云計算網絡檢測和響應提供商ExtraHop公司日前發(fā)布了《2023年全球網絡信心指數報告》。該公司在報告中指出，從2021年到2022年，勒索軟件攻擊的平均次數不僅從4次增加到5次，而且83%的受害方至少支付了一次贖金。

報告發(fā)現，盡管像美國聯邦調查局和信息系統(tǒng)審計與控制協會(ISACA)這樣的政府部門反對支付贖金，但許多企業(yè)決定承擔支付贖金的成本，平均金額為925162美元，而不是承受進一步的運營中斷和數據丟失的損失。

ExtraHop公司高級技術經理Jamie Moles表示，遭到勒索軟件攻擊的企業(yè)之所以支付贖金，是因為他們認為這是恢復業(yè)務最快、最簡單的途徑。

Moles表示，與此同時，許多網絡攻擊團伙主要采用的雙重勒索手段包括在加密數據之前竊取數據，并威脅受害方支付贖金，否則將其數據發(fā)布在互聯網上，從而給他們施加了額外的壓力，迫使他們支付贖金。

網絡安全債務的成本

在肯德基公司、塔可鐘、必勝客母公司百勝集團遭遇勒索軟件攻擊之后，Brands公司宣布遭遇了勒索軟件攻擊事件。

ExtraHop公司發(fā)布這份調查報告的一個基本主題是，企業(yè)未能解決由未打補丁的軟件、未管理的設備和影子IT造成的漏洞，從而讓勒索軟件攻擊者利用了他們的數據。例如，77%的IT決策者認為，過時的網絡安全實踐導致出現了一半以上的安全事件。

隨著時間的推移，這些未修補的漏洞會成倍增加，使網絡威脅行為者有更多潛在的切入點可以利用，并有更大的影響力迫使企業(yè)支付贖金。

ExtraHop公司首席風險、安全和信息安全官Mark Bowling表示:“勒索軟件攻擊的概率與未被削弱的網絡攻擊面成反比，這是網絡安全債務的一個例子。這種優(yōu)先級降低導致的責任，以及最終的經濟損失，加劇了網絡安全債務，使企業(yè)面臨更多風險。”