Sophos：製造業繳付最高平均勒索軟件贖金

網絡安全即服務供應商Sophos發佈最新行業調查報告《2022製造及生產業勒索軟件形勢分析》，揭示該行業平均須繳付的勒索軟件贖金為所有行業之中最高，其金額超過200萬美元(2,036,189美元)，遠高於所有行業的跨行業平均贖金兩倍(812,360 美元)。

製造業平均付勒索軟件贖金超200萬美元

此外，與去年的調查相比，66%來自製造及生產業受訪者表示網絡攻擊變得更為繁複，而61%則認為攻擊次數增加。與其他行業相比，製造及生產業所面對的攻擊複雜程度和數量較跨行業平均高出7%和4%。

Sophos資深安全顧問John Shier表示：「由於製造業在供應鏈中扮演重要角色，因而易於成為網絡犯罪分子的目標。由於製造業的數碼基礎設施較為落後，加上其營運科技(OT)環境欠缺透明度，令網絡攻擊者能輕易入侵系統，並針對已遭受破壞的網絡系統發動攻擊。此外，IT和OT間的融合將令攻擊範疇增加，令現有繁複的威脅環境惡化。」

Sophos資深安全顧問John Shier續指：「應對網絡威脅時，雖然可靠的數據備份對復原系統很重要，但面對現時的勒索軟件威脅，企業需要詳盡的應對策略，當中需包括由專業技術人員所支援的威脅捕獵能力。現時的網絡攻擊變得更複雜，許多企業都需要全面的防禦策略，他們可尋求受專業培訓的團隊作出支援，如：託管式偵測和回應解決方案(MDR)，以快速鎖定並消除活躍的網絡攻擊。」

雖然製造及生產業所繳付的平均勒索軟件贖金為跨行業最高，但需要支付贖金的企業比例僅為33%，是所有受訪行業中最低(跨行業平均為 46%)。

其他調查結果包括：

• 製造及生產業遭勒索軟件攻擊的比率為跨行業最低，其狀況與金融行業同樣，當中只有 55% 的受訪企業曾受勒索軟件攻擊。
• 然而，對比去年的調查報告，遭受勒索軟件攻擊的製造及生產企業數量增至52%(高於2021年的36%)。
• 另外，該行業遭受加密數據的比率亦是最低，為57% (跨行業的平均比率為 65%)。
• 只有75%的受訪企業表示已購買網絡保險—在所有行業中比率最低。

建議安裝高品質系統防禦方案

根據此次調查結果，Sophos專家為各行各業提出下列建議：

• 在所有系統上安裝高品質的系統防禦解決方案，並定期檢視其安全控制措施，以確保系統符合企業需求。
• 主動鎖定系統威脅，以預測及阻止攻擊者的行動。如果內部團隊缺乏時間或相關技能，則可聘請託管式偵測及回應 (MDR)技術專業團隊。
• 不時搜尋及消除重大的安全漏洞以強化IT環境，如：未經修補的裝置、未受保護的機器、開放的 RDP 連接埠等；採用擴展式偵測和回應 (XDR)解決方案為最理想。
• 企業應為最壞的情況做好準備，並針對無法預料的網絡攻擊事故更新制定計劃。
• 企業需進行數據備份並練習如何從中恢復數據，以便減少恢復所需時間，並將影響降至最低。