发起一场攻击到底需要多少钱?
转自CSO(csoonline)作者Dan Swinhoe 小小盾译
像日常业务一样,网络犯罪分子也要担心运营成本和投资回报。不幸的是,德勤(Deloitte)的一份最新报告发现,实施网络犯罪的成本非常低
企业斥巨资保护自己的网络系统和资产免受网络攻击威胁。卡巴斯基实验室发现,企业内部的安全预算每年平均约为900万美元。重要的是,数据泄露还是会给公司造成数百万美元的损失。与之相比,现成的黑客工具使用简单且价格低廉,这使得网络犯罪的门槛非常低。
网络攻击比网络安全便宜
进攻与防守的投入产出是不成比例的。攻击者付出的成本极低,但对企业(以及被利用其信息的受害人而言)的成本要高得多。
据Top10v*n估算,如果犯罪分子想要一个人所有的数字身份信息,包括亚马逊,Uber,Spotify,Gmail,PayPal,Twitter甚至GrubHub和match.com等常用线上平台的登录信息,所有这些信息加起来几乎不到1,000美元。除个人在线购物或金融账户(如PayPal)外,其他单个信息的价值都低于100美元。
Armour的“黑市”报告表明,虽然个人识别信息(PII)成本较高,但在暗网上每条记录的价值仍不到200美元。Visa和MasterCard信用卡信息每条记录收费10美元。即使是整个账户的银行信息也仅值1,000美元,哪怕这个帐户中的余额高至15,000美元。甚至在许多情况下,旧信息都是免费提供的。这些信息的价格与给丢失记录企业造成的罚款形成了鲜明对比。根据IBM最新的数据泄露成本报告,每条丢失记录给企业造成的平均成本为233美元,在受到严格监管的行业中甚至还可能会更高。
Top10v*n的Hacking Tools Price Index发现,恶意软件的成交价格只要45美元,而有关如何进行攻击的教程的仅售5美元。也有一些极少情况,网络罪犯需要为一些组件支付超过1000美元费用,比如零日漏洞(仅需3,000美元),或拦截呼叫数据的蜂窝塔模拟器套件(28,000美元以上)。
但是,购买单个恶意软件甚至是完整的网络钓鱼工具还不足以发起攻击,攻击需要托管,分发渠道,对恶意软件的混淆,账户检查程序等。在最新报告《黑市生态系统:估算“ Pwnership”的成本》中,德勤(Deloitte)披露了威胁发起者针对其他组织进行的全面攻击成本,其中不仅列出了零散成本,还计算了总运营成本——包括从恶意软件和键盘记录程序到域托管、代理、v*n、电子邮件分发、代码混淆等功能。
据德勤网络风险服务的威胁情报主管Loucif Kharouni介绍,这类大型攻击的幕后组织需要多层服务,比如为了进行银行木马操作,至少需要使用五到六项服务。
网络攻击的费用是多少?
研究报告发现,暗网充斥着各种满足攻击者的个人需求并且易于访问的服务,其定价可以满足各种水平的投入。
“需要一台受感染的服务器来发起键盘记录网络钓鱼攻击吗?简单!”
“想运行你自己的远程访问特洛伊木马活动?没问题!”
