跟普通商業(yè)行為一樣，網(wǎng)絡(luò)罪犯也要考慮運(yùn)營(yíng)成本和投資回報(bào)。但不幸的是，德勤會(huì)計(jì)師事務(wù)所的一份新報(bào)告發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪的成本低到令人難以置信。

[[283157]]

公司企業(yè)投入大筆資金保護(hù)自己的網(wǎng)絡(luò)和資產(chǎn)不受網(wǎng)絡(luò)威脅的侵害。卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)，企業(yè)安全預(yù)算平均每年 900 萬(wàn)美元左右。最重要的是，數(shù)據(jù)泄露卻能讓公司企業(yè)損失數(shù)百萬(wàn)美元。而且，還有便宜又好用的現(xiàn)成黑客工具在大幅降低網(wǎng)絡(luò)罪犯入行門檻。

攻擊便宜安全貴

網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御的數(shù)字對(duì)比極不公平。攻擊者可以一袋零食的價(jià)格賤賣所盜記錄，信息被盜的公司和個(gè)人受害者(如果信息被利用的話)所遭受的損失卻要大得多。

Top10VPN 估測(cè)，如果罪犯全都入手的話，受害者整個(gè)數(shù)字身份——包括亞馬遜、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub 和 match.com 等主流在線服務(wù)登錄憑證，約價(jià)值 1,000 美元。分開(kāi)看的話，除了 PayPal 等網(wǎng)購(gòu)或金融賬戶以外的所有東西價(jià)值少于 100 美元。

Armour的《黑市》報(bào)告發(fā)現(xiàn)，個(gè)人可識(shí)別信息 (PII) 雖然更貴點(diǎn)兒，在暗網(wǎng)上也就是每記錄 200 美元以下的價(jià)格。Visa 和 Mastercard 信用卡信息每條記錄 10 美元可買到。甚至完整銀行賬戶信息也就價(jià)值 1,000 美元，即便賬戶里據(jù)說(shuō)存了 1.5 萬(wàn)美元。很多情況下，老舊信息甚至都是免費(fèi)奉送的。相對(duì)于公司企業(yè)因數(shù)據(jù)泄露而遭到的處罰，這對(duì)比太過(guò)強(qiáng)烈。IBM 最新的《數(shù)據(jù)泄露成本》報(bào)告顯示，公司每條被盜記錄的損失是 233 美元，監(jiān)管嚴(yán)格的行業(yè)還會(huì)更高。

Top10VPN 的《黑客工具價(jià)格索引》發(fā)現(xiàn)，惡意軟件價(jià)格低至 45 美元即可入手，指導(dǎo)如何構(gòu)建攻擊的教程更是便宜到僅 5 美元。極少有的罪犯需要花費(fèi) 1,000 美元以上才能入手的單個(gè)攻擊組件是零日漏洞利用程序(至少 3,000 美元)，或者攔截蜂窩數(shù)據(jù)的蜂窩基站模擬器套裝——超過(guò) 2.8 萬(wàn)美元。

但購(gòu)買單個(gè)惡意軟件甚或完整網(wǎng)絡(luò)釣魚(yú)工具包并不足以發(fā)起攻擊：攻擊需要托管主機(jī)、分發(fā)渠道、惡意軟件混淆、賬戶驗(yàn)證器等等。在題為《黑市生態(tài)系統(tǒng)：估測(cè)黑客攻擊成本》的新報(bào)告中，德勤律師事務(wù)所沒(méi)有列舉單項(xiàng)開(kāi)支，而是計(jì)算了惡意黑客對(duì)企業(yè)發(fā)起完整攻擊的整個(gè)運(yùn)營(yíng)總支出——從惡意軟件和鍵盤(pán)記錄器到域名托管、代理、VPN、電子郵件分發(fā)、代碼混淆等。

德勤網(wǎng)絡(luò)風(fēng)險(xiǎn)服務(wù)威脅情報(bào)總監(jiān) Loucif Kharouni 稱：大型攻擊活動(dòng)背后的黑客團(tuán)伙需要多層服務(wù)。想要投送銀行木馬，你得用到至少 5 或 6 個(gè)服務(wù)。

網(wǎng)絡(luò)攻擊成本幾何?

