调查显示,支付勒索赎金的公司很少能取回数据
全球网络安全保险公司Hiscox表示,虽然企业可能认为支付赎金是应对网络攻击的有效解决方案,但事实却恰恰相反,根据这家保险公司发布的《2024年网络就绪情况年度报告》来看,实际上只有18%的企业成功恢复了所有数据。
该报告还显示,在支付赎金的企业中,十分之一的企业发现,尽管支付了赎金,其数据仍被泄露。Hiscox指出,企业经常向隐秘的勒索软件或勒索组织支付数十万美元,以保护客户数据的安全,但最终所支付赎金往往得不偿失。
在过去一年中,其他导致大型企业或小型企业选择向攻击者支付赎金的主要原因包括:保护企业声誉和恢复数据,因为他们没有备份。
这项针对八个国家2100多名网络安全专业人士的调查(仅美国和英国就有400多人参与)显示,在公开承认遭受网络攻击后,47%的企业因声誉受损而难以吸引新客户。另有64%的企业表示,在攻击发生后,它们失去了客户或业务合作伙伴。
Hiscox保险英国公司网络安全部门负责人Alana Muir表示:“黑客们正利用企业声誉进行勒索,而且任何企业都不应因其规模小而掉以轻心。”
调查显示,与网络威胁及其可能造成的声誉损害相比,人力成本就显得微不足道。考虑到近70%的美国公司报告称,从2023年到2024年,网络攻击有所增加,企业和企业领导层都在密切关注这一问题。
Hiscox保险指出,平均每家企业每年遭受60多起“网络事件”,相当于每周一起,这表明网络攻击“像每周的领导层电子邮件一样频繁”。对于大型企业而言,这一数字甚至更高,每年甚至会超过100起。
该保险公司表示,企业可以通过几种方式来加强安全防御。首先是提高员工的安全意识,以应对网络钓鱼攻击,调查显示,这类攻击仍占近60%;同时,企业还需要制定严格的员工政策,规范个人设备的使用,因为个人设备的使用和近40%的攻击事件有关。
Hiscox保险美国公司技术与网络安全部门负责人Mike Maletsky表示:“尽管网络钓鱼邮件几乎每天都在发生,我们对这种威胁也越来越熟悉,但威胁并没有停止的迹象。”
Maletsky说,反击的最佳途径是进行定期员工培训。“如果员工每年不接受有关最新网络风险的培训,随着技术不断发展,网络犯罪分子就会永远领先我们。”
调查显示,一个强有力的员工网络安全培训计划实际上可以将企业的受攻击率降低40%以上。
企业可以采取的第二步措施是淘汰老旧技术,因为这些技术占企业网络安全风险的近50%。
最后,企业需要不断备份数据,以确保在遭受勒索软件攻击时,能够迅速恢复数据,减少运营中断时间。
安永信息推出的基于TEE的数据库加密系统,可防止在被勒索的时候,不会导致数据库“拖库”,从而不会出现数据泄露,再配合完善的备份机制,则可有效防御勒索攻击。
