注意！20% 的恶意软件绕过了防病毒方案

根据SpyCloud的最新报告，大多数企业安全主管对利用恶意软件窃取身份验证数据的攻击表示担忧。有53%的受访者表示极度担忧，只有不到1%的人表示根本不担心。

虽然企业普遍关注SSO和云应用程序的被盗身份数据的可见性，但调查显示人员行为仍然困扰着IT安全团队。最容易被忽视的恶意软件人员入口点包括：

• 57%的企业允许员工在个人和公司设备之间同步浏览器数据，从而使攻击者能够通过受感染的个人设备窃取员工凭证和其他用户身份验证数据，同时保持不被发现。
• 54%的企业正与影子IT（员工未经批准使用应用程序和系统）作斗争，这不仅在可见性方面造成了差距，而且在基本安全控制和公司政策方面也造成了差距。
• 36%的企业允许不受管理的个人或共享设备访问业务应用程序和系统，这为缺乏严格安全措施的设备访问敏感数据和资源打开了大门，并极大削弱了安全团队的“可见性”。

上述看似无害的行为可能会无意中使企业遭受恶意软件和后续攻击，包括勒索软件攻击。根据研究，企业每次感染平均会暴露26个业务应用程序的访问权限。

快速检测漏洞并采取行动对于阻止和减少攻击损失至关重要。然而，调查显示，许多企业应对恶意软件感染的常规响应并不充分：27%的企业不会定期检查其应用程序日志是否有泄露迹象，36%的企业不会为可能暴露的应用程序重置密码，39%的企业在发现暴露迹象时没有终止会话cookie。

研究表明，攻击驻留时间一直在增长，攻击者有着更加充足的时间来操作恶意软件窃取数据。而安全团队的可见性有限会影响其平均发现时间(MTTD)和平均修复时间(MTTR)，从而增加业务风险并耗尽资源。

研究人员发现，2023年上半年，在所有恶意软件日志中，有20%成功执行的恶意软件突破了防病毒程序。这些防病毒解决方案不仅不能阻止攻击，而且还缺乏自动化能力来防御被盗数据的滥用。

报告最后指出：在这场可见性和全面响应的斗争中，安全团队需要实施更强大、以身份为中心的感染后补救方法，以阻止犯罪分子利用恶意软件渗透的数据进一步损害业务。