞调查;
• 全新的移动安全威胁和漏洞数据。