PC TECH 電腦技術

  • 增大字號
  • 缺省字號
  • 減小字號

Orange Cyber​​defense 發布年度資訊安全研究報告

E-mail 打印 PDF

 

Security Navigator 2023 報告顯示網絡勒索成主流趨勢:

四成屬惡意軟件    歐洲及其他地區、中小企、製造業和公共部門成目標

< 香港 >  – Orange Group 的網絡安全專業部門 Orange Cyber​​defense 發布其年度資訊安全研究報告《Security Navigator 2023》。值得注意的是,報告內的深入分析檢視了CyberSOC調查和分類的 99,506 宗潛在安全事件,比 2022 年的報告增加 5%。儘管今年的報告顯示事件增長速度正在放緩,情況稍為樂觀,但當中有數個情況引起全球關注。

今年的報告顯示,企業在部份領域的網絡戰爭獲取勝利,然而當中仍存在許多挑戰。

例如,報告的數據顯示企業仍然需要 215 天的時間來修補報告的漏洞。縱然是關鍵漏洞,企業普遍也需要 6 個月以上的時間才能完成修補。事實上,我們的道德黑客團隊進行的所有測試中,接近50% 的測試顯示問題「嚴重」(危急或高危)。

全球不同規模的企業都受到網絡勒索影響,報告發現網絡勒索受害者中有 82% 是小型企業,比去年的 78% 有所增加。

雖然團隊觀察到網犯罪案在烏克蘭戰爭爆發期間明顯放緩,但其頻率快再次上升。團隊亦留意到網絡勒索的數目顯著增加,例如在過去六個月,東亞和東南亞的網絡勒索受害者人數分別增長了 30% 和 33%。

網絡勒索仍然是主要的攻擊形式,然而受害者的位置顯然正從北美轉移到歐洲、亞洲和新興市場

勒索軟件和網絡勒索攻擊繼續成為全球組織的主要威脅,在今年Orange Cyber​​defense 的 World Watch 威脅公告中亦經常出現。由於 Lapsus$ 活動和 Conti 洩漏事件,加上對烏克蘭戰爭的擔憂,勒索軟件相關的新聞在 3 月和 4 月顯著增長。

同時,CyberSOC處理的安全事件中有 40% 牽涉惡意軟件。

報告亦顯示明顯的地域轉移,網絡勒索受害者數量在北美下降 8%,在加拿大亦下降32%,但在歐洲、亞洲和新興市場有所增加。從 2021 年到 2022 年,歐盟的受害者人數增加 18%、英國增加 21%、北歐增加 138%、東亞增加  44%、拉丁美洲增加  21%。

報告亦顯示活躍犯罪集團的形勢發生巨大變化。在 2021 年觀察到的首 20 名攻擊者中,有 14 名在 2022 年不再擠身前 20 名內。Conti 在 2022 年第二季解散後, Lockbit2 和 Lockbit3 成為 2022 年最大的網絡勒索攻擊者,受害者總數超出900 人。

報告亦指出,攻擊者不放過每個攻擊機會。例如,我們追踪的所有攻擊者中,幾乎 90% 都聲稱在美國作出攻擊,但是事實上,超過 50% 攻擊英國,甚至超過 20%攻擊日本—數據顯示,日本的受害者人數最少的國家之一。

烏克蘭戰爭的影響

值得注意的是,烏克蘭戰爭展開的首數週,針對波蘭客戶的網絡犯罪活動減少 50%,顯然是因為犯罪分子被戰爭分散了注意力,並需要重新組織,然而,他們在數週後的活動恢復正常。

中小企業、製造業和公共部門易受攻擊

中小企業

報告顯示,受網絡勒索攻擊的小型企業比中型及大型企業相比多 4.5 倍。然而,從比例上看,大型企業受到的影響更嚴重。

今年的數據亦充份反映中小型企業特別需要處理惡意軟件事件,在已確認安全事件中,中小型企業佔 49%(相比之下,2019 年為 10%,2020 年為 24%,2021 年為 35%)。對於員工人數少於 500 人的企業[ii],平均數據洩露成本估計達 190 萬美元 (約1,480萬港元),足以有機會令中小企業面臨倒閉的風險。

公共機構

在標準化的基礎上,CyberSOC處理的安全事件中公共機構排第五位,亦是錄得最多社會工程安全事件相關的行業。

對於大部份行業,團隊監測到的大多數事件都是起源至企業內部,然而醫療保健領域的客戶的數字驚人, 76% 的安全事件歸因於外部攻擊者,例如犯罪黑客和 APTs(國家支援的攻擊者團體)。

