導(dǎo)讀:如同正規(guī)商業(yè)經(jīng)營一樣,黑客也需要衡量運(yùn)營成本和投資回報。令人唏噓的是,近期德勤發(fā)布的一份新報告發(fā)現(xiàn)網(wǎng)絡(luò)犯罪的成本非常低。
如同正規(guī)商業(yè)經(jīng)營一樣,黑客也需要衡量運(yùn)營成本和投資回報。令人唏噓的是,近期德勤發(fā)布的一份新報告發(fā)現(xiàn)網(wǎng)絡(luò)犯罪的成本非常低。
公司消耗大量資金來保護(hù)他們的網(wǎng)絡(luò)和資產(chǎn)免受威脅。卡巴斯基實驗室發(fā)現(xiàn),企業(yè)內(nèi)的安全預(yù)算平均每年約為900萬美元(約6千萬元)。最重要的是,數(shù)據(jù)泄露會使公司損失數(shù)百萬美元。然而,令人難以置信的是低價、便于使用的現(xiàn)成黑客工具使網(wǎng)絡(luò)攻擊的入門門檻變得越來越低。
網(wǎng)絡(luò)攻擊比網(wǎng)絡(luò)安全便宜
攻擊和防御的資金消耗是十分不對等的。黑客足以負(fù)擔(dān)得起攻擊消耗,但是企業(yè)或個人受害者的防御成本卻要高得多。
TOP10 VPN估算每個人的整體數(shù)字身份成本,其中包含亞馬遜、優(yōu)步、Spotify、Gmail、Paypal、Twitter甚至GrubHub和match.com等主流網(wǎng)站。如果不法分子想要所有信息,甚至花費(fèi)不到1000美元即可獲得。除了PayPal等在線購物或金融賬戶以外,其他所有數(shù)據(jù)價值都不到100美元。
Armor的黑市報告發(fā)現(xiàn)個人身份信息(PII)雖然價格昂貴,但在暗網(wǎng)上的每條記錄仍不到200美元。Visa和Mastercard信用卡信息每條記錄10美元,甚至整個賬戶的銀行信息也只值1000美元,即使所述賬戶最高可達(dá)15,000美元。在大多數(shù)情況下,舊數(shù)據(jù)只是免費(fèi)附贈。這與對被盜數(shù)據(jù)公司的處罰形成鮮明對比。根據(jù)IBM最新的數(shù)據(jù)違規(guī)成本報告,每個記錄損失的企業(yè)平均成本為233美元,在監(jiān)管嚴(yán)格的行業(yè)中可能要高得多。
Top10 VPN的黑客工具價格指數(shù)發(fā)現(xiàn)惡意軟件只需45美元,而有關(guān)如何構(gòu)建攻擊的教程只需5美元。其中少數(shù)情況時犯罪分子將被要求為任何單個組件支付超過1,000美元,用于零日攻擊或用于攔截呼叫數(shù)據(jù)的模擬器花費(fèi)將超過28,000美元。
但是,購買單個惡意軟件甚至是完整的網(wǎng)絡(luò)釣魚工具包還不足以發(fā)動攻擊:攻擊需要托管、分發(fā)渠道、混淆惡意軟件、帳戶檢查等等。在一份新黑市生態(tài)系統(tǒng)的報告中這樣寫道:他們需要估算“Pwnership”的成本,Deloitte不僅僅列出了零碎的成本,還要計算了運(yùn)營的總成本。從惡意軟件和鍵盤記錄器到域名托管、代理、VPN、電子郵件分發(fā)、代碼混淆等,不法分子才能發(fā)起針對企業(yè)的完整攻擊。
這種類型的大規(guī)模攻擊行為背后的組織需要提供多層級服務(wù)。對于完成銀行特洛伊木馬類型的攻擊行為,需要至少使用五到六個服務(wù)。
網(wǎng)絡(luò)攻擊的成本是多少?
