跟普通商业行为一样,网络罪犯也要考虑运营成本和投资回报。但不幸的是,德勤会计师事务所的一份新报告发现,网络犯罪的成本低到令人难以置信。
公司企业投入大笔资金保护自己的网络和资产不受网络威胁的侵害。卡巴斯基实验室发现,企业安全预算平均每年 900 万美元左右。最重要的是,数据泄露却能让公司企业损失数百万美元。而且,还有便宜又好用的现成黑客工具在大幅降低网络罪犯入行门槛。
攻击便宜安全贵
网络攻击和网络防御的数字对比极不公平。攻击者可以一袋零食的价格贱卖所盗记录,信息被盗的公司和个人受害者(如果信息被利用的话)所遭受的损失却要大得多。
Top10VPN 估测,如果罪犯全都入手的话,受害者整个数字身份——包括亚马逊、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub 和 match.com 等主流在线服务登录凭证,约价值 1,000 美元。分开看的话,除了 PayPal 等网购或金融账户以外的所有东西价值少于 100 美元。
Armour的《黑市》报告发现,个人可识别信息 (PII) 虽然更贵点儿,在暗网上也就是每记录 200 美元以下的价格。Visa 和 Mastercard 信用卡信息每条记录 10 美元可买到。甚至完整银行账户信息也就价值 1,000 美元,即便账户里据说存了 1.5 万美元。很多情况下,老旧信息甚至都是免费奉送的。相对于公司企业因数据泄露而遭到的处罚,这对比太过强烈。IBM 最新的《数据泄露成本》报告显示,公司每条被盗记录的损失是 233 美元,监管严格的行业还会更高。
Top10VPN 的《黑客工具价格索引》发现,恶意软件价格低至 45 美元即可入手,指导如何构建攻击的教程更是便宜到仅 5 美元。极少有的罪犯需要花费 1,000 美元以上才能入手的单个攻击组件是零日漏洞利用程序(至少 3,000 美元),或者拦截蜂窝数据的蜂窝基站模拟器套装——超过 2.8 万美元。
但购买单个恶意软件甚或完整网络钓鱼工具包并不足以发起攻击:攻击需要托管主机、分发渠道、恶意软件混淆、账户验证器等等。在题为《黑市生态系统:估测黑客攻击成本》的新报告中,德勤律师事务所没有列举单项开支,而是计算了恶意黑客对企业发起完整攻击的整个运营总支出——从恶意软件和键盘记录器到域名托管、代理、VPN、电子邮件分发、代码混淆等。
德勤网络风险服务威胁情报总监 Loucif Kharouni 称:大型攻击活动背后的黑客团伙需要多层服务。想要投送银行木马,你得用到至少 5 或 6 个服务。
网络攻击成本几何?
该报告发现,暗网上可满足攻击者个人需求的现成服务堪称泛滥,价位也适应各种不同预算层次。想要一台被黑服务器来发起键盘记录网络钓鱼攻击?简单。想要执行自己的远程访问木马攻击?没问题。
有时候,整个攻击活动甚至就值一顿饭钱。举几个例子:
网络犯罪门槛不断降低
德勤估算,甚至低至每月仅 34 美元的低端网络攻击都可带来 2.5 万美元的回报,耗费数千美元的高端攻击可获得高至每月 100 万美元的回报。同时,IBM 估测,数据泄露给公司企业带来的平均损失为 386 万美元。
低进入门槛、相对简单的攻击部署,再加上高回报,意味着潜在恶意黑客不受技术水平的限制。德勤网络风险服务托管威胁服务主管 Keith Brogan 说道:对比三年前和现在的进入门槛,很多极具针对性的服务真的已经不存在了,或者说开始走向市场了。
网络罪犯发起攻击真的没那么贵,也不难,赚钱很容易的。进入门槛特别低;你能很方便地获得各种服务,轻松以此盈利。有时候完全就是只有想不到没有做不到。
