網(wǎng)絡(luò)安全服務(wù)供應(yīng)商Orange Cyberdefense發(fā)布《Security Navigator 2023》安全導(dǎo)向研究報告
2022-12-08
來源:Orange
·各規(guī)模企業(yè)均遭受攻擊風(fēng)險,,其中由惡意軟件造成的事件占CyberSOC(檢測和響應(yīng)運營中心)總量的40%,;
·99,000多起調(diào)查顯示,安全事件數(shù)量同比增長5%,,每個客戶平均每月發(fā)生34起安全事件,,每個組織每天至少發(fā)生1起安全事件;
·從2021年到2022年,,網(wǎng)絡(luò)勒索受害者的所在地發(fā)生了顯著變化,,其中北美的受害者數(shù)量有所減少(美國-8%,、加拿大-32%),但歐洲(+18%),、英國(+21%),、北歐(+138%)和東亞(+44%)的受害者數(shù)量有所增加;
·報告指出,,小型企業(yè)尤其需要應(yīng)對惡意軟件事件帶來的挑戰(zhàn)(49%),,而制造業(yè)是受網(wǎng)絡(luò)勒索影響最大的行業(yè),公共行政部門則需主要應(yīng)對內(nèi)部因素引發(fā)的危機(66%),;
·在CyberSOC檢測到的所有安全事件中,,近一半(47%)來自內(nèi)部參與者有意或無意的行為;
·《Security Navigator 2023》研究報告首次包含了近500萬條移動設(shè)備補丁級別的匿名專有數(shù)據(jù),,以此闡釋了Android和iOS操作系統(tǒng)漏洞之間的差異,。
《Security Navigator 2023》:安全事件數(shù)量持續(xù)上升,但速度有所放緩
近日,,Orange集團旗下網(wǎng)絡(luò)安全服務(wù)供應(yīng)商Orange Cyberdefense重磅發(fā)布年度安全導(dǎo)向研究報告《Security Navigator 2023》,,深入分析了CyberSOC團隊調(diào)查、分類的99,506起潛在事件,,事件數(shù)量較2022年報告相比增加5%,。雖然本年度的研究報告呈現(xiàn)出多個喜人跡象,表明安全事件發(fā)生的速度正在放緩,,但仍有一些因素引發(fā)全球關(guān)注。
報告顯示,,盡管網(wǎng)絡(luò)攻防正在一些領(lǐng)域取得勝利,,卻仍然面臨諸多挑戰(zhàn)。例如,,企業(yè)平均需要215天才能修復(fù)報告的漏洞,。即使面對關(guān)鍵漏洞,通常也需要至少6個月的時間才能修復(fù),。而在Orange Cyberdefense道德黑客團隊進行的所有測試中,,有近50%的結(jié)果將漏洞報告為“嚴(yán)重”(“重要”或“高度關(guān)注”)等級。
網(wǎng)絡(luò)勒索危及全球各種規(guī)模的企業(yè),?!禨ecurity Navigator 2023》指出,82%的網(wǎng)絡(luò)勒索受害者是小型企業(yè),,與去年相比增加了4%,。
在俄烏沖突爆發(fā)期間,網(wǎng)絡(luò)犯罪數(shù)量明顯減少,,但這一現(xiàn)象只是稍縱即逝,,而網(wǎng)絡(luò)勒索事件卻顯著增加,。在過去6個月中,東亞和東南亞的受害者數(shù)量分別增長了30%和33%,。
網(wǎng)絡(luò)勒索仍是主要的攻擊形式,,但受害者所在地正在從北美轉(zhuǎn)向歐洲、亞洲和新興市場
勒索軟件和網(wǎng)絡(luò)勒索攻擊仍是現(xiàn)階段全球組織面臨的主要威脅,,Orange Cyberdefense World Watch威脅警報會全年定期發(fā)布相關(guān)信息,。在2022年的3月和4月,由于Lapsus$活動和Conti數(shù)據(jù)泄露事件,,以及俄烏沖突引發(fā)的擔(dān)憂,,有關(guān)勒索軟件的新聞數(shù)量在此期間顯著增加。同時,,在CyberSOC處理的事件中有40%涉及惡意軟件,。
此外,受害者所在地也發(fā)生了明顯變化,。網(wǎng)絡(luò)勒索受害者的數(shù)量在北美和加拿大分別下降8%和32%,,但在歐洲、亞洲和新興市場有所增加,。從2021年到2022年,,歐盟的受害者數(shù)量增加了18%、英國增加了21%,、北歐增加了138%,、東亞增長了44%,而拉丁美洲增長了21%,。
與此同時,,活躍犯罪團體的構(gòu)成也發(fā)生了巨大變化。在2021年觀察到的前20名攻擊者中,,有14名攻擊者已經(jīng)從2022年的排名中消失,。在Conti于2022年第二季度解散后,Lockbit2和Lockbit3策劃了2022年規(guī)模最大的網(wǎng)絡(luò)勒索事件,,受害者總數(shù)超過900人,。