該報(bào)告發(fā)現(xiàn)，暗網(wǎng)上可滿足攻擊者個(gè)人需求的現(xiàn)成服務(wù)堪稱泛濫，價(jià)位也適應(yīng)各種不同預(yù)算層次。想要一臺(tái)被黑服務(wù)器來(lái)發(fā)起鍵盤(pán)記錄網(wǎng)絡(luò)釣魚(yú)攻擊?簡(jiǎn)單。想要執(zhí)行自己的遠(yuǎn)程訪問(wèn)木馬攻擊?沒(méi)問(wèn)題。

有時(shí)候，整個(gè)攻擊活動(dòng)甚至就值一頓飯錢。舉幾個(gè)例子：

• 包含托管、網(wǎng)絡(luò)釣魚(yú)工具包的整個(gè)網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)：平均每月 500 美元，入門價(jià)格每月 30 美元;
• 信息竊取/鍵盤(pán)記錄攻擊活動(dòng)(惡意軟件、托管和分發(fā))：平均 723 美元，低至 183 美元;
• 勒索軟件和遠(yuǎn)程訪問(wèn)木馬攻擊：平均每個(gè)攻擊活動(dòng) 1,000 美元;
• 銀行木馬攻擊活動(dòng)：初始開(kāi)支約 1,400 美元，但可高至 3,500 美元。

網(wǎng)絡(luò)犯罪門檻不斷降低

德勤估算，甚至低至每月僅 34 美元的低端網(wǎng)絡(luò)攻擊都可帶來(lái) 2.5 萬(wàn)美元的回報(bào)，耗費(fèi)數(shù)千美元的高端攻擊可獲得高至每月 100 萬(wàn)美元的回報(bào)。同時(shí)，IBM 估測(cè)，數(shù)據(jù)泄露給公司企業(yè)帶來(lái)的平均損失為 386 萬(wàn)美元。

低進(jìn)入門檻、相對(duì)簡(jiǎn)單的攻擊部署，再加上高回報(bào)，意味著潛在惡意黑客不受技術(shù)水平的限制。德勤網(wǎng)絡(luò)風(fēng)險(xiǎn)服務(wù)托管威脅服務(wù)主管 Keith Brogan 說(shuō)道：對(duì)比三年前和現(xiàn)在的進(jìn)入門檻，很多極具針對(duì)性的服務(wù)真的已經(jīng)不存在了，或者說(shuō)開(kāi)始走向市場(chǎng)了。

這種低成本高收益的現(xiàn)實(shí)，意味著罪犯盈利與傷害修復(fù)成本之間的巨大差異。以勒索軟件為例，即便支付率僅 0.05%，投資回報(bào)率也能達(dá)到 500% 以上。盡管全球網(wǎng)絡(luò)犯罪收益估計(jì)在 1.5 萬(wàn)億美元左右，其造成的損失卻直逼 6 萬(wàn)億美元?？紤]到 Gartner 估測(cè) 2019 年網(wǎng)絡(luò)安全市場(chǎng)規(guī)模是 1,360 億美元，也就是說(shuō)，11 到 12 美元的網(wǎng)絡(luò)犯罪收益僅驅(qū)動(dòng) 1 美元的網(wǎng)絡(luò)安全開(kāi)支。

類似網(wǎng)絡(luò)供應(yīng)商領(lǐng)域，網(wǎng)絡(luò)犯罪服務(wù)市場(chǎng)也滿是小型精品運(yùn)營(yíng)商。德勤報(bào)告指出，暗網(wǎng)是一個(gè) “非常高效的地下經(jīng)濟(jì)，黑客專精某一產(chǎn)品或服務(wù)，不試圖多樣化其在多個(gè)不同高技術(shù)性學(xué)科中的熟練程度。”

不同黑客提供不同級(jí)別的產(chǎn)品和服務(wù)。有便宜的低端選擇——有些勒索軟件工具包沒(méi)有前期投入而只要求分成，實(shí)際上就是將前期投入直降至零了，但這種選項(xiàng)回報(bào)較低，也更容易被防御者挫敗;砸錢投入收費(fèi)服務(wù)可以增加成功和獲得高投資回報(bào)的概率。對(duì)惡意黑客而言最復(fù)雜的因素通常是將不同組件串聯(lián)整合到一次完整的攻擊中。

關(guān)于網(wǎng)絡(luò)犯罪市場(chǎng)，CISO 需要知道什么?

廉價(jià)低端攻擊不應(yīng)該是 IT 團(tuán)隊(duì)的關(guān)注重點(diǎn)。如果公司安全運(yùn)營(yíng)良好，100 美元以下的攻擊大部分都能被良好 IT 防護(hù)與基本安全控制措施妥善處理。于是，你可以專注決策哪些才是真正需要擔(dān)心的高級(jí)威脅?然后就觸及到誰(shuí)才是盯上公司的[那類]惡意黑客?他們對(duì)什么東西感興趣?以前他們是怎么用此類暗網(wǎng)服務(wù)發(fā)起攻擊的?將來(lái)他們會(huì)怎么做?

Brogan 介紹，盡可能了解犯罪服務(wù)提供商與了解雇傭這些提供商對(duì)你網(wǎng)絡(luò)下手的黑客一樣重要。他說(shuō)：“人們不關(guān)注這一層級(jí)，很多情況下想不到這些小攻擊行動(dòng)是對(duì)自身的真正威脅，因?yàn)樗麄儧](méi)有縱覽全局，忽略了網(wǎng)絡(luò)罪犯串聯(lián)這些工具以發(fā)起攻擊的事實(shí)。”

即便不能令罪犯的攻擊運(yùn)營(yíng)成本從極低猛拉至太高，至少可以讓公司游離在普通現(xiàn)成攻擊者的靶心之外。比如說(shuō)，了解在登錄系統(tǒng)上自動(dòng)嘗試憑證的賬戶驗(yàn)證器工作機(jī)制，然后找出阻止或減少其有效性的潛在途徑。Brogan 表示：時(shí)間就是金錢，如果你能讓攻擊者花費(fèi)大量時(shí)間展開(kāi)行動(dòng)，就相當(dāng)于增加他們的運(yùn)營(yíng)成本。

增加網(wǎng)絡(luò)罪犯的運(yùn)營(yíng)成本無(wú)疑會(huì)降低他們的投資回報(bào)，最終就使公司在當(dāng)今 “目標(biāo)豐富的環(huán)境” 中處于不那么有吸引力的位置了。盡管監(jiān)管側(cè)和司法機(jī)構(gòu)的大動(dòng)作終會(huì)削減犯罪市場(chǎng)規(guī)模，尤其是低端市場(chǎng)規(guī)模，但 CSO 應(yīng)對(duì)自身安全態(tài)勢(shì)更具戰(zhàn)略思考，特別是修復(fù)和淘汰過(guò)時(shí)或到期產(chǎn)品和應(yīng)用;同時(shí)，如果可以合法獲利，漏洞獎(jiǎng)勵(lì)可打消某些黑客從事非法活動(dòng)的念頭，還有助于顯現(xiàn)和清除漏洞。

這就是個(gè)智慧生命周期管理的問(wèn)題。清除所有提權(quán)漏洞。過(guò)時(shí)或到期產(chǎn)品漏洞利用仍能產(chǎn)生有效投資回報(bào)，所以要確保 Flash 和 IE 之類的過(guò)時(shí)產(chǎn)品不出現(xiàn)在設(shè)備上。如果必須要用，那就確保這些東西不連接互聯(lián)網(wǎng)。遵循供應(yīng)商針對(duì)修復(fù)和淘汰產(chǎn)品的建議。

• Armour 《黑市》報(bào)告：https://www.armor.com/reports/black-market-report/
• Top10VPN 黑客工具價(jià)格索引：https://www.top10vpn.com/privacy-central/cybersecurity/dark-web-market-price-index-hacking-tools-us-edition/
• 德勤報(bào)告 (Black-market ecosystem: Estimating the cost of “Pwnership,”)：https://www2.deloitte.com/us/en/pages/about-deloitte/articles/press-releases/deloitte-announces-new-cyber-threat-study-on-criminal-operational-cost.html

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文