这种低成本高收益的现实,意味着罪犯盈利与伤害修复成本之间的巨大差异。以勒索软件为例,即便支付率仅 0.05%,投资回报率也能达到 500% 以上。尽管全球网络犯罪收益估计在 1.5 万亿美元左右,其造成的损失却直逼 6 万亿美元。考虑到 Gartner 估测 2019 年网络安全市场规模是 1,360 亿美元,也就是说,11 到 12 美元的网络犯罪收益仅驱动 1 美元的网络安全开支。
类似网络供应商领域,网络犯罪服务市场也满是小型精品运营商。德勤报告指出,暗网是一个 “非常高效的地下经济,黑客专精某一产品或服务,不试图多样化其在多个不同高技术性学科中的熟练程度。”
专注做好少数几件事不仅成本更低,工作量也会少很多。而且这么做不用在网络罪犯地下世界中建立太多连接,泄露可能性会小些,被关停的概率也就减小了。
不同黑客提供不同级别的产品和服务。有便宜的低端选择——有些勒索软件工具包没有前期投入而只要求分成,实际上就是将前期投入直降至零了,但这种选项回报较低,也更容易被防御者挫败;砸钱投入收费服务可以增加成功和获得高投资回报的概率。对恶意黑客而言最复杂的因素通常是将不同组件串联整合到一次完整的攻击中。
关于网络犯罪市场,CISO 需要知道什么?
廉价低端攻击不应该是 IT 团队的关注重点。如果公司安全运营良好,100 美元以下的攻击大部分都能被良好 IT 防护与基本安全控制措施妥善处理。于是,你可以专注决策哪些才是真正需要担心的高级威胁?然后就触及到谁才是盯上公司的[那类]恶意黑客?他们对什么东西感兴趣?以前他们是怎么用此类暗网服务发起攻击的?将来他们会怎么做?
Brogan 介绍,尽可能了解犯罪服务提供商与了解雇佣这些提供商对你网络下手的黑客一样重要。他说:“人们不关注这一层级,很多情况下想不到这些小攻击行动是对自身的真正威胁,因为他们没有纵览全局,忽略了网络罪犯串联这些工具以发起攻击的事实。”
如果我是 CSO,我的情报团队会非常关注这些帮人发起攻击的服务。我想知道主要的掩护主机托管服务提供商、所有代理、流量重定向服务、账户验证器工作机制。我想了解外面所有 DDoS 服务。然后我就可以将之与我的防御一一对应起来——理解该生态系统、了解其起效机制,组织自身防御和可见性工具加以应对。
即便不能令罪犯的攻击运营成本从极低猛拉至太高,至少可以让公司游离在普通现成攻击者的靶心之外。比如说,了解在登录系统上自动尝试凭证的账户验证器工作机制,然后找出阻止或减少其有效性的潜在途径。Brogan 表示:时间就是金钱,如果你能让攻击者花费大量时间展开行动,就相当于增加他们的运营成本。
增加网络罪犯的运营成本无疑会降低他们的投资回报,最终就使公司在当今 “目标丰富的环境” 中处于不那么有吸引力的位置了。尽管监管侧和司法机构的大动作终会削减犯罪市场规模,尤其是低端市场规模,但 CSO 应对自身安全态势更具战略思考,特别是修复和淘汰过时或到期产品和应用;同时,如果可以合法获利,漏洞奖励可打消某些黑客从事非法活动的念头,还有助于显现和清除漏洞。
这就是个智慧生命周期管理的问题。清除所有提权漏洞。过时或到期产品漏洞利用仍能产生有效投资回报,所以要确保 Flash 和 IE 之类的过时产品不出现在设备上。如果必须要用,那就确保这些东西不连接互联网。遵循供应商针对修复和淘汰产品的建议。
Armour 《黑市》报告:
https://www.armor.com/reports/black-market-report/
Top10VPN 黑客工具价格索引:
德勤报告 (Black-market ecosystem: Estimating the cost of “Pwnership,”):