跟普通商業(yè)行為一樣,網(wǎng)絡(luò)罪犯也要考慮運營成本和投資回報。但不幸的是,德勤會計師事務(wù)所的一份新報告發(fā)現(xiàn),網(wǎng)絡(luò)犯罪的成本低到令人難以置信。
公司企業(yè)投入大筆資金保護(hù)自己的網(wǎng)絡(luò)和資產(chǎn)不受網(wǎng)絡(luò)威脅的侵害。卡巴斯基實驗室發(fā)現(xiàn),企業(yè)安全預(yù)算平均每年 900 萬美元左右。最重要的是,數(shù)據(jù)泄露卻能讓公司企業(yè)損失數(shù)百萬美元。而且,還有便宜又好用的現(xiàn)成黑客工具在大幅降低網(wǎng)絡(luò)罪犯入行門檻。
網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御的數(shù)字對比極不公平。攻擊者可以一袋零食的價格賤賣所盜記錄,信息被盜的公司和個人受害者(如果信息被利用的話)所遭受的損失卻要大得多。
Top10VPN 估測,如果罪犯全都入手的話,受害者整個數(shù)字身份——包括亞馬遜、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub 和 match.com 等主流在線服務(wù)登錄憑證,約價值 1,000 美元。分開看的話,除了 PayPal 等網(wǎng)購或金融賬戶以外的所有東西價值少于 100 美元。
Armour的《黑市》報告發(fā)現(xiàn),個人可識別信息 (PII) 雖然更貴點兒,在暗網(wǎng)上也就是每記錄 200 美元以下的價格。Visa 和 Mastercard 信用卡信息每條記錄 10 美元可買到。甚至完整銀行賬戶信息也就價值 1,000 美元,即便賬戶里據(jù)說存了 1.5 萬美元。很多情況下,老舊信息甚至都是免費奉送的。相對于公司企業(yè)因數(shù)據(jù)泄露而遭到的處罰,這對比太過強(qiáng)烈。IBM 最新的《數(shù)據(jù)泄露成本》報告顯示,公司每條被盜記錄的損失是 233 美元,監(jiān)管嚴(yán)格的行業(yè)還會更高。
Top10VPN 的《黑客工具價格索引》發(fā)現(xiàn),惡意軟件價格低至 45 美元即可入手,指導(dǎo)如何構(gòu)建攻擊的教程更是便宜到僅 5 美元。極少有的罪犯需要花費 1,000 美元以上才能入手的單個攻擊組件是零日漏洞利用程序(至少 3,000 美元),或者攔截蜂窩數(shù)據(jù)的蜂窩基站模擬器套裝——超過 2.8 萬美元。
但購買單個惡意軟件甚或完整網(wǎng)絡(luò)釣魚工具包并不足以發(fā)起攻擊:攻擊需要托管主機(jī)、分發(fā)渠道、惡意軟件混淆、賬戶驗證器等等。在題為《黑市生態(tài)系統(tǒng):估測黑客攻擊成本》的新報告中,德勤律師事務(wù)所沒有列舉單項開支,而是計算了惡意黑客對企業(yè)發(fā)起完整攻擊的整個運營總支出——從惡意軟件和鍵盤記錄器到域名托管、代理、VPN、電子郵件分發(fā)、代碼混淆等。
德勤網(wǎng)絡(luò)風(fēng)險服務(wù)威脅情報總監(jiān) Loucif Kharouni 稱:大型攻擊活動背后的黑客團(tuán)伙需要多層服務(wù)。想要投送銀行木馬,你得用到至少 5 或 6 個服務(wù)。
該報告發(fā)現(xiàn),暗網(wǎng)上可滿足攻擊者個人需求的現(xiàn)成服務(wù)堪稱泛濫,價位也適應(yīng)各種不同預(yù)算層次。想要一臺被黑服務(wù)器來發(fā)起鍵盤記錄網(wǎng)絡(luò)釣魚攻擊?簡單。想要執(zhí)行自己的遠(yuǎn)程訪問木馬攻擊?沒問題。
有時候,整個攻擊活動甚至就值一頓飯錢。舉幾個例子:
德勤估算,甚至低至每月僅 34 美元的低端網(wǎng)絡(luò)攻擊都可帶來 2.5 萬美元的回報,耗費數(shù)千美元的高端攻擊可獲得高至每月 100 萬美元的回報。同時,IBM 估測,數(shù)據(jù)泄露給公司企業(yè)帶來的平均損失為 386 萬美元。