某些情况下,一次完整攻击的成本与一顿饭的费用差不多。举例说明:
全套网络钓鱼,包括托管,网络钓鱼工具包:平均每月500美元,最低每月30美元起
信息窃取/击键(恶意软件,托管和分发):平均723美元,最低183美元起
勒索软件和远程访问特洛伊木马攻击:每次平均1,000美元
银行木马攻击:1,400美元起,最高可能达到3500美元
网络犯罪的门槛越来越低
据德勤(Deloitte)估算,每月仅花费34美元的低端网络攻击就可以获得25,000美元的回报,而更贵更复杂的攻击,每月花上几千美元,回报则可以高达100万美元。同时,IBM估算数据泄露给企业造成的平均损失为386万美元。
德勤网络风险服务中心威胁服务负责人Keith Brogan说:“目前网络攻击成本低、易部署、高回报,并且攻击者人群不再受技术水平的限制。现在的攻击门槛相比三年前越来越低,三年前这些非常具有针对性的服务都还不存在,或者只是刚开始进入市场。”
“对于网络犯罪分子而言,走出去轻松赚钱简单容易,且门槛非常低。他们很容易就能获得这些促成攻击的各种服务和要素,并可以轻松获利。甚至在某些情况下,利润超乎你的想象。” Brogan补充道。
Tenable研究主管Oliver Rochford说:“网络攻击的低成本高回报意味着犯罪分子赚取的利润与修复损害造成的费用之间存在巨大差异。例如,使用勒索软件,哪怕获得的支付率仅为0.05%,预计的投资回报率也超过500%。全球网络犯罪收入约为1.5万亿美元,然而破坏所造成的损失却高达6万亿美元。如果按照Gartner的估算,2019年网络安全市场的总规模为1,360亿美元,这就意味着11-12美元的网络犯罪收入仅推动1美元的网络安全支出。”
就像在安全供应商领域一样,网络犯罪服务市场到处都是小型精品运营商。德勤报告指出,暗网是“效率优先”的地下经济,在这里,威胁发起者看重产品或服务,而不是学科技术含量高及操作熟练度多样化。
Brogan补充说:“对于他们来说,专注于把精益求精地几件事做好,成本更低工作量也更少,为了做到这一点,他们需要减少与其他网络犯罪分子之间的联系,减少泄漏,从而减少被关闭的可能。”
不同的人提供不同等级的产品和服务。选择更简单便宜的产品同样可行。一些勒索软件工具包无需前期成本只靠分摊一部分利润即可运行,这从本质上将前期成本降低到了零,但这样的模式回报率较低,而且更有可能被防御者打败。相反购买优质的服务会增加成功机会并获得高投资回报率。通常,对于威胁发起者来说最复杂的因素是将不同组件组合在一起,构成一次完整的攻击。
首席信息安全官对网络犯罪市场需要了解的
根据Brogan的看法,廉价简单的攻击不会给技术团队带来太多的担心。如果你的安全运行良好,那么大多数高达100美元的类型攻击可以通过良好的IT清洁和基本的安全控制措施来解决。之后,你可以把重点放在什么才是我真正需要担心的更高级威胁?了解谁在暗地里盯着我,是对我构成威胁?他们可能对什么感兴趣,这些威胁发起者过去发起过什么样的攻击,以及他们未来可能如何进行攻击?
尽可能多地了解犯罪服务提供商与了解威胁发起者雇佣他们袭击你的网络一样重要。人们没有注意到这个群体(网络犯罪服务提供商),是因为他们还没有认清这些小规模业务确实对他们构成威胁,以及网络罪犯会把这些工具捆绑在一起对其进行攻击的事实。
Brogan说:“如果我是首席信息安全官,我的情报团队会重点关注每一个服务商。我会想了解他们的主要防弹主机,所有代理,流量重定向服务以及帐户检查器的工作方式。我想摸清那里所有的DDoS服务。然后,我将把这些东西与防御结合起来——了解生态系统,了解这些服务供应者如何工作,有针对性地进行防御。”
虽然发起攻击价格便宜,犯罪分子的生意成本很低,但你还是可以让你的组织降低对于那些普通攻击者的吸引力。比如,查看自动对登录系统运行的账户检查器如何工作,然后找到阻止或降低其有效性的潜在方法。时间就是金钱,如果让攻击者花费更多时间来执行威胁,相当于增加了成本。
根据Tenable研究主管Oliver Rochford的说法,增加犯罪分子的业务成本直接导致降低他们的投资回报率,终将使你在“目标丰富的环境”中的吸引力降低。扩大监管和执法行动最终有可能缩小犯罪市场的规模,尤其对于低端市场。首席安全官应围绕其安全状况采取策略,特别是修补和淘汰旧版或报废产品和应用程序。Bug赏金也可以消除一些黑客的非法行为,他们可以合法地获利并帮助暴露和填充漏洞。
这与智能生命周期管理有关。消除所有特权升级漏洞,开发旧产品或报废产品仍然会带来正向的投资回报率。要确保从设备中删除类似Flash和Internet Explorer的产品,如果不能,请确保它们未连接到互联网并遵循有关修补和淘汰产品供应商的建议。