就受害者人數而言,製造業仍然是最受影響的行業

就網絡勒索受害者數量而言,製造業仍然是第一大行業,儘管報告顯示在最願意支付贖金的行業中它僅排第五位。報告更指出,犯罪分子正在破壞「常規」IT 系統,而不是更專業的營運技術,並將導致大量受害者的原因主要歸究於 IT 漏洞管理不善。報告確實指出該行業的企業平均需要 232 天來修補漏洞,在相同指標上,只有四個行業的排名低於製造業。

嚴重漏洞持續存在,延遲修補將威脅安全

研究人員利用全新的漏洞洞察數據集,發現IT業務系統中存在持續的嚴重漏洞,其中 47% 的已確認漏洞被確定為「危急」或「高危」嚴重性。針對關鍵漏洞,組織仍然需要逾半年(184 天)才能修補,其他漏洞更有機會持續更長時間,數據亦顯示許多漏洞,縱然是關鍵漏洞,也永遠不會被修補。

製造業的 IT 漏洞平均需要 235 天才能修復,而所有其他行業平均需要 215 天。在醫院(在醫療保健和社會援助部門下),修復 IT 漏洞平均需要 491 天。在交通部門,平均需要 473 天。

Orange的道德黑客平均需要 7.7 天發現已確認的「嚴重」(危急或高危)安全事件。

人才困境—大部份行業的內部威脅事件數量超過外部攻擊,然而網絡安全空缺卻無人填補

企業的員工仍然處於公司的防禦前線,但是同時亦有機會是最易受攻擊的一環。例如報告顯示:

關於公共行政部門,團隊處理的大部份事件都歸因於內部,無論是故意還是意外。

在製造業客戶中,58% 已處理事件起源自內部。在「運輸和存倉」行業客戶,比例更高—64% 的事件起源於內部。

此外,報告列舉出更高級別的安全監控如何提高控制的有效性,但同時會產生更多誤報,並可能為安全專業人員帶來更多壓力。僅在歐洲、中東和非洲地區[iii],已有300,000 多個網絡安全職位空缺,是不少行業正面對的困難。

移動安全:iOS vs Android

《Security Navigator 2023》報告首次包含團隊在2021年9月至2022年9月期間,使用的500 萬個移動裝置的修補資訊內的專有數據。第三方研究指出,2021年間iOS和Android都處理了一部分漏洞,Android報告了547個漏洞,iOS報告了357個漏洞。79%的Android漏洞被認為具有較低的攻擊複雜性(即對攻擊者而言微不足道),而iOS只有24%。45個iOS漏洞獲得評級為嚴重的CVSS分數,相比之下,Android[iv]只有18個。

Navigator報告研究了蘋果與Android中的嚴重漏洞,以確定其生態系統需要多長時間才能啟動所需修補程式。在一個iOS的案例,我們發現90%的蘋果生態系統需要224天才能升級到已修補版本,而在Android和iOS兩個系統,均有大約10%的用戶永遠不會得到適當的修補。

報告顯示,基於iPhone生態系統的性質較相同,當安全問題首次被披露時,iPhone用戶中會有更高比例的人面臨受攻擊的風險,然而用戶很快便會遷移到新版本,70%用戶在新版本發佈後51天即完成更新。相比以下,Android生態系統更加分散,意味著設備往往容易受到更多舊有漏洞的攻擊,而較少受到新漏洞的攻擊。

Orange Cyberdefense行政總裁Hugues Foulon表示 :「在過去幾過月,大環境發生很多事件,網絡安全生態圈正因此更加警惕和團結。網絡攻擊已成為世界關注議題,烏克蘭戰爭亦給予我們一個重要提示—數碼世界已成為一個虛擬戰場。」

Hugues Foulon續說:「令人鼓舞的是在我們最成熟的客戶中,安全事件數量整體下降(與前一年的上升13%相比,今年只增加了5%),顯示我們有能力戰勝惡意攻擊者。然而,我們不能因為這些成功而放慢打擊網絡罪犯的步伐。今年的報告顯示不同規模企業均面臨挑戰,威脅正在不斷演變,愈漸複雜且從四方八面而來,更加凸顯我們的工作的重要性,我們將繼續在這場鬥爭支援客戶,助他們處理威脅。」

《Security Navigator 2023》報告內容包括:

100%來自全球2,700位專家、Orange Cyberdefense的17個 SOCs、13個CyberSOCs和在8個地點的電腦緊急應變小組(CERT)的一手分析資訊

28頁的CyberSOC數據

網絡戰形勢和烏克蘭危機對網絡的影響的詳細分析

運用漏洞營運中心(VOC)與滲透測試服務的全新數據集,分析影響不同行業的漏洞範圍和特徵

影響製造業的威脅和漏洞的重點調查

有關移動安全威脅和漏洞的全新數據























( 內容由有關方面代表提供, 經編輯後刊登 )