组织缺乏基本的网络安全实践来应对不断增长的勒索软件浪潮

由于在实施和维持基本网络安全实践方面存在缺陷,包括管理特权管理员凭据和确保对勒索软件的可见性,组织没有能力抵御勒索软件。 供应链风险,Axio 研究报告显示。

组织的基本网络安全实践

“勒索软件无处不在,占据头条新闻、公司董事会会议甚至拜登政府的议程,”该报告的合著者评论道 大卫怀特, Axio 总裁。

“随着高能见度攻击的不断发生,公司比以往任何时候都更需要勒索软件准备措施,以防止网络灾难。正如我们从广为人知的 太阳风 攻击——这提高了对使用常规软件更新来提供勒索软件的集体意识——攻击的演变可能包括勒索软件即服务,针对关键基础设施网络,在那里它们可能造成最大的破坏和经济损失。”

基本网络安全实践不足的七个关键领域

该报告确定了几种新兴模式,可以深入了解为什么组织越来越容易受到勒索软件攻击。数据指出了组织在实施和维持基本网络安全实践方面存在不足的七个关键领域:

  • 特权访问管理
  • 基本的网络卫生
  • 暴露于供应链风险
  • 网络监控
  • 事件管理
  • 漏洞管理
  • 培训和意识

大多数组织没有准备好应对勒索软件攻击风险

总体而言,大多数接受调查的组织都没有做好充分准备来管理与勒索软件攻击相关的风险。主要数据发现包括:

  • 近 80% 的组织回应称,他们尚未实施或仅部分实施了特权访问管理解决方案。
  • 只有 36% 的受访者表示他们会定期审核服务帐户(一种特权帐户)的使用情况。
  • 只有 26% 的受访者否认默认使用命令行脚本工具(如 PowerShell)。
  • 69% 的组织表示他们不限制其 Windows 域控制器主机对 Internet 的访问。
  • 只有 29% 的受访者在允许外部方访问组织网络之前评估他们的网络安全状况。
  • 只有 50% 的受访者进行 用户意识培训 每年为员工提供电子邮件和基于网络的威胁,例如鱼叉式网络钓鱼和水坑攻击。

“随着勒索软件技术不断变得更加复杂和容易获得,对组织的威胁,无论其规模或行业如何,都在增加,”表示 斯科特·坎瑞, 首席执行官 公理.

“公司需要通过评估和识别其网络安全态势中的差距,对勒索软件采取积极主动的方法。我们的研究清楚地表明,通过重新致力于改善基本的网络卫生,可以直接实现勒索软件防御的一些改进。”




分享这个