如同正規(guī)商業(yè)經(jīng)營(yíng)一樣��,黑客也需要衡量運(yùn)營(yíng)成本和投資回報(bào)����。令人唏噓的是,近期德勤發(fā)布的一份新報(bào)告發(fā)現(xiàn)網(wǎng)絡(luò)犯罪的成本非常低�。
公司消耗大量資金來保護(hù)他們的網(wǎng)絡(luò)和資產(chǎn)免受威脅??ò退够鶎?shí)驗(yàn)室發(fā)現(xiàn),企業(yè)內(nèi)的安全預(yù)算平均每年約為900萬美元(約6千萬元)��。最重要的是�,數(shù)據(jù)泄露會(huì)使公司損失數(shù)百萬美元�����。然而�,令人難以置信的是低價(jià)�、便于使用的現(xiàn)成黑客工具使網(wǎng)絡(luò)攻擊的入門門檻變得越來越低。
網(wǎng)絡(luò)攻擊比網(wǎng)絡(luò)安全便宜
攻擊和防御的資金消耗是十分不對(duì)等的��。黑客足以負(fù)擔(dān)得起攻擊消耗��,但是企業(yè)或個(gè)人受害者的防御成本卻要高得多�。
TOP10 VPN估算每個(gè)人的整體數(shù)字身份成本��,其中包含亞馬遜���、優(yōu)步����、Spotify����、Gmail、Paypal�、Twitter甚至GrubHub和match.com等主流網(wǎng)站。如果不法分子想要所有信息,甚至花費(fèi)不到1000美元即可獲得����。除了PayPal等在線購(gòu)物或金融賬戶以外,其他所有數(shù)據(jù)價(jià)值都不到100美元����。
Armor的黑市報(bào)告發(fā)現(xiàn)個(gè)人身份信息(PII)雖然價(jià)格昂貴,但在暗網(wǎng)上的每條記錄仍不到200美元���。Visa和Mastercard信用卡信息每條記錄10美元�,甚至整個(gè)賬戶的銀行信息也只值1000美元�����,即使所述賬戶最高可達(dá)15,000美元�。在大多數(shù)情況下,舊數(shù)據(jù)只是免費(fèi)附贈(zèng)���。這與對(duì)被盜數(shù)據(jù)公司的處罰形成鮮明對(duì)比�����。根據(jù)IBM最新的數(shù)據(jù)違規(guī)成本報(bào)告�����,每個(gè)記錄損失的企業(yè)平均成本為233美元���,在監(jiān)管嚴(yán)格的行業(yè)中可能要高得多����。
Top10 VPN的黑客工具價(jià)格指數(shù)發(fā)現(xiàn)惡意軟件只需45美元��,而有關(guān)如何構(gòu)建攻擊的教程只需5美元�����。其中少數(shù)情況時(shí)犯罪分子將被要求為任何單個(gè)組件支付超過1,000美元����,用于零日攻擊或用于攔截呼叫數(shù)據(jù)的模擬器花費(fèi)將超過28,000美元��。
但是����,購(gòu)買單個(gè)惡意軟件甚至是完整的網(wǎng)絡(luò)釣魚工具包還不足以發(fā)動(dòng)攻擊:攻擊需要托管、分發(fā)渠道�、混淆惡意軟件��、帳戶檢查等等���。在一份新黑市生態(tài)系統(tǒng)的報(bào)告中這樣寫道:他們需要估算“Pwnership”的成本,Deloitte不僅僅列出了零碎的成本�����,還要計(jì)算了運(yùn)營(yíng)的總成本���。從惡意軟件和鍵盤記錄器到域名托管�����、代理�、VPN����、電子郵件分發(fā)、代碼混淆等���,不法分子才能發(fā)起針對(duì)企業(yè)的完整攻擊����。
這種類型的大規(guī)模攻擊行為背后的組織需要提供多層級(jí)服務(wù)。對(duì)于完成銀行特洛伊木馬類型的攻擊行為��,需要至少使用五到六個(gè)服務(wù)����。
網(wǎng)絡(luò)攻擊的成本是多少?
