報告發現,盡管像美國聯邦調查局和信息系統審計與控制協會(ISACA)這樣的政府部門反對支付贖金,但許多企業決定承擔支付贖金的成本,平均金額為925162美元,而不是承受進一步的運營中斷和數據丟失的損失。
ExtraHop公司高級技術經理Jamie Moles表示,遭到勒索軟件攻擊的企業之所以支付贖金,是因為他們認為這是恢復業務最快、最簡單的途徑。
Moles表示,與此同時,許多網絡攻擊團伙主要采用的雙重勒索手段包括在加密數據之前竊取數據,并威脅受害方支付贖金,否則將其數據發布在互聯網上,從而給他們施加了額外的壓力,迫使他們支付贖金。
網絡安全債務的成本
在肯德基公司、塔可鐘、必勝客母公司百勝集團遭遇勒索軟件攻擊之后,Brands公司宣布遭遇了勒索軟件攻擊事件。
ExtraHop公司發布這份調查報告的一個基本主題是,企業未能解決由未打補丁的軟件、未管理的設備和影子IT造成的漏洞,從而讓勒索軟件攻擊者利用了他們的數據。例如,77%的IT決策者認為,過時的網絡安全實踐導致出現了一半以上的安全事件。
隨著時間的推移,這些未修補的漏洞會成倍增加,使網絡威脅行為者有更多潛在的切入點可以利用,并有更大的影響力迫使企業支付贖金。
ExtraHop公司首席風險、安全和信息安全官Mark Bowling表示:“勒索軟件攻擊的概率與未被削弱的網絡攻擊面成反比,這是網絡安全債務的一個例子。這種優先級降低導致的責任,以及最終的經濟損失,加劇了網絡安全債務,使企業面臨更多風險。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號