24小时内数千亿美元损失:网络攻击可摧毁全球经济

网络风险管理项目(CyRiM)提出假想网络风险场景:可在24小时内令全球60万家公司企业停转的勒索软件将导致数千亿美元的损失。

CyRiM是伦敦劳合社、剑桥风险研究中心、新加坡南洋理工大学和其他机构协作研究的一个项目,其报告《Bashe攻击:传染性恶意软件的全球感染》用理论上的灾难性勒索软件攻击对此类事件的广泛影响进行建模,探索勒索软件攻击的发生发展形势及其对政府、公司企业和保险行业的影响。该理论上的场景就是出于风险管理目的而提出的压力测试。

尽管是虚构的,Bashe勒索软件运用过往全球网络攻击所用的数据和战术作为黑客全球散布恶意软件的基础,包括WannaCry和NotPetya。报告的主要发现是:全球性网络攻击可导致全球经济遭遇近2,000亿美元的损失——因为各行各业的公司企业依然没有准备好面对恶意全球网络攻击的后果。

设想场景

报告设想的场景中,Bashe勒索软件通过伪装成来自目标人资部门的网络钓鱼电子邮件加以分发。这些电子邮件会诱骗收件人打开可触发勒索软件的PDF附件。

设想中的恶意软件非常强大,一旦雇员在自己的计算机上运行该勒索软件,便足以在整个网络中散布这一可将文件锁定的恶意软件,要求每台机器支付价值700美元的加密货币才予以解锁数据。设想场景中,仅仅24小时之内,全球公司企业便有3,000万台机器被锁定。报告描述了Bashe背后的网络犯罪组织是如何从之前勒索软件攻击的失误中汲取经验教训的,包括“死亡开关”的使用——为使攻击在目标感染数量上成为“史上最具感染性的恶意软件”。

主要发现

该攻击造成的后果是灾难性的:各行各业大大小小的公司企业都无法进行日常运营。报告凸显出全球性勒索软件攻击可导致的严重经济损失,各类公司企业在攻击下将遭遇生产力与消费水平下降、IT清理费用、赎金支付与供应链断裂等。因此,某些企业会选择付钱买平安,比如需保证救命设备正常运转的医疗机构。

无论公司企业如何应对攻击,劳合社的报告预测称,此类攻击行动可导致高达1,930亿美元的全球经济损失,损失主要来自网络事件响应、损伤控制与缓解、业务中断、盈利减少和生产力下降。据悉,WannaCry造成的全球经济损失为40亿美元,那么WannaCry造成的损失与该设想场景相比算是小巫见大巫了。

该场景中的几个估计数字:

  • 零售与医疗行业遭受的影响最大(各为250亿美元),其次是制造业(240亿美元)。
  • 从地区上看,美国是重灾区,面临890亿美元损失风险;欧洲可能遭遇760亿美元的损失,亚洲是190亿美元,世界其他地方则是90亿美元。
  • 尽管损失风险巨大,全球经济却并未对此的攻击做好准备,86%的公司企业都没有投保网络保险,保险缺口高达1,660亿美元。

对此,劳合社创新主管 Trevor Maynard 博士评论道:

报告显示出,随着全球经济相互联系与技术依赖的增强,公司企业面临的网络攻击风险也在增加。因此,公司企业必须确保自己能更好地应对勒索软件攻击,这就要求他们在遭遇攻击之前便与保险商合作以降低风险,并确保签下合适的保单以覆盖事后损失。毕竟,现在的现实就是:攻击不是会不会发生而是什么时候发生的问题。

讨论与批判

尽管有评论认为这种灾难性攻击似乎不太可能,不具备现实可操作性,该报告的目的却是揭示全球经济仍未准备好应对大规模网络事件,公司企业需确保自己的系统能扛住这样的场景。

虽然该报告“为保险商指出了扩展勒索软件攻击相关保险业务的机会”,最近的事件显示,某些情况下,保险商会拒付勒索软件攻击造成的损失。以亿滋国际遭攻击为例,彭博社报道称,因NotPetya造成1,700台服务器和2.4万台笔记本电脑永久受损,亿滋国际向其签约保险商索赔1亿美元。2018年6月,苏黎世保险集团以NotPetya属于“和平时期或战争中的敌对行为或类战争行为”为由,拒绝支付保额。

鉴于该研究是由保险、再保险机构和销售商共同出品的,有必要指出抛出这么一个理论上的报告可促使公司企业购买专门的网络保险,对保商而言是有利可图的。

数据泄露与网络攻击是全球性风险

世界经济论坛《2018全球风险报告》将大规模网络攻击和数据泄露纳入当今世界面临的重大风险之列,位列第三和第四,紧跟在极端天气事件和自然灾害之后。今年,大规模数据泄露与网络攻击在潜在全球性风险排行榜上名列第四和第五位,气候变化缓解与适应失败紧随极端天气之后名列第二,自然灾害再次压网络攻击和数据泄露一头位列第三。

这并不是说网络攻击的风险在减少。恰恰相反,绝大部分受访者预测网络攻击会是2019年的主要棘手问题。82%的受访者认为,网络攻击致金钱和数据被盗的风险增加,80%的受访者觉得可致运营中断的网络攻击风险上升。

无论这种攻击是假设的还是虚构的,公司企业需要明白的东西很简单:面对网络攻击,只能为最坏情况做好准备。根据过去10年的经验,你的行为方式有没有发生变化?有没有强化可见性、部署防护性控制和持续环境监视的计划?下一波能中断日常运营、损害公司信誉和造成大量经济损失的恶意软件袭来不过是时间问题。

《Bashe攻击:传染性恶意软件的全球感染》报告:

https://www.lloyds.com/news-and-risk-insight/risk-reports/library/technology/bashe-attack

世界经济论坛《2018全球风险报告》:

https://www.weforum.org/reports/the-global-risks-report-2018

世界经济论坛《2019全球风险报告》:

https://www.weforum.org/reports/the-global-risks-report-2019

上一篇:网络安全职业鸭梨山大 如何排解?

下一篇:安全分析师也是人 是人就会犯错