有多少比例的CISO表示会考虑支付赎金？

根据Absolute Security的报告，58%的首席信息安全官表示会考虑支付赎金以终止攻击。运营停机被列为这一意愿背后的主要驱动因素。

根据报告，勒索软件攻击最常见的起源点是什么？

报告发现，57%的勒索软件攻击源自远程或混合办公端点设备。这使远程端点成为企业勒索软件事件中的主导攻击模式。

攻击者通常如何利用已入侵的远程端点？

一旦某个远程设备遭到入侵，攻击者便将其作为立足点，在网络中横向移动，提升权限并部署勒索软件载荷。这一过程通常发生在大多数组织能够检测到入侵之前。

勒索软件攻击活动中最常被利用的初始访问向量是哪些？

远程桌面协议（RDP）和VPN凭据仍是勒索软件攻击活动中最常被利用的初始访问向量。远程端点设备通常是这些攻击中最先遭到入侵的节点。

文章为何认为CISO愿意支付赎金是一个运营问题而非道德问题？

文章认为，当CISO表示会支付赎金时，他们是在承认自身的恢复能力可能不足以消化重大攻击之后的停机影响。这将该问题重新定义为备战能力问题，而非单纯的道德或法律问题。

58%的CISO愿意支付赎金，远程端点成为攻击主要驱动因素

Absolute Security的一份新报告对安全专业人员多年来一直关注的问题给出了精确的数字：对于分布式劳动力而言，勒索软件远程端点VPN保护已不再是可选项。根据该研究，58%的首席信息安全官表示会考虑支付赎金以终止攻击，运营停机被列为主要驱动因素。更值得关注的是，57%的受访企业报告称勒索软件攻击源自远程或混合办公端点设备。这两个数字共同清晰地呈现出企业安全在哪里失守，以及失守时所付出的代价。

远程和混合办公端点如何成为勒索软件最钟爱的入口

向分布式办公的转变创造了一个庞大的攻击面，许多组织从未完整地进行过梳理，更谈不上加以保护。远程端点——无论是员工从家庭网络连接的笔记本电脑、使用公共Wi-Fi的承包商设备，还是在办公室与远程环境之间切换的混合办公人员设备——往往处于企业安全团队直接可见范围之外。这些设备可能运行过时的软件、使用弱身份验证，或通过配置不当的隧道连接企业系统。

攻击者已经注意到了这一点。远程桌面协议（RDP）和VPN凭据仍是勒索软件攻击活动中最常被利用的初始访问向量，而端点设备往往是第一块倒下的多米诺骨牌。一旦某个远程设备遭到入侵，攻击者便将其作为立足点，在网络中横向移动，提升权限并部署勒索软件载荷，而大多数组织往往在此之前无法检测到入侵。Absolute Security的调查结果显示，57%的攻击可追溯至远程或混合办公端点，这证实了这并非边缘风险，而是主导性的攻击模式。

这一模式的影响远超单个组织。ChipSoft勒索软件攻击导致荷兰患者数据泄露的事件说明了当攻击者成功从端点渗透至存储大规模敏感记录的系统时会发生什么。随着医疗、金融和关键基础设施领域的劳动力日趋分散，这些行业面临的风险也在不断叠加。

为何58%的CISO愿意支付赎金，这对备战能力意味着什么

支付赎金的意愿通常被框定为道德或法律问题，但Absolute Security的数据将其重新定义为运营问题。当58%的CISO表示会考虑支付赎金时，他们并非在为犯罪行为背书，而是在承认：他们的恢复能力可能不足以在不承受重大财务和声誉损失的情况下，消化一次重大攻击所带来的停机影响。

这是一个备战能力问题。拥有经过充分测试的备份与恢复基础设施、并结合完善事件响应计划的组织，面临"支付赎金似乎是唯一选择"这一困境的可能性要小得多。超过半数受访安全领导者会考虑支付赎金，这表明许多企业仍然准备不足，尤其是当攻击源自传统安全边界之外的端点时。

这也反映出停机代价变得多么高昂。供应链、面向客户的服务以及内部运营都依赖于对系统和数据的持续访问。当勒索软件锁定这些系统时，每一小时的恢复时间都有可量化的货币价值。正是这种算计——而非道德层面的灵活性——驱动着赎金支付决策。正如FBI局长本人的电子邮件被入侵事件所揭示的，没有任何组织或个人能够从根本上免于定向攻击。

VPN基础设施如何降低攻击面和横向移动风险

一个实施得当的VPN并非万能良药，但它是一个基础防护层——在正确配置的情况下，能够显著降低远程端点所带来的暴露风险。加密隧道可防止在不安全网络上发生凭据拦截。通过VPN策略强制执行的网络分段限制了攻击者进入后的横向移动范围。集中式身份验证要求则意味着被入侵的设备不太可能在网络中悄无声息地穿行而不被发现。

关键词是"正确配置"。依赖单因素身份验证、授予广泛网络访问权限而非细粒度权限、或长期未打补丁的VPN配置，本身可能成为攻击向量。在VPN层应用最小权限原则，意味着被入侵的端点只能访问其所需的特定资源，而非整个企业网络。将VPN访问与多因素身份验证以及连接前的端点健康检查相结合，能够构建一道有意义的屏障，减缓攻击者的推进速度，为防御者争取响应时间。

对于混合办公劳动力而言，在所有设备类型上（包括用于工作的个人设备）一致执行VPN策略尤为重要。Absolute Security报告所描述的攻击面，在一定程度上既是技术层面的问题，也是策略执行层面的差距。

分布式团队现在可以采取哪些措施来加固端点

Absolute Security的调查结果既是行动的催化剂，也值得深思。拥有分布式劳动力的组织可以采取具体措施，降低远程端点所代表的风险。

审计您的端点资产清单。 看不见的东西就无法保护。对所有连接到企业系统的设备（包括承包商和个人设备）建立完整、最新的清单，是任何端点安全策略的起点。

在所有VPN连接上强制执行MFA。 这一单一控制措施可消除大量基于凭据的攻击。仅凭密码本身不应足以获得远程访问权限。

按角色分段网络访问。 不要向远程用户授予广泛的网络访问权限，而应配置VPN策略，使每个用户或设备类别只能访问与其职能相关的系统。这可以在设备遭到入侵时限制横向移动。

持续为端点和VPN基础设施打补丁。 许多引发广泛关注的勒索软件入侵事件，利用的都是已有补丁的已知漏洞。自动化补丁管理消除了攻击者所依赖的人为延迟。

测试您的恢复计划。 如果勒索软件今天攻击了您最关键的系统，恢复需要多长时间？定期进行桌面演练和备份恢复测试，是如实回答这一问题并在问题变得关键之前弥补差距的唯一方式。

Absolute Security报告是衡量当前企业安全在勒索软件应对准备方面所处位置的有用基准。这些数字令人警醒：大多数攻击起源于远程端点，且大多数安全领导者认为支付赎金可能在所难免。但这些数字也直接指向了需要改变的方向。端点可见性、强制执行的VPN策略以及经过测试的恢复能力，并非高深莫测的控制手段，而是每个分布式组织都应能够验证的基线。评估您当前的配置是否真正达到这一标准，才是正确的起点。