Menlo Security 的研究報告顯示：勒索軟體攻擊給資訊安全人員帶來損失，因為三分之一的組織每週都會遭受威脅攻擊

研究報告重點

– 對員工忽視安全建議和勒索軟體攻擊超出公司能力範圍的擔憂

– 關於是否支付勒索軟體要求的討論 –2/3的安全決策者同意他們會支付

根據Menlo Security 於八月發布的一份研究報告“2022 年影響：勒索軟體攻擊和準備”，勒索軟體攻擊沒有趨緩的跡象。最近的一項調查發現，1/3的組織每周至少遭受一次勒索軟體攻擊，其中1/10的組織每天遭受一次以上的攻擊。

這項研究在擁有 1,000 多名員工的美國和英國組織的 500 多名 IT 安全決策者中進行，強調了這對資訊安全人員自身工作狀況的影響。當被問及是什麼讓他們夜不能寐時，41% 的受訪者表示他們擔心勒索軟體攻擊會超出團隊的知識和技能範圍，而 39% 的受訪者擔心勒索軟體攻擊會超出公司的資訊安全防護能力。

然而，他們最大的擔憂是員工無視公司安全建議並點擊包含惡意軟體​​的連結或附件的風險 (46%)。與他們自己的工作保障相比，受訪者更擔心這一點，只有四分之一 (26%) 的受訪者擔心失去工作。

根據該報告，大約一半的組織（61% 的美國和 44% 的英國）在過去 18 個月中成為勒索軟體成功攻擊的受害者，客戶和潛在客戶最有可能成為攻擊的切入點。合作夥伴/供應商和員工/承包商也被視為嚴重的安全風險，儘管十分之一的人承認他們無法確定攻擊是如何進入的。排名前三的勒索軟體攻擊媒介是電子郵件（54%）、通過桌面瀏覽器或筆記本電腦 (49%) 和移動設備 (39%)。

Menlo Security 網路安全策略高級總監 Mark Guntrip 評論說：“隨著組織面臨前所未有的數量眾多的高度複雜的威脅，例如勒索軟體，資訊安全人員面臨越來越大的壓力。” “在網路防禦的前線，他們經常要應對巨大的壓力，擔心員工在做什麼、他們的團隊以及他們是否在內部得到了正確的支持，因此他們將業務優先於工作安全也就不足為奇了。事實上，CISO 的倦怠和高流失率已被廣泛報導。”

從勒索軟體攻擊中恢復的成本通常會被低估

該報告還表明，資訊安全人員從勒索軟體攻擊中恢復的認知成本和實際成本之間的差距越來越大。調查顯示，平均估計成本為 326,531.00 美元，保險支出平均高達 555,971.00 美元——儘管有相當一部分 (24%) 承認他們不知道他們的保險單的價值或是否有保險。然而，行業統計資料顯示，2021 年從勒索軟體攻擊中恢復的平均總成本為 140 萬美元。

勒索軟體要求——支付還是不支付？

關於是否支付勒索軟體要求也存在一些爭論。三分之一 (32%) 的決策者擔心支付勒索軟體要求而無法取回資料的風險。然而，近三分之二的受訪者會支付勒索軟體的要求。近三分之一 (31%) 的人表示由他們的保險公司來支付，近五分之一的人表示政府應該支付。超過四分之一 (27%) 的受訪者表示他們永遠不會支付勒索軟體的要求。

Mark Guntrip 補充說：“支付勒索軟體需求取決於您的準備程度——您是否擁有正確的流程和強大的備份？如果是這樣，您將無需支付。但是，如果您的組織無法正常運作、使用資料或資料損壞可能會導致業務中斷，那麼您就需要重新評估您的選擇。隨著組織採用新的工作方式和當今的高度規避自適應威脅 (HEAT)，現在是重新檢查您的資訊安全結構以確保在攻擊發生之前就能阻止攻擊的時候了。”