網絡攻擊成本僅一頓飯錢
作者:星期四, 十一月 21, 20190

跟普通商業行為一樣,網絡罪犯也要考慮運營成本和投資回報。但不幸的是,德勤會計師事務所的一份新報告發現,網絡犯罪的成本低到令人難以置信。

公司企業投入大筆資金保護自己的網絡和資產不受網絡威脅的侵害。卡巴斯基實驗室發現,企業安全預算平均每年 900 萬美元左右。最重要的是,數據泄露卻能讓公司企業損失數百萬美元。而且,還有便宜又好用的現成黑客工具在大幅降低網絡罪犯入行門檻。

攻擊便宜安全貴

網絡攻擊和網絡防御的數字對比極不公平。攻擊者可以一袋零食的價格賤賣所盜記錄,信息被盜的公司和個人受害者(如果信息被利用的話)所遭受的損失卻要大得多。

Top10VPN 估測,如果罪犯全都入手的話,受害者整個數字身份——包括亞馬遜、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub 和 match.com 等主流在線服務登錄憑證,約價值 1,000 美元。分開看的話,除了 PayPal 等網購或金融賬戶以外的所有東西價值少于 100 美元。

Armour的《黑市》報告發現,個人可識別信息 (PII) 雖然更貴點兒,在暗網上也就是每記錄 200 美元以下的價格。Visa 和 Mastercard 信用卡信息每條記錄 10 美元可買到。甚至完整銀行賬戶信息也就價值 1,000 美元,即便賬戶里據說存了 1.5 萬美元。很多情況下,老舊信息甚至都是免費奉送的。相對于公司企業因數據泄露而遭到的處罰,這對比太過強烈。IBM 最新的《數據泄露成本》報告顯示,公司每條被盜記錄的損失是 233 美元,監管嚴格的行業還會更高。

Top10VPN 的《黑客工具價格索引》發現,惡意軟件價格低至 45 美元即可入手,指導如何構建攻擊的教程更是便宜到僅 5 美元。極少有的罪犯需要花費 1,000 美元以上才能入手的單個攻擊組件是零日漏洞利用程序(至少 3,000 美元),或者攔截蜂窩數據的蜂窩基站模擬器套裝——超過 2.8 萬美元。

但購買單個惡意軟件甚或完整網絡釣魚工具包并不足以發起攻擊:攻擊需要托管主機、分發渠道、惡意軟件混淆、賬戶驗證器等等。在題為《黑市生態系統:估測黑客攻擊成本》的新報告中,德勤律師事務所沒有列舉單項開支,而是計算了惡意黑客對企業發起完整攻擊的整個運營總支出——從惡意軟件和鍵盤記錄器到域名托管、代理、VPN、電子郵件分發、代碼混淆等。

德勤網絡風險服務威脅情報總監 Loucif Kharouni 稱:大型攻擊活動背后的黑客團伙需要多層服務。想要投送銀行木馬,你得用到至少 5 或 6 個服務。

網絡攻擊成本幾何?

該報告發現,暗網上可滿足攻擊者個人需求的現成服務堪稱泛濫,價位也適應各種不同預算層次。想要一臺被黑服務器來發起鍵盤記錄網絡釣魚攻擊?簡單。想要執行自己的遠程訪問木馬攻擊?沒問題。

有時候,整個攻擊活動甚至就值一頓飯錢。舉幾個例子:

  • 包含托管、網絡釣魚工具包的整個網絡釣魚攻擊活動:平均每月 500 美元,入門價格每月 30 美元;
  • 信息竊取/鍵盤記錄攻擊活動(惡意軟件、托管和分發):平均 723 美元,低至 183 美元;
  • 勒索軟件和遠程訪問木馬攻擊:平均每個攻擊活動 1,000 美元;
  • 銀行木馬攻擊活動:初始開支約 1,400 美元,但可高至 3,500 美元。

網絡犯罪門檻不斷降低

德勤估算,甚至低至每月僅 34 美元的低端網絡攻擊都可帶來 2.5 萬美元的回報,耗費數千美元的高端攻擊可獲得高至每月 100 萬美元的回報。同時,IBM 估測,數據泄露給公司企業帶來的平均損失為 386 萬美元。

低進入門檻、相對簡單的攻擊部署,再加上高回報,意味著潛在惡意黑客不受技術水平的限制。德勤網絡風險服務托管威脅服務主管 Keith Brogan 說道:對比三年前和現在的進入門檻,很多極具針對性的服務真的已經不存在了,或者說開始走向市場了。

