《华尔街日报》专业研究调查:关于勒索软件与威胁的认知 - WSJ

Rob Sloan, Research Director, WSJ Pro Research

作者:罗伯·斯隆,WSJ专业研究部研究总监 2022年11月29日上午9:30更新 ET|WSJ专业版### 关键要点:

  • WSJ专业研究最新网络安全调查数据显示了最令人担忧的威胁及企业应对勒索软件攻击的方式。
  • 大型企业感知到的威胁程度高于中型和小型企业。
  • 与2021年相比,企业支付赎金的意愿持续降低,延续了先前发现的下降趋势。
  • 7%的受访者表示其组织在过去12个月内直接遭受过勒索软件攻击。
  • 略低于半数的受访者认为禁止勒索软件受害者支付赎金将减少攻击数量。

背景:

企业对威胁的认知至关重要,因为这会影响其在防护技术、缓解措施和事件响应上的投入。若企业认为自身不太可能遭受某类攻击,其为该场景做准备的意愿就会降低。我们也知道,媒体报道的攻击事件和个人经历会极大影响这类认知。

调查结果:

并非所有企业对威胁的感知都相同。我们要求每位受访者评估其组织遭受特定威胁方攻击的可能性,发现大型企业始终比中小型企业感知到更高威胁。尽管由于持有数据的敏感性,大型企业确实更常成为国家行为体的攻击目标,但所有企业无论规模大小都应预期会遭到犯罪分子的攻击。

调查数据显示,部分企业可能低估了这一威胁。尤其是小型企业更倾向于忽视内部威胁:42%的受访者认为其组织"不太可能"成为内部人员攻击目标,这种认知可能导致它们暴露在中大型企业已采取防范措施的风险之中。虽然具体原因尚不明确,但缺乏风险评估以及对员工过度信任可能是部分原因。

在遭遇勒索软件攻击时,企业支付赎金以恢复数据的意愿显著降低。19%的受访者表示会考虑支付赎金,较2021年的35%和2020年的43%持续下降。而表示"完全不可能"支付赎金的比例达到40%,较去年的30%有所上升。

尽管无法确定态度转变的具体原因,但趋势显而易见。虽然各类规模企业的支付意愿普遍下降,但中型企业的降幅尤为显著,同比减少43%。

部分受访者对是否支付赎金表示犹豫:小型企业占比7%,中大型企业分别为14%和21%,这可能反映出小型企业因利益相关方较少、潜在攻击场景较单一,其应急规划相对简单。

过去12个月内,大型企业遭遇勒索软件直接攻击的比例是小型企业的两倍(12%对比6%)。考虑到30%的大型企业受访者表示"不清楚"或"不愿透露",实际受影响企业的比例很可能远高于12%。

最后,我们询问受访者是否认为应全面禁止支付赎金,以此作为遏制勒索软件攻击的手段。数据显示,43%的受访者认为这是对抗勒索软件攻击的有效方式——通过禁止受害者付款,攻击数量有望减少,但这并不意味着攻击者不会转向其他以经济利益驱动的网络犯罪。科技公司对禁令的支持率最高(49%),其次是中型企业(47%)。29%的受访者反对禁止赎金支付,不过尚不清楚他们持反对意见是因为认为禁令无效,还是更倾向于保留受害者支付赎金恢复数据的选项。金融机构对禁令的反对声最为强烈(36%)。

本文是记录该系列调研结果的报告之一。其他报告请查阅此处。调研方法详见此处。

《WSJ专业研究》是助力企业高管决策的付费会员服务,通过提供及时深入的研究数据与新闻报道形成互补,协助解决关键商业问题。

作者介绍

罗伯·斯隆是《WSJ专业研究》的调研总监。他于2014年加入道琼斯公司,在风险与合规产品团队工作数年后转入《华尔街日报》新闻部,组建并领导WSJ专业研究团队。

在罗布目前的职位上,他管理着一个研究团队,撰写网络安全相关文章,参与数据项目,并定期在《华尔街日报》专业活动上进行演讲。此前,罗布曾在伦敦一家专业IT安全咨询公司担任响应总监,组建了一支专注于检测、调查和防范网络入侵以及事件响应的团队。罗布的职业生涯始于为英国政府工作,研究针对国家关键基础设施的一些最早由国家支持的网络攻击。

罗布的主要兴趣领域包括董事会在监督和管理网络风险中的作用、网络安全通信、国家级攻击者的需求以及帮助企业黑客受害者分享他们的经验教训。

联系罗布:[email protected]

相关论文