低進(jìn)入門檻、相對簡單的攻擊部署,再加上高回報,意味著潛在惡意黑客不受技術(shù)水平的限制。德勤網(wǎng)絡(luò)風(fēng)險服務(wù)托管威脅服務(wù)主管 Keith Brogan 說道:對比三年前和現(xiàn)在的進(jìn)入門檻,很多極具針對性的服務(wù)真的已經(jīng)不存在了,或者說開始走向市場了。
這種低成本高收益的現(xiàn)實,意味著罪犯盈利與傷害修復(fù)成本之間的巨大差異。以勒索軟件為例,即便支付率僅 0.05%,投資回報率也能達(dá)到 500% 以上。盡管全球網(wǎng)絡(luò)犯罪收益估計在 1.5 萬億美元左右,其造成的損失卻直逼 6 萬億美元。考慮到 Gartner 估測 2019 年網(wǎng)絡(luò)安全市場規(guī)模是 1,360 億美元,也就是說,11 到 12 美元的網(wǎng)絡(luò)犯罪收益僅驅(qū)動 1 美元的網(wǎng)絡(luò)安全開支。
類似網(wǎng)絡(luò)供應(yīng)商領(lǐng)域,網(wǎng)絡(luò)犯罪服務(wù)市場也滿是小型精品運營商。德勤報告指出,暗網(wǎng)是一個 “非常高效的地下經(jīng)濟(jì),黑客專精某一產(chǎn)品或服務(wù),不試圖多樣化其在多個不同高技術(shù)性學(xué)科中的熟練程度。”
不同黑客提供不同級別的產(chǎn)品和服務(wù)。有便宜的低端選擇——有些勒索軟件工具包沒有前期投入而只要求分成,實際上就是將前期投入直降至零了,但這種選項回報較低,也更容易被防御者挫敗;砸錢投入收費服務(wù)可以增加成功和獲得高投資回報的概率。對惡意黑客而言最復(fù)雜的因素通常是將不同組件串聯(lián)整合到一次完整的攻擊中。
廉價低端攻擊不應(yīng)該是 IT 團(tuán)隊的關(guān)注重點。如果公司安全運營良好,100 美元以下的攻擊大部分都能被良好 IT 防護(hù)與基本安全控制措施妥善處理。于是,你可以專注決策哪些才是真正需要擔(dān)心的高級威脅?然后就觸及到誰才是盯上公司的[那類]惡意黑客?他們對什么東西感興趣?以前他們是怎么用此類暗網(wǎng)服務(wù)發(fā)起攻擊的?將來他們會怎么做?
Brogan 介紹,盡可能了解犯罪服務(wù)提供商與了解雇傭這些提供商對你網(wǎng)絡(luò)下手的黑客一樣重要。他說:“人們不關(guān)注這一層級,很多情況下想不到這些小攻擊行動是對自身的真正威脅,因為他們沒有縱覽全局,忽略了網(wǎng)絡(luò)罪犯串聯(lián)這些工具以發(fā)起攻擊的事實。”
即便不能令罪犯的攻擊運營成本從極低猛拉至太高,至少可以讓公司游離在普通現(xiàn)成攻擊者的靶心之外。比如說,了解在登錄系統(tǒng)上自動嘗試憑證的賬戶驗證器工作機(jī)制,然后找出阻止或減少其有效性的潛在途徑。Brogan 表示:時間就是金錢,如果你能讓攻擊者花費大量時間展開行動,就相當(dāng)于增加他們的運營成本。
增加網(wǎng)絡(luò)罪犯的運營成本無疑會降低他們的投資回報,最終就使公司在當(dāng)今 “目標(biāo)豐富的環(huán)境” 中處于不那么有吸引力的位置了。盡管監(jiān)管側(cè)和司法機(jī)構(gòu)的大動作終會削減犯罪市場規(guī)模,尤其是低端市場規(guī)模,但 CSO 應(yīng)對自身安全態(tài)勢更具戰(zhàn)略思考,特別是修復(fù)和淘汰過時或到期產(chǎn)品和應(yīng)用;同時,如果可以合法獲利,漏洞獎勵可打消某些黑客從事非法活動的念頭,還有助于顯現(xiàn)和清除漏洞。
這就是個智慧生命周期管理的問題。清除所有提權(quán)漏洞。過時或到期產(chǎn)品漏洞利用仍能產(chǎn)生有效投資回報,所以要確保 Flash 和 IE 之類的過時產(chǎn)品不出現(xiàn)在設(shè)備上。如果必須要用,那就確保這些東西不連接互聯(lián)網(wǎng)。遵循供應(yīng)商針對修復(fù)和淘汰產(chǎn)品的建議。