該報(bào)告還發(fā)現(xiàn)暗網(wǎng)充斥著各種隨時(shí)可用的服務(wù),以滿足黑客的個(gè)性化需求���。需要一臺(tái)受感染的服務(wù)器才能啟動(dòng)鍵盤記錄式網(wǎng)絡(luò)釣魚攻擊?想要運(yùn)行遠(yuǎn)程訪問木馬活動(dòng)?答案是:一切都很簡(jiǎn)單�����。
以下案例可供參考:
一項(xiàng)全面的網(wǎng)絡(luò)釣魚活動(dòng)�����,包括托管、網(wǎng)絡(luò)釣魚套件:平均每月500美元���,每月價(jià)格為30美元;
信息竊取/鍵盤記錄活動(dòng)(惡意軟件�����、托管和分發(fā)):平均723美元��,價(jià)格低至183美元;
勒索軟件和遠(yuǎn)程訪問特洛伊木馬攻擊:廣告系列平均為1,000美元;
銀行特洛伊木馬活動(dòng):初期支出約為1,400美元����,但可能高達(dá)3,500美元。
網(wǎng)絡(luò)犯罪門檻越來越低
報(bào)告中估計(jì)����,即使是每月僅花費(fèi)34美元的低端網(wǎng)絡(luò)攻擊也可以賺回25,000美元,而花費(fèi)數(shù)千美元的更昂貴��、復(fù)雜的攻擊每月可以賺多達(dá)100萬美元�。與此同時(shí),IBM估計(jì)數(shù)據(jù)泄露企業(yè)的平均成本為386萬美元���。
進(jìn)入成本低�、易部署和高回報(bào)意味著潛在的威脅參與者越來越不受技術(shù)水平的限制�。德勤網(wǎng)絡(luò)風(fēng)險(xiǎn)服務(wù)公司的負(fù)責(zé)人表示:將三年前的進(jìn)入壁壘同現(xiàn)在相比,十分專業(yè)的攻擊服務(wù)提供者確實(shí)不存在抑或才進(jìn)入市場(chǎng)�����。
犯罪分子進(jìn)入壁壘非常低����,他們可以非常輕松地訪問不同的服務(wù)�����,并且很容易獲得利潤(rùn)���。在某些情況下大眾只是受自己想象力的限制而已。
與安全供應(yīng)商領(lǐng)域非常相似�,網(wǎng)絡(luò)犯罪服務(wù)市場(chǎng)充斥著小型精品運(yùn)營(yíng)商。根據(jù)該報(bào)告���,暗網(wǎng)是一個(gè)非常有效的地下經(jīng)濟(jì)�,不法工具提供者專注于產(chǎn)品或服務(wù)���,而非提高其技術(shù)熟練度�����。
唯有真正專注于做事�����,這樣才能使成本更低、工作量更少��。他們需要在地下網(wǎng)絡(luò)犯罪中建立最少的聯(lián)系,為了達(dá)到這一目標(biāo)����,他們的出貨量一般較少,因此也不太可能被關(guān)閉����。
不同的參與者提供不同等級(jí)的產(chǎn)品和服務(wù)。更便宜�、不復(fù)雜的選擇是可用的:一些勒索軟件包在沒有前期成本的情況下運(yùn)營(yíng),他們選擇分享利潤(rùn)����,故而前期基本上可減少到零,但后續(xù)提供較少的回報(bào)�����,更有可能被防御者挫敗���,同時(shí)溢價(jià)服務(wù)也增加了成功機(jī)會(huì)和回報(bào)比率�。通常威脅參與者最復(fù)雜的因素是將不同的組件拼接成一場(chǎng)完整的攻擊�。
CISO需要了解的有關(guān)網(wǎng)絡(luò)犯罪市場(chǎng)的信息
德勤回應(yīng)道,廉價(jià)、簡(jiǎn)單的攻擊不應(yīng)該讓IT團(tuán)隊(duì)過于擔(dān)心�����。如果企業(yè)安全狀態(tài)良好����,大多數(shù)高達(dá)100美元的攻擊類型都會(huì)受到大部分基本安全控制的防御。然后�,企業(yè)需要擔(dān)心哪些更高等級(jí)的威脅?需要深入了解的網(wǎng)絡(luò)風(fēng)險(xiǎn)和攻擊者可能感興趣的數(shù)據(jù)類型又有哪些?這些攻擊推動(dòng)者以往發(fā)動(dòng)攻擊的原因又是什么呢?
根據(jù)德勤發(fā)言人的說法,盡可能多地了解犯罪服務(wù)提供者和幫助安全研究人員使用它們對(duì)抗網(wǎng)絡(luò)的威脅同樣重要�。
大眾無法確定小型攻擊究竟存在怎樣的威脅,因?yàn)槠髽I(yè)還未把這些攻擊工具同真實(shí)的網(wǎng)絡(luò)犯罪行為相聯(lián)系起來�����。如果我是公民社會(huì)組織的一員����,我的情報(bào)小組將真正專注于這些支持服務(wù)中的每一項(xiàng)。想要知道那里的主機(jī)���、所有代理�����、流量重定向服務(wù)����、帳戶檢查器如何工作��。我需要了解那里的所有DDoS服務(wù)�,然后將這些事物與防御機(jī)制相結(jié)合起來。了解生態(tài)系統(tǒng)�,了解這些服務(wù)提供者如何工作、組織防御和使用可視化工具量化數(shù)據(jù)�。
即使很難讓犯罪分子成本升高,但是對(duì)于大多數(shù)安防人員來說可以降低企業(yè)數(shù)據(jù)吸引人的程度��。舉例來講:查看帳戶檢查程序如何自動(dòng)運(yùn)行登錄系統(tǒng)的憑據(jù)�����,然后找到阻止或降低其有效性的潛在方法����。時(shí)間就是金錢,如果需要花費(fèi)大量時(shí)間來實(shí)施攻擊�����,那就等同于提高他們的成本。
