如同正規(guī)商業(yè)經(jīng)營一樣�����,黑客也需要衡量運營成本和投資回報����。令人唏噓的是,近期德勤發(fā)布的一份新報告發(fā)現(xiàn)網(wǎng)絡(luò)犯罪的成本非常低�。
公司消耗大量資金來保護他們的網(wǎng)絡(luò)和資產(chǎn)免受威脅?���?ò退够鶎嶒炇野l(fā)現(xiàn),企業(yè)內(nèi)的安全預(yù)算平均每年約為900萬美元(約6千萬元)�。最重要的是,數(shù)據(jù)泄露會使公司損失數(shù)百萬美元���。然而����,令人難以置信的是低價、便于使用的現(xiàn)成黑客工具使網(wǎng)絡(luò)攻擊的入門門檻變得越來越低�。
網(wǎng)絡(luò)攻擊比網(wǎng)絡(luò)安全便宜
攻擊和防御的資金消耗是十分不對等的。黑客足以負(fù)擔(dān)得起攻擊消耗��,但是企業(yè)或個人受害者的防御成本卻要高得多�。
TOP10 VPN估算每個人的整體數(shù)字身份成本,其中包含亞馬遜�、優(yōu)步、Spotify��、Gmail���、Paypal�、Twitter甚至GrubHub和match.com等主流網(wǎng)站�����。如果不法分子想要所有信息�����,甚至花費不到1000美元即可獲得����。除了PayPal等在線購物或金融賬戶以外,其他所有數(shù)據(jù)價值都不到100美元��。
Armor的黑市報告發(fā)現(xiàn)個人身份信息(PII)雖然價格昂貴����,但在暗網(wǎng)上的每條記錄仍不到200美元。Visa和Mastercard信用卡信息每條記錄10美元����,甚至整個賬戶的銀行信息也只值1000美元,即使所述賬戶最高可達15,000美元����。在大多數(shù)情況下,舊數(shù)據(jù)只是免費附贈����。這與對被盜數(shù)據(jù)公司的處罰形成鮮明對比。根據(jù)IBM最新的數(shù)據(jù)違規(guī)成本報告���,每個記錄損失的企業(yè)平均成本為233美元��,在監(jiān)管嚴(yán)格的行業(yè)中可能要高得多��。
Top10 VPN的黑客工具價格指數(shù)發(fā)現(xiàn)惡意軟件只需45美元�����,而有關(guān)如何構(gòu)建攻擊的教程只需5美元���。其中少數(shù)情況時犯罪分子將被要求為任何單個組件支付超過1,000美元�����,用于零日攻擊或用于攔截呼叫數(shù)據(jù)的模擬器花費將超過28,000美元�。
但是���,購買單個惡意軟件甚至是完整的網(wǎng)絡(luò)釣魚工具包還不足以發(fā)動攻擊:攻擊需要托管�、分發(fā)渠道�����、混淆惡意軟件��、帳戶檢查等等����。在一份新黑市生態(tài)系統(tǒng)的報告中這樣寫道:他們需要估算“Pwnership”的成本,Deloitte不僅僅列出了零碎的成本����,還要計算了運營的總成本���。從惡意軟件和鍵盤記錄器到域名托管��、代理��、VPN��、電子郵件分發(fā)�、代碼混淆等,不法分子才能發(fā)起針對企業(yè)的完整攻擊���。
這種類型的大規(guī)模攻擊行為背后的組織需要提供多層級服務(wù)����。對于完成銀行特洛伊木馬類型的攻擊行為�,需要至少使用五到六個服務(wù)。
網(wǎng)絡(luò)攻擊的成本是多少?
