公司的网络安全优先事项应该包括增强它们的检测和响应能力。
黑客以IT和实体供应链为目标
安联保险集团在一份新的报告中警告称,在经历了两年的高但稳定的损失活动之后,随着网络威胁格局的继续演变,2023年勒索软件攻击正卷土重来。
黑客越来越多地将目标对准IT和实体供应链,发动大规模网络攻击,并寻找新的方法向大大小小的公司勒索钱财。现在,大多数勒索软件攻击都涉及以勒索为目的窃取个人或敏感商业数据,增加了事件的成本和复杂性,并带来了更大的声誉损害可能性。
安联保险集团对大型网络损失的分析显示,数据被泄露的案例数量每年都在增加-从2019年的40%翻了一番,2022年达到近80%,2023年明显更高。
安联保险集团网络业务全球主管Scott Sayce表示:“随着勒索软件集团继续改进其策略,网络索赔频率今年再次回升。根据2023年上半年的索赔活动,我们预计到年底,索赔数量每年将增加约25%。攻击者回来了,他们再次聚焦于西方经济体,拥有更强大的工具、改进的流程和攻击机制。鉴于这种动态,需要一家受到良好保护的公司来抵御威胁,其中最重要的因素越来越多地是发展强大的检测和快速反应能力。”
2022年的网络索赔数据表明风险管理有所改善
根据安联保险集团的报告,在黑客攻击之前、期间和之后,网络索赔的频率在2022年稳定下来,反映出投保公司的网络安全和风险管理行动的改善。
针对勒索软件团伙的执法机构,以及乌克兰和俄罗斯的冲突,也被认为有助于遏制勒索软件活动。然而,仅勒索软件活动在2023年上半年就同比增长了50%。
所谓的勒索软件即服务(RaaS)套件,其起价低至40美元,仍然是攻击频率提高的关键驱动因素。勒索软件团伙也在以更快的速度实施更多的攻击,执行一次攻击的平均天数从2019年的60天左右下降到4天。
安联保险集团网络索赔业务全球主管Michael Daum表示:“双重勒索和三重勒索事件——使用加密、数据外泄和DDoS相结合——以获取钱财并不是什么新鲜事,但它们现在更加普遍。几个因素结合在一起,使数据外泄对威胁参与者更具吸引力。收集个人信息的范围和数量正在增加,隐私和数据泄露法规在全球范围内正在收紧。与此同时,外包和远程访问的趋势导致了更多的接口可供威胁行为者利用。”
数据外泄可能会显著增加损失或网络索赔的成本,此类事件可能需要更长时间才能处理,而法律和IT取证可能非常昂贵。如果数据被盗,公司必须确切知道哪些数据被泄露,并可能不得不通知客户,客户可能会寻求赔偿或威胁提起诉讼。
今年还发生了几起大规模勒索软件攻击,威胁参与者利用软件中的漏洞和IT供应链中的弱点来攻击多家公司。例如,MOVEit大规模网络攻击利用了一种数据传输软件产品,影响了数百万个人和数千家公司,导致2023年迄今索赔频率上升,同时影响到多个投保人。
Daum说:“未来可能会发生更多大规模网络攻击。”公司及其保险公司需要更好地了解企业之间和数字供应链内存在的互联互通和依赖关系。
越来越多的网络攻击事件
在过去,成为公众所知的网络事件的数量很少。今天,情况不同了,因为数据外泄,黑客威胁要在网上公布被盗数据。安联保险集团对大型网络损失的分析显示,数据被泄露的事件公之于众的比例从2019年的60%左右增加到2022年的85%,2023年将更高。
安联保险集团咨询公司网络风险咨询全球主管Rishi Baviskar表示:“如今,如果数据外泄,它很可能会被在网络上公开,每家公司都需要为此做好准备。”
由于可能造成代价高昂的财务和声誉后果,企业可能会感受到更大的压力,要求它们在数据被盗的情况下支付赎金。支付赎金的公司数量同比增加-从2019年的仅10%增加到2022年的54%。如果数据被泄露,公司支付赎金的可能性是加密的2.5倍。
然而,为被泄露的数据支付赎金并不一定能解决问题,该公司仍可能因数据泄露而面临第三方诉讼,尤其是在美国。事实上,在很少情况下,一家公司应该相信,除了支付赎金之外,没有其他解决方案,以便能够重新访问其系统或数据,受影响的任何一方应始终通知当局并与当局合作。
保护企业免受入侵仍然是一场猫捉老鼠的游戏,在这场游戏中,网络犯罪分子占据了优势。安联保险集团对过去五年3000多起网络索赔进行的分析显示,在所有事件中,80%以上是外部操纵系统的原因。
威胁参与者利用AI,以实现更快、自动化的攻击
威胁参与者现在正在探索使用AI来自动化和加速攻击的方法,创建更有效的AI支持的恶意软件、网络钓鱼和语音模拟。再加上联网移动设备的爆炸性增长——因网络安全措施不力而引发的事件越来越多——攻击途径看起来只会增加。
因此,防止网络攻击变得更加困难,风险也更大。因此,及早发现和应对的能力和工具变得越来越重要,大约90%的事件是在早期得到控制的。然而,如果不在早期阶段阻止攻击,防止它成为更严重和代价更高的事情的可能性大大降低。
Baviskar说:“传统的网络安全侧重于预防,目的是阻止攻击者进入网络。”虽然在预防方面的投资减少了成功的网络攻击数量,但总会有一个‘缺口’,使攻击能够通过,例如,不可能阻止所有员工点击日益复杂的钓鱼邮件。
企业应该将额外的网络安全支出引导到检测和响应上,而不仅仅是在保护和预防上增加更多的层次。只有三分之一的公司通过自己的安全团队发现数据泄露,然而,早期检测技术是现成的和有效的。
检测系统正在不断改进,可以节省大量痛苦,缩短检测和反应时间,这是我们在网络风险评估和承保中寻找的东西。
报告强调,没有及早发现和遏制的网络入侵的代价可能是早期发现和遏制的1000倍,安联保险集团的分析表明,及早发现和应对可以阻止2万欧元的损失变成2000万欧元的损失。
Daum说:“预防决定了攻击的频率,而响应决定了损失的重大程度——无论是轻微的IT事件还是企业危机。我们相信,公司可以做有意义的准备,在应对这些攻击者威胁的方式上还有改进的空间。归根结底,早期发现和反应能力将是减轻网络攻击影响和确保未来可持续网络保险市场的关键。”
