如同正规商业经营一样,黑客也需要衡量运营成本和投资回报。令人唏嘘的是,近期德勤发布的一份新报告发现网络犯罪的成本非常低。公司消耗大量资金来保护他们的网络和资产免受威胁。卡巴斯基实验室发现,企业内的安全预算平均每年约为900万美元(约6千万元)。最重要的是,数据泄露会使公司损失数百万美元。然而,令人难以置信的是低价、便于使用的现成黑客工具使网络攻击的入门门槛变
如同正规商业经营一样,黑客也需要衡量运营成本和投资回报。令人唏嘘的是,近期德勤发布的一份新报告发现网络犯罪的成本非常低。
公司消耗大量资金来保护他们的网络和资产免受威胁。卡巴斯基实验室发现,企业内的安全预算平均每年约为900万美元(约6千万元)。最重要的是,数据泄露会使公司损失数百万美元。然而,令人难以置信的是低价、便于使用的现成黑客工具使网络攻击的入门门槛变得越来越低。
网络攻击比网络安全便宜
攻击和防御的资金消耗是十分不对等的。黑客足以负担得起攻击消耗,但是企业或个人受害者的防御成本却要高得多。
TOP10 V**估算每个人的整体数字身份成本,其中包含亚马逊、优步、Spotify、Gmail、Paypal、Twitter甚至GrubHub和match.com等主流网站。如果不法分子想要所有信息,甚至花费不到1000美元即可获得。除了PayPal等在线购物或金融账户以外,其他所有数据价值都不到100美元。
Armor的黑市报告发现个人身份信息(PII)虽然价格昂贵,但在暗网上的每条记录仍不到200美元。Visa和Mastercard信用卡信息每条记录10美元,甚至整个账户的银行信息也只值1000美元,即使所述账户最高可达15,000美元。在大多数情况下,旧数据只是免费附赠。这与对被盗数据公司的处罚形成鲜明对比。根据IBM最新的数据违规成本报告,每个记录损失的企业平均成本为233美元,在监管严格的行业中可能要高得多。
Top10 V**的黑客工具价格指数发现恶意软件只需45美元,而有关如何构建攻击的教程只需5美元。其中少数情况时犯罪分子将被要求为任何单个组件支付超过1,000美元,用于零日攻击或用于拦截呼叫数据的模拟器花费将超过28,000美元。
但是,购买单个恶意软件甚至是完整的网络钓鱼工具包还不足以发动攻击:攻击需要托管、分发渠道、混淆恶意软件、帐户检查等等。在一份新黑市生态系统的报告中这样写道:他们需要估算“Pwnership”的成本,Deloitte不仅仅列出了零碎的成本,还要计算了运营的总成本。从恶意软件和键盘记录器到域名托管、代理、V**、电子邮件分发、代码混淆等,不法分子才能发起针对企业的完整攻击。
这种类型的大规模攻击行为背后的组织需要提供多层级服务。对于完成银行特洛伊木马类型的攻击行为,需要至少使用五到六个服务。
网络攻击的成本是多少?
该报告还发现暗网充斥着各种随时可用的服务,以满足黑客的个性化需求。需要一台受感染的服务器才能启动键盘记录式网络钓鱼攻击?想要运行远程访问木马活动?答案是:一切都很简单。
以下案例可供参考:
一项全面的网络钓鱼活动,包括托管、网络钓鱼套件:平均每月500美元,每月价格为30美元;
信息窃取/键盘记录活动(恶意软件、托管和分发):平均723美元,价格低至183美元;
勒索软件和远程访问特洛伊木马攻击:广告系列平均为1,000美元;
银行特洛伊木马活动:初期支出约为1,400美元,但可能高达3,500美元。
网络犯罪门槛越来越低
报告中估计,即使是每月仅花费34美元的低端网络攻击也可以赚回25,000美元,而花费数千美元的更昂贵、复杂的攻击每月可以赚多达100万美元。与此同时,IBM估计数据泄露企业的平均成本为386万美元。
进入成本低、易部署和高回报意味着潜在的威胁参与者越来越不受技术水平的限制。德勤网络风险服务公司的负责人表示:将三年前的进入壁垒同现在相比,十分专业的攻击服务提供者确实不存在抑或才进入市场。
犯罪分子进入壁垒非常低,他们可以非常轻松地访问不同的服务,并且很容易获得利润。在某些情况下大众只是受自己想象力的限制而已。
与安全供应商领域非常相似,网络犯罪服务市场充斥着小型精品运营商。根据该报告,暗网是一个非常有效的地下经济,不法工具提供者专注于产品或服务,而非提高其技术熟练度。
唯有真正专注于做事,这样才能使成本更低、工作量更少。他们需要在地下网络犯罪中建立最少的联系,为了达到这一目标,他们的出货量一般较少,因此也不太可能被关闭。
不同的参与者提供不同等级的产品和服务。更便宜、不复杂的选择是可用的:一些勒索软件包在没有前期成本的情况下运营,他们选择分享利润,故而前期基本上可减少到零,但后续提供较少的回报,更有可能被防御者挫败,同时溢价服务也增加了成功机会和回报比率。通常威胁参与者最复杂的因素是将不同的组件拼接成一场完整的攻击。
CISO需要了解的有关网络犯罪市场的信息
德勤回应道,廉价、简单的攻击不应该让IT团队过于担心。如果企业安全状态良好,大多数高达100美元的攻击类型都会受到大部分基本安全控制的防御。然后,企业需要担心哪些更高等级的威胁?需要深入了解的网络风险和攻击者可能感兴趣的数据类型又有哪些?这些攻击推动者以往发动攻击的原因又是什么呢?
根据德勤发言人的说法,尽可能多地了解犯罪服务提供者和帮助安全研究人员使用它们对抗网络的威胁同样重要。
大众无法确定小型攻击究竟存在怎样的威胁,因为企业还未把这些攻击工具同真实的网络犯罪行为相联系起来。如果我是公民社会组织的一员,我的情报小组将真正专注于这些支持服务中的每一项。想要知道那里的主机、所有代理、流量重定向服务、帐户检查器如何工作。我需要了解那里的所有DDoS服务,然后将这些事物与防御机制相结合起来。了解生态系统,了解这些服务提供者如何工作、组织防御和使用可视化工具量化数据。
即使很难让犯罪分子成本升高,但是对于大多数安防人员来说可以降低企业数据吸引人的程度。举例来讲:查看帐户检查程序如何自动运行登录系统的凭据,然后找到阻止或降低其有效性的潜在方法。时间就是金钱,如果需要花费大量时间来实施攻击,那就等同于提高他们的成本。