該報告還發(fā)現(xiàn)暗網(wǎng)充斥著各種隨時可用的服務(wù)����,以滿足黑客的個性化需求。需要一臺受感染的服務(wù)器才能啟動鍵盤記錄式網(wǎng)絡(luò)釣魚攻擊?想要運行遠(yuǎn)程訪問木馬活動?答案是:一切都很簡單��。
以下案例可供參考:
一項全面的網(wǎng)絡(luò)釣魚活動,包括托管�����、網(wǎng)絡(luò)釣魚套件:平均每月500美元����,每月價格為30美元;
信息竊取/鍵盤記錄活動(惡意軟件、托管和分發(fā)):平均723美元���,價格低至183美元;
勒索軟件和遠(yuǎn)程訪問特洛伊木馬攻擊:廣告系列平均為1,000美元;
銀行特洛伊木馬活動:初期支出約為1,400美元�����,但可能高達3,500美元���。
網(wǎng)絡(luò)犯罪門檻越來越低
報告中估計,即使是每月僅花費34美元的低端網(wǎng)絡(luò)攻擊也可以賺回25,000美元�,而花費數(shù)千美元的更昂貴、復(fù)雜的攻擊每月可以賺多達100萬美元���。與此同時���,IBM估計數(shù)據(jù)泄露企業(yè)的平均成本為386萬美元����。
進入成本低����、易部署和高回報意味著潛在的威脅參與者越來越不受技術(shù)水平的限制。德勤網(wǎng)絡(luò)風(fēng)險服務(wù)公司的負(fù)責(zé)人表示:將三年前的進入壁壘同現(xiàn)在相比�,十分專業(yè)的攻擊服務(wù)提供者確實不存在抑或才進入市場�。
犯罪分子進入壁壘非常低,他們可以非常輕松地訪問不同的服務(wù)��,并且很容易獲得利潤���。在某些情況下大眾只是受自己想象力的限制而已����。
與安全供應(yīng)商領(lǐng)域非常相似��,網(wǎng)絡(luò)犯罪服務(wù)市場充斥著小型精品運營商���。根據(jù)該報告�����,暗網(wǎng)是一個非常有效的地下經(jīng)濟����,不法工具提供者專注于產(chǎn)品或服務(wù),而非提高其技術(shù)熟練度����。
唯有真正專注于做事,這樣才能使成本更低���、工作量更少�。他們需要在地下網(wǎng)絡(luò)犯罪中建立最少的聯(lián)系����,為了達到這一目標(biāo),他們的出貨量一般較少�����,因此也不太可能被關(guān)閉��。
不同的參與者提供不同等級的產(chǎn)品和服務(wù)����。更便宜���、不復(fù)雜的選擇是可用的:一些勒索軟件包在沒有前期成本的情況下運營,他們選擇分享利潤���,故而前期基本上可減少到零���,但后續(xù)提供較少的回報,更有可能被防御者挫敗�����,同時溢價服務(wù)也增加了成功機會和回報比率����。通常威脅參與者最復(fù)雜的因素是將不同的組件拼接成一場完整的攻擊�。
CISO需要了解的有關(guān)網(wǎng)絡(luò)犯罪市場的信息
德勤回應(yīng)道,廉價����、簡單的攻擊不應(yīng)該讓IT團隊過于擔(dān)心。如果企業(yè)安全狀態(tài)良好�����,大多數(shù)高達100美元的攻擊類型都會受到大部分基本安全控制的防御。然后�,企業(yè)需要擔(dān)心哪些更高等級的威脅?需要深入了解的網(wǎng)絡(luò)風(fēng)險和攻擊者可能感興趣的數(shù)據(jù)類型又有哪些?這些攻擊推動者以往發(fā)動攻擊的原因又是什么呢?
根據(jù)德勤發(fā)言人的說法,盡可能多地了解犯罪服務(wù)提供者和幫助安全研究人員使用它們對抗網(wǎng)絡(luò)的威脅同樣重要��。
大眾無法確定小型攻擊究竟存在怎樣的威脅�,因為企業(yè)還未把這些攻擊工具同真實的網(wǎng)絡(luò)犯罪行為相聯(lián)系起來。如果我是公民社會組織的一員����,我的情報小組將真正專注于這些支持服務(wù)中的每一項。想要知道那里的主機�、所有代理、流量重定向服務(wù)��、帳戶檢查器如何工作�����。我需要了解那里的所有DDoS服務(wù)���,然后將這些事物與防御機制相結(jié)合起來����。了解生態(tài)系統(tǒng),了解這些服務(wù)提供者如何工作�����、組織防御和使用可視化工具量化數(shù)據(jù)����。
即使很難讓犯罪分子成本升高,但是對于大多數(shù)安防人員來說可以降低企業(yè)數(shù)據(jù)吸引人的程度�。舉例來講:查看帳戶檢查程序如何自動運行登錄系統(tǒng)的憑據(jù),然后找到阻止或降低其有效性的潛在方法����。時間就是金錢,如果需要花費大量時間來實施攻擊���,那就等同于提高他們的成本�。
