《華爾街日報》專業研究調查:關於勒索軟件與威脅的認知 - WSJ

Rob Sloan, Research Director, WSJ Pro Research

作者:羅伯·斯隆,WSJ專業研究部研究總監 2022年11月29日上午9:30更新 ET|WSJ專業版### 關鍵要點:

  • WSJ專業研究最新網絡安全調查數據顯示了最令人擔憂的威脅及企業應對勒索軟件攻擊的方式。
  • 大型企業感知到的威脅程度高於中型和小型企業。
  • 與2021年相比,企業支付贖金的意願持續降低,延續了先前發現的下降趨勢。
  • 7%的受訪者表示其組織在過去12個月內直接遭受過勒索軟件攻擊。
  • 略低於半數的受訪者認為禁止勒索軟件受害者支付贖金將減少攻擊數量。

背景:

企業對威脅的認知至關重要,因為這會影響其在防護技術、緩解措施和事件響應上的投入。若企業認為自身不太可能遭受某類攻擊,其為該場景做準備的意願就會降低。我們也知道,媒體報道的攻擊事件和個人經歷會極大影響這類認知。

調查結果:

並非所有企業對威脅的感知都相同。我們要求每位受訪者評估其組織遭受特定威脅方攻擊的可能性,發現大型企業始終比中小型企業感知到更高威脅。儘管由於持有數據的敏感性,大型企業確實更常成為國家行為體的攻擊目標,但所有企業無論規模大小都應預期會遭到犯罪分子的攻擊。

調查數據顯示,部分企業可能低估了這一威脅。尤其是小型企業更傾向於忽視內部威脅:42%的受訪者認為其組織"不太可能"成為內部人員攻擊目標,這種認知可能導致它們暴露在中大型企業已採取防範措施的風險之中。雖然具體原因尚不明確,但缺乏風險評估以及對員工過度信任可能是部分原因。

在遭遇勒索軟件攻擊時,企業支付贖金以恢復數據的意願顯著降低。19%的受訪者表示會考慮支付贖金,較2021年的35%和2020年的43%持續下降。而表示"完全不可能"支付贖金的比例達到40%,較去年的30%有所上升。

儘管無法確定態度轉變的具體原因,但趨勢顯而易見。雖然各類規模企業的支付意願普遍下降,但中型企業的降幅尤為顯著,同比減少43%。

部分受訪者對是否支付贖金表示猶豫:小型企業佔比7%,中大型企業分別為14%和21%,這可能反映出小型企業因利益相關方較少、潛在攻擊場景較單一,其應急規劃相對簡單。

過去12個月內,大型企業遭遇勒索軟件直接攻擊的比例是小型企業的兩倍(12%對比6%)。考慮到30%的大型企業受訪者表示"不清楚"或"不願透露",實際受影響企業的比例很可能遠高於12%。

最後,我們詢問受訪者是否認為應全面禁止支付贖金,以此作為遏制勒索軟件攻擊的手段。數據顯示,43%的受訪者認為這是對抗勒索軟件攻擊的有效方式——通過禁止受害者付款,攻擊數量有望減少,但這並不意味着攻擊者不會轉向其他以經濟利益驅動的網絡犯罪。科技公司對禁令的支持率最高(49%),其次是中型企業(47%)。29%的受訪者反對禁止贖金支付,不過尚不清楚他們持反對意見是因為認為禁令無效,還是更傾向於保留受害者支付贖金恢復數據的選項。金融機構對禁令的反對聲最為強烈(36%)。

本文是記錄該系列調研結果的報告之一。其他報告請查閲此處。調研方法詳見此處。

《WSJ專業研究》是助力企業高管決策的付費會員服務,通過提供及時深入的研究數據與新聞報道形成互補,協助解決關鍵商業問題。

作者介紹

羅伯·斯隆是《WSJ專業研究》的調研總監。他於2014年加入道瓊斯公司,在風險與合規產品團隊工作數年後轉入《華爾街日報》新聞部,組建並領導WSJ專業研究團隊。

在羅布目前的職位上,他管理着一個研究團隊,撰寫網絡安全相關文章,參與數據項目,並定期在《華爾街日報》專業活動上進行演講。此前,羅布曾在倫敦一家專業IT安全諮詢公司擔任響應總監,組建了一支專注於檢測、調查和防範網絡入侵以及事件響應的團隊。羅布的職業生涯始於為英國政府工作,研究針對國家關鍵基礎設施的一些最早由國家支持的網絡攻擊。

羅布的主要興趣領域包括董事會在監督和管理網絡風險中的作用、網絡安全通信、國家級攻擊者的需求以及幫助企業黑客受害者分享他們的經驗教訓。

聯繫羅布:[email protected]

相關論文