該報告還發(fā)現(xiàn)暗網(wǎng)充斥著各種隨時可用的服務(wù),以滿足黑客的個性化需求。需要一臺受感染的服務(wù)器才能啟動鍵盤記錄式網(wǎng)絡(luò)釣魚攻擊?想要運(yùn)行遠(yuǎn)程訪問木馬活動?答案是:一切都很簡單。
以下案例可供參考:
一項全面的網(wǎng)絡(luò)釣魚活動,包括托管、網(wǎng)絡(luò)釣魚套件:平均每月500美元,每月價格為30美元;
信息竊取/鍵盤記錄活動(惡意軟件、托管和分發(fā)):平均723美元,價格低至183美元;
勒索軟件和遠(yuǎn)程訪問特洛伊木馬攻擊:廣告系列平均為1,000美元;
銀行特洛伊木馬活動:初期支出約為1,400美元,但可能高達(dá)3,500美元。
網(wǎng)絡(luò)犯罪門檻越來越低
報告中估計,即使是每月僅花費(fèi)34美元的低端網(wǎng)絡(luò)攻擊也可以賺回25,000美元,而花費(fèi)數(shù)千美元的更昂貴、復(fù)雜的攻擊每月可以賺多達(dá)100萬美元。與此同時,IBM估計數(shù)據(jù)泄露企業(yè)的平均成本為386萬美元。
進(jìn)入成本低、易部署和高回報意味著潛在的威脅參與者越來越不受技術(shù)水平的限制。德勤網(wǎng)絡(luò)風(fēng)險服務(wù)公司的負(fù)責(zé)人表示:將三年前的進(jìn)入壁壘同現(xiàn)在相比,十分專業(yè)的攻擊服務(wù)提供者確實不存在抑或才進(jìn)入市場。
犯罪分子進(jìn)入壁壘非常低,他們可以非常輕松地訪問不同的服務(wù),并且很容易獲得利潤。在某些情況下大眾只是受自己想象力的限制而已。
與安全供應(yīng)商領(lǐng)域非常相似,網(wǎng)絡(luò)犯罪服務(wù)市場充斥著小型精品運(yùn)營商。根據(jù)該報告,暗網(wǎng)是一個非常有效的地下經(jīng)濟(jì),不法工具提供者專注于產(chǎn)品或服務(wù),而非提高其技術(shù)熟練度。
唯有真正專注于做事,這樣才能使成本更低、工作量更少。他們需要在地下網(wǎng)絡(luò)犯罪中建立最少的聯(lián)系,為了達(dá)到這一目標(biāo),他們的出貨量一般較少,因此也不太可能被關(guān)閉。
不同的參與者提供不同等級的產(chǎn)品和服務(wù)。更便宜、不復(fù)雜的選擇是可用的:一些勒索軟件包在沒有前期成本的情況下運(yùn)營,他們選擇分享利潤,故而前期基本上可減少到零,但后續(xù)提供較少的回報,更有可能被防御者挫敗,同時溢價服務(wù)也增加了成功機(jī)會和回報比率。通常威脅參與者最復(fù)雜的因素是將不同的組件拼接成一場完整的攻擊。
CISO需要了解的有關(guān)網(wǎng)絡(luò)犯罪市場的信息
德勤回應(yīng)道,廉價、簡單的攻擊不應(yīng)該讓IT團(tuán)隊過于擔(dān)心。如果企業(yè)安全狀態(tài)良好,大多數(shù)高達(dá)100美元的攻擊類型都會受到大部分基本安全控制的防御。然后,企業(yè)需要擔(dān)心哪些更高等級的威脅?需要深入了解的網(wǎng)絡(luò)風(fēng)險和攻擊者可能感興趣的數(shù)據(jù)類型又有哪些?這些攻擊推動者以往發(fā)動攻擊的原因又是什么呢?
根據(jù)德勤發(fā)言人的說法,盡可能多地了解犯罪服務(wù)提供者和幫助安全研究人員使用它們對抗網(wǎng)絡(luò)的威脅同樣重要。
大眾無法確定小型攻擊究竟存在怎樣的威脅,因為企業(yè)還未把這些攻擊工具同真實的網(wǎng)絡(luò)犯罪行為相聯(lián)系起來。如果我是公民社會組織的一員,我的情報小組將真正專注于這些支持服務(wù)中的每一項。想要知道那里的主機(jī)、所有代理、流量重定向服務(wù)、帳戶檢查器如何工作。我需要了解那里的所有DDoS服務(wù),然后將這些事物與防御機(jī)制相結(jié)合起來。了解生態(tài)系統(tǒng),了解這些服務(wù)提供者如何工作、組織防御和使用可視化工具量化數(shù)據(jù)。
即使很難讓犯罪分子成本升高,但是對于大多數(shù)安防人員來說可以降低企業(yè)數(shù)據(jù)吸引人的程度。舉例來講:查看帳戶檢查程序如何自動運(yùn)行登錄系統(tǒng)的憑據(jù),然后找到阻止或降低其有效性的潛在方法。時間就是金錢,如果需要花費(fèi)大量時間來實施攻擊,那就等同于提高他們的成本。