基于Orange Cyberdefense的觀察,攻擊者大多為機會主義者,,例如在進行追蹤的攻擊者中,,近90%聲稱攻擊目標(biāo)在美國、50%以上目標(biāo)在英國,、20%以上目標(biāo)在日本,。根據(jù)Orange Cyberdefense的觀察數(shù)據(jù)顯示,日本是受害者數(shù)量最少的國家之一,。
· 俄烏沖突影響
值得強調(diào)的是,,在俄烏沖突爆發(fā)后的前幾周,,Orange Cyberdefense觀察到針對波蘭客戶的網(wǎng)絡(luò)犯罪活動減少了50%,這顯然是網(wǎng)絡(luò)犯罪分子被俄烏沖突分散了注意力,,需要重新集結(jié),。果然,這一情況在數(shù)周之后恢復(fù)如初,。
中小企業(yè),、制造業(yè)和公共部門尤其脆弱
· 中小企業(yè)
《Security Navigator 2023》報告指出,遭受網(wǎng)絡(luò)勒索的小企業(yè)數(shù)量是大,、中型企業(yè)總數(shù)的4.5倍,,而大型企業(yè)遭受的影響更為嚴(yán)重。
2022年,,中小企業(yè)報告的確認(rèn)事件占總數(shù)的49%(2019年:10%,,2020年:24%,2021年:35%),,這說明中小企業(yè)尤其需要處理惡意軟件事件帶來的威脅,。對于員工人數(shù)少于500人的中小企業(yè)而言,數(shù)據(jù)泄露的平均成本約為190萬美元,。因此,,此類企業(yè)很可能受此影響而面臨倒閉的風(fēng)險。
· 公共部門組織
在CyberSOC處理的安全事件中,,公共部門組織報告的事件比例位居第五,。在Orange Cyberdefense數(shù)據(jù)庫中,由公共部門報告的社會工程攻擊事件也占據(jù)了最大比例,。
對于大多數(shù)行業(yè)來說,,Orange Cyberdefense檢測到的大多數(shù)事件都由內(nèi)部行為導(dǎo)致,但對于醫(yī)療保健類客戶,,76%的事件由外部行為導(dǎo)致,如犯罪黑客和APT(國家支持的威脅行為體),。
· 就受害者數(shù)量而言,,制造業(yè)仍然是受影響最大的行業(yè)
盡管研究結(jié)果表明,在“最愿意支付贖金”的行業(yè)中,,制造業(yè)僅排名第五,,但就網(wǎng)絡(luò)勒索受害者的數(shù)量而言,制造業(yè)仍是受影響最大的行業(yè),?!禨ecurity Navigator 2023》報告顯示,犯罪分子正在破壞“傳統(tǒng)”的信息技術(shù)系統(tǒng),,而非更專業(yè)的運營技術(shù),。同時,,犯罪分子將大量受害者的產(chǎn)生主要歸因于信息技術(shù)漏洞管理不善。據(jù)Orange Cyberdefense數(shù)據(jù)顯示,,制造業(yè)企業(yè)平均需要232天才能修復(fù)報告的漏洞,。在此維度上,制造業(yè)依然位列第五,。
關(guān)鍵漏洞持續(xù)存在,,修復(fù)延遲威脅安全
據(jù)全新的漏洞洞察數(shù)據(jù)庫顯示,研究人員確認(rèn)企業(yè)信息技術(shù)系統(tǒng)持續(xù)存在嚴(yán)重漏洞,,其中47%已確認(rèn)的漏洞被評定為“重要”或“高度關(guān)注”等級,。關(guān)鍵漏洞仍需要半年以上(184天)時間才能修復(fù),其他漏洞則可能需要更長時間,。同時,,數(shù)據(jù)表明許多漏洞(甚至是關(guān)鍵漏洞)永遠(yuǎn)無法得到修復(fù)。
制造業(yè)的信息技術(shù)漏洞平均需要235天可被修復(fù),,而其他行業(yè)的平均修復(fù)時間為215天,;在醫(yī)院(醫(yī)療保健和社會援助部門),信息技術(shù)漏洞平均需要491天得到修復(fù),;而在交通部門,,信息技術(shù)漏洞的平均修復(fù)時間為473天。
值得注意的是,,Orange Cyberdefense道德黑客發(fā)現(xiàn)一個已確認(rèn)的“嚴(yán)重”(“重要”或“高度關(guān)注”)級別漏洞的平均時間為7.7天,。
人力困境:在大多數(shù)行業(yè)中,內(nèi)部威脅事件的數(shù)量超過外部攻擊,,而網(wǎng)絡(luò)安全的空缺崗位卻無人填補
組織員工身處公司防御的最前線,,卻也可能是防御最薄弱的環(huán)節(jié)?!禨ecurity Navigator 2023》報告指出:
對于公共行政部門,,Orange Cyberdefense處理的大部分事件源于內(nèi)部參與者有意或無意的行為;
