根据Sophos的一份报告,制造业领导者可能觉得勒索软件风险已经稳定下来,但新数据显示,威胁正在以需要注意的方式转变。对332名IT和安全领导者的全球调查概述了攻击者如何调整策略,以及组织如何吸收这些变化的影响。
入口点
漏洞被利用是最常见的妥协来源。恶意电子邮件也发挥了重要作用,反映了攻击者继续使用直接技术来提供对工业系统的访问。尽管基于凭据的攻击有所下降,但研究表明,攻击者仍然利用容易避免的弱点。
受访者还将事件与内部条件联系在一起。他们列举了缺乏安全专业知识、未知的防御差距和有限的保护控制。很少有人确定了单一的根本原因。大多数人描述了混合的缺点,为入侵创造了机会。研究结果表明,技术和运营风险如何相互加强。
更少的加密,通过数据盗窃增加压力
导致数据加密的攻击比例降至五年来的最低点。与此同时,受访者报告了攻击者窃取数据并利用披露威胁作为杠杆的案例。即使没有加密,一些组织也面临敲诈勒索。这种模式反映了制造业知识产权的价值和高昂的停机成本。
Sophos反威胁部门威胁研究总监Alexandra Rose说:“制造依赖于互联的系统,即使短暂的停机时间也会停止生产,并在供应链中产生涟漪。”
“攻击者利用了这种压力:尽管加密率降至40%,但支付的赎金中位数仍然达到100万美元。雖然一半的制造商在加密前停止了攻擊,但恢復成本平均為130萬美元,主管壓力仍然很高。分层防御、持续可见性和精心排练的应对计划对于减少运营影响和财务风险至关重要,”Rose继续说道。
在更大比例的情况下,团队能够在加密之前阻止攻击,这可能促成了下降。早期检测有助于减少中断,尽管强大的检测并不能保证顺利恢复。
受访者通常从备份中恢复系统,而一小部分人支付了赎金。支付率比前一年有所下降,这表明对恢复计划的信心越来越大,满足攻击者需求的意愿也下降了。
随着高端案件的增加,需求和付款在较低水平上结算
典型的赎金需求比前一年有所下降,付款遵循相同的方向。范围的中间缩小了,而高端的病例增加了。少数受害者面临数百万美元的要求,这再次对可能造成严重财务影响的担忧再次出现。
支付的受害者往往以接近原始需求的金额结算。较小的份额支付较少,少数支付的高于初始数字。这些差异凸显了谈判如何根据运营压力或被盗数据的敏感性而发生变化。
随着团队压力的增加,恢复速度提高
恢复成本比前一年下降。各组织还报告说,系统恢复速度更快,恢复稳定运营更快。很大一部分在一周内恢复,只有一小部分人需要几个月的时间。调查结果表明,在最近的事件发生后,团队加强了恢复游戏手册并进行了调整。
尽管取得了这些成果,但人类的影响却增加了。每个经历过加密的受访者都报告了对其IT或网络安全团队的影响。关于未来袭击的压力很常见。其他人报告了更重的工作量、来自高级领导的压力或事件后的重组。一些团队经历了领导层更替,一些员工因压力或相关健康问题而请了时间。数据表明,制造团队在系统恢复正常后很久就感受到了后果。
制造环境塑造了攻击者的行为
这项研究展示了勒索软件策略如何反映工业运营的现实。制造依赖于无法承受长时间停电的系统。生产延迟影响了供应链。智慧財產權具有重大價值。攻击者了解这些条件,并相应地调整他们的方法。
利用漏洞仍然有效,因为修补工业设备可能很困难。数据盗窃会产生杠杆作用,因为设计和生产数据是敏感的。没有加密的敲诈勒索吸引着攻击者,因为它降低了以降低付款机会的方式干扰系统的风险。
需要改进的领域
制造业的IT和安全领导者在某些领域取得了进展,但在其他领域仍然存在差距。检测似乎正在改善。恢复越来越稳定。支付率正在下降。但运营上的弱点仍然存在。技能短缺、老化保护和对漏洞的可见性有限继续导致妥协。这些因素与攻击者的能力一样影响结果。
研究结果还表明,需要加强内部支持。安全团队正在吸收组织和情感压力,这可能会影响长期绩效。制造运营依赖于稳定的系统,如果没有他们能够管理的工作量,团队就无法保持稳定。
转型中的部门
投资于基本控制、结构化检测、测试备份和正式事件响应计划的组织可以更有效地恢复。那些依赖非正式程序或人员配置有限的人与技术和人为后果而挣扎。
攻击者正在完善他们的方法。团队也必须调整他们的。该部门正在向前推进,但仍有重大工作要做,以缩小继续使生产系统和人员面临风险的差距。
原文链接地址:https://www.helpnetsecurity.com/2025/12/15/sophos-manufacturing-ransomware-risks-report/
暂无评论内容