網絡罪犯發起攻擊真的沒那么貴,也不難,賺錢很容易的。進入門檻特別低;你能很方便地獲得各種服務,輕松以此盈利。有時候完全就是只有想不到沒有做不到。

這種低成本高收益的現實,意味著罪犯盈利與傷害修復成本之間的巨大差異。以勒索軟件為例,即便支付率僅 0.05%,投資回報率也能達到 500% 以上。盡管全球網絡犯罪收益估計在 1.5 萬億美元左右,其造成的損失卻直逼 6 萬億美元。考慮到 Gartner 估測 2019 年網絡安全市場規模是 1,360 億美元,也就是說,11 到 12 美元的網絡犯罪收益僅驅動 1 美元的網絡安全開支。

類似網絡供應商領域,網絡犯罪服務市場也滿是小型精品運營商。德勤報告指出,暗網是一個 “非常高效的地下經濟,黑客專精某一產品或服務,不試圖多樣化其在多個不同高技術性學科中的熟練程度。”

專注做好少數幾件事不僅成本更低,工作量也會少很多。而且這么做不用在網絡罪犯地下世界中建立太多連接,泄露可能性會小些,被關停的概率也就減小了。

不同黑客提供不同級別的產品和服務。有便宜的低端選擇——有些勒索軟件工具包沒有前期投入而只要求分成,實際上就是將前期投入直降至零了,但這種選項回報較低,也更容易被防御者挫敗;砸錢投入收費服務可以增加成功和獲得高投資回報的概率。對惡意黑客而言最復雜的因素通常是將不同組件串聯整合到一次完整的攻擊中。

關于網絡犯罪市場,CISO 需要知道什么?

廉價低端攻擊不應該是 IT 團隊的關注重點。如果公司安全運營良好,100 美元以下的攻擊大部分都能被良好 IT 防護與基本安全控制措施妥善處理。于是,你可以專注決策哪些才是真正需要擔心的高級威脅?然后就觸及到誰才是盯上公司的[那類]惡意黑客?他們對什么東西感興趣?以前他們是怎么用此類暗網服務發起攻擊的?將來他們會怎么做?

Brogan 介紹,盡可能了解犯罪服務提供商與了解雇傭這些提供商對你網絡下手的黑客一樣重要。他說:“人們不關注這一層級,很多情況下想不到這些小攻擊行動是對自身的真正威脅,因為他們沒有縱覽全局,忽略了網絡罪犯串聯這些工具以發起攻擊的事實。”

如果我是 CSO,我的情報團隊會非常關注這些幫人發起攻擊的服務。我想知道主要的掩護主機托管服務提供商、所有代理、流量重定向服務、賬戶驗證器工作機制。我想了解外面所有 DDoS 服務。然后我就可以將之與我的防御一一對應起來——理解該生態系統、了解其起效機制,組織自身防御和可見性工具加以應對。

即便不能令罪犯的攻擊運營成本從極低猛拉至太高,至少可以讓公司游離在普通現成攻擊者的靶心之外。比如說,了解在登錄系統上自動嘗試憑證的賬戶驗證器工作機制,然后找出阻止或減少其有效性的潛在途徑。Brogan 表示:時間就是金錢,如果你能讓攻擊者花費大量時間展開行動,就相當于增加他們的運營成本。

增加網絡罪犯的運營成本無疑會降低他們的投資回報,最終就使公司在當今 “目標豐富的環境” 中處于不那么有吸引力的位置了。盡管監管側和司法機構的大動作終會削減犯罪市場規模,尤其是低端市場規模,但 CSO 應對自身安全態勢更具戰略思考,特別是修復和淘汰過時或到期產品和應用;同時,如果可以合法獲利,漏洞獎勵可打消某些黑客從事非法活動的念頭,還有助于顯現和清除漏洞。

這就是個智慧生命周期管理的問題。清除所有提權漏洞。過時或到期產品漏洞利用仍能產生有效投資回報,所以要確保 Flash 和 IE 之類的過時產品不出現在設備上。如果必須要用,那就確保這些東西不連接互聯網。遵循供應商針對修復和淘汰產品的建議。

Armour 《黑市》報告:

https://www.armor.com/reports/black-market-report/

Top10VPN 黑客工具價格索引:

https://www.top10vpn.com/privacy-central/cybersecurity/dark-web-market-price-index-hacking-tools-us-edition/

德勤報告 (Black-market ecosystem: Estimating the cost of “Pwnership,”):

https://www2.deloitte.com/us/en/pages/about-deloitte/articles/press-releases/deloitte-announces-new-cyber-threat-study-on-criminal-operational-cost.html

相關閱讀

 

網絡安全保險 預測網絡攻擊成本的新模式

不要光看表面 網絡犯罪的潛在成本無法計算

 

 


相關文章

寫一條評論

 

 

0條評論