對于制造業(yè)客戶,,58%的事件被歸類為內(nèi)部事件,,而對于運輸和倉儲客戶,這一數(shù)字高達64%,。
《Security Navigator 2023》報告列舉了更高級別安全監(jiān)控提高控制有效性的手段,,但這無疑也會產(chǎn)生更多誤報,可能會給安全專業(yè)人員帶來更大壓力,。僅在歐洲,、中東和非洲地區(qū),制造業(yè)就亟需填補30多萬個網(wǎng)絡(luò)安全職位的空缺。
移動安全:iOS系統(tǒng)與Android系統(tǒng)
在2021年9月至2022年9月期間,,Orange Cyberdefense與近500萬臺移動設(shè)備產(chǎn)生交互,,《Security Navigator 2023》報告首次包含了這些移動設(shè)備的專用補丁數(shù)據(jù)。據(jù)第三方研究數(shù)據(jù)顯示,,iOS系統(tǒng)和Android系統(tǒng)在2021年都處理了數(shù)量龐大的漏洞,,其中:
Android系統(tǒng)報告了547個漏洞,iOS系統(tǒng)報告了357個漏洞,;
79%的Android系統(tǒng)漏洞被認(rèn)為攻擊復(fù)雜性較低(意味著攻擊者可以輕松利用這些漏洞),,而iOS系統(tǒng)的這一比例僅為24%;
iOS系統(tǒng)有45個漏洞獲得CVSS高分,,而Android系統(tǒng)僅有18個,。
《Security Navigator 2023》報告對iOS系統(tǒng)和Android系統(tǒng)報告的嚴(yán)重漏洞進行檢查,并確定了修復(fù)生態(tài)系統(tǒng)的所需時長,。在iOS系統(tǒng)中,,90%的生態(tài)系統(tǒng)需要224天升級到補丁版本。而無論使用Android系統(tǒng)和iOS系統(tǒng),,約有10%的用戶永遠(yuǎn)不會安裝適合的補丁,。
調(diào)查結(jié)果顯示,由于生態(tài)系統(tǒng)的同質(zhì)性,,較高比例的iOS用戶會在首次披露安全問題時面臨被攻擊的風(fēng)險,,然而用戶可以通過快速遷移到新版本來規(guī)避風(fēng)險,70%的用戶會在補丁發(fā)布后51天內(nèi)進行更新,。與iOS系統(tǒng)相比,,Android生態(tài)系統(tǒng)則更加支離破碎,這意味著Android設(shè)備往往更加容易遭到舊漏洞的攻擊,,易受新漏洞攻擊的Android設(shè)備相對較少,。
Orange Cyberdefense首席執(zhí)行官Hugues Foulon表示:“在過去幾個月的時間里,宏觀環(huán)境事件頻發(fā),,網(wǎng)絡(luò)安全生態(tài)系統(tǒng)也因此變得更加警惕和團結(jié),。網(wǎng)絡(luò)攻擊事件正在成為頭條新聞,而俄烏沖突的發(fā)生再次表明,,數(shù)字化世界也是虛擬的戰(zhàn)場,。”
Hugues Foulon總結(jié)道:“Orange Cyberdefense的客戶非常成熟,,其所面臨的安全事件數(shù)量增長總體放緩,,呈現(xiàn)出喜人的跡象(+5%,,前一年為+13%),,這表明我們能夠幫助客戶贏得與惡意行為者的斗爭。然而,這些成功不應(yīng)減緩我們打擊網(wǎng)絡(luò)犯罪的努力,。今年的《Security Navigator 2023》報告調(diào)查結(jié)果展現(xiàn)出各規(guī)模組織所面臨的巨大挑戰(zhàn),。來自各個方向威脅在不斷演變,變得更加復(fù)雜,,而這也凸顯了我們要為應(yīng)對威脅不懈努力,,并在網(wǎng)絡(luò)攻防中為客戶提供有力的支持?!?/p>
《Security Navigator 2023》報告包括:
·來自全球2,700多名專家和Orange CyberDefense 17個安全運營中心(SOC,,Security Operation Center)、13個CyberSOC和8個不同位置CERT提供的100%第一手分析,;
·28頁CyberSOC統(tǒng)計數(shù)據(jù),;
·有關(guān)網(wǎng)絡(luò)攻防形勢和俄烏沖突網(wǎng)絡(luò)影響的詳細(xì)分析;
·來自漏洞操作中心和滲透測試服務(wù)的全新數(shù)據(jù)庫,,分析漏洞的范圍和形態(tài)對各行業(yè)造成的影響,;
·聚焦影響制造業(yè)的威脅和漏洞調(diào)查;
·全新的移動安全威脅和漏洞數(shù)據(jù),。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<