如同正規商業經營一樣,黑客也需要衡量運營成本和投資回報。令人唏噓的是,近期德勤發布的一份新報告發現網絡犯罪的成本非常低。

公司消耗大量資金來保護他們的網絡和資產免受威脅。卡巴斯基實驗室發現,企業內的安全預算平均每年約為900萬美元(約6千萬元)。最重要的是,數據泄露會使公司損失數百萬美元。然而,令人難以置信的是低價、便于使用的現成黑客工具使網絡攻擊的入門門檻變得越來越低。

網絡攻擊比網絡安全便宜

攻擊和防御的資金消耗是十分不對等的。黑客足以負擔得起攻擊消耗,但是企業或個人受害者的防御成本卻要高得多。

TOP10 VPN估算每個人的整體數字身份成本,其中包含亞馬遜、優步、Spotify、Gmail、Paypal、Twitter甚至GrubHub和match.com等主流網站。如果不法分子想要所有信息,甚至花費不到1000美元即可獲得。除了PayPal等在線購物或金融賬戶以外,其他所有數據價值都不到100美元。

Armor的黑市報告發現個人身份信息(PII)雖然價格昂貴,但在暗網上的每條記錄仍不到200美元。Visa和Mastercard信用卡信息每條記錄10美元,甚至整個賬戶的銀行信息也只值1000美元,即使所述賬戶最高可達15,000美元。在大多數情況下,舊數據只是免費附贈。這與對被盜數據公司的處罰形成鮮明對比。根據IBM最新的數據違規成本報告,每個記錄損失的企業平均成本為233美元,在監管嚴格的行業中可能要高得多。

Top10 VPN的黑客工具價格指數發現惡意軟件只需45美元,而有關如何構建攻擊的教程只需5美元。其中少數情況時犯罪分子將被要求為任何單個組件支付超過1,000美元,用于零日攻擊或用于攔截呼叫數據的模擬器花費將超過28,000美元。

但是,購買單個惡意軟件甚至是完整的網絡釣魚工具包還不足以發動攻擊:攻擊需要托管、分發渠道、混淆惡意軟件、帳戶檢查等等。在一份新黑市生態系統的報告中這樣寫道:他們需要估算“Pwnership”的成本,Deloitte不僅僅列出了零碎的成本,還要計算了運營的總成本。從惡意軟件和鍵盤記錄器到域名托管、代理、VPN、電子郵件分發、代碼混淆等,不法分子才能發起針對企業的完整攻擊。

這種類型的大規模攻擊行為背后的組織需要提供多層級服務。對于完成銀行特洛伊木馬類型的攻擊行為,需要至少使用五到六個服務。

網絡攻擊的成本是多少?

該報告還發現暗網充斥著各種隨時可用的服務,以滿足黑客的個性化需求。需要一臺受感染的服務器才能啟動鍵盤記錄式網絡釣魚攻擊?想要運行遠程訪問木馬活動?答案是:一切都很簡單。

以下案例可供參考:

一項全面的網絡釣魚活動,包括托管、網絡釣魚套件:平均每月500美元,每月價格為30美元;

信息竊取/鍵盤記錄活動(惡意軟件、托管和分發):平均723美元,價格低至183美元;

勒索軟件和遠程訪問特洛伊木馬攻擊:廣告系列平均為1,000美元;

銀行特洛伊木馬活動:初期支出約為1,400美元,但可能高達3,500美元。

網絡犯罪門檻越來越低

報告中估計,即使是每月僅花費34美元的低端網絡攻擊也可以賺回25,000美元,而花費數千美元的更昂貴、復雜的攻擊每月可以賺多達100萬美元。與此同時,IBM估計數據泄露企業的平均成本為386萬美元。

進入成本低、易部署和高回報意味著潛在的威脅參與者越來越不受技術水平的限制。德勤網絡風險服務公司的負責人表示:將三年前的進入壁壘同現在相比,十分專業的攻擊服務提供者確實不存在抑或才進入市場。

犯罪分子進入壁壘非常低,他們可以非常輕松地訪問不同的服務,并且很容易獲得利潤。在某些情況下大眾只是受自己想象力的限制而已。

與安全供應商領域非常相似,網絡犯罪服務市場充斥著小型精品運營商。根據該報告,暗網是一個非常有效的地下經濟,不法工具提供者專注于產品或服務,而非提高其技術熟練度。

唯有真正專注于做事,這樣才能使成本更低、工作量更少。他們需要在地下網絡犯罪中建立最少的聯系,為了達到這一目標,他們的出貨量一般較少,因此也不太可能被關閉。

不同的參與者提供不同等級的產品和服務。更便宜、不復雜的選擇是可用的:一些勒索軟件包在沒有前期成本的情況下運營,他們選擇分享利潤,故而前期基本上可減少到零,但后續提供較少的回報,更有可能被防御者挫敗,同時溢價服務也增加了成功機會和回報比率。通常威脅參與者最復雜的因素是將不同的組件拼接成一場完整的攻擊。

CISO需要了解的有關網絡犯罪市場的信息

德勤回應道,廉價、簡單的攻擊不應該讓IT團隊過于擔心。如果企業安全狀態良好,大多數高達100美元的攻擊類型都會受到大部分基本安全控制的防御。然后,企業需要擔心哪些更高等級的威脅?需要深入了解的網絡風險和攻擊者可能感興趣的數據類型又有哪些?這些攻擊推動者以往發動攻擊的原因又是什么呢?

根據德勤發言人的說法,盡可能多地了解犯罪服務提供者和幫助安全研究人員使用它們對抗網絡的威脅同樣重要。

大眾無法確定小型攻擊究竟存在怎樣的威脅,因為企業還未把這些攻擊工具同真實的網絡犯罪行為相聯系起來。如果我是公民社會組織的一員,我的情報小組將真正專注于這些支持服務中的每一項。想要知道那里的主機、所有代理、流量重定向服務、帳戶檢查器如何工作。我需要了解那里的所有DDoS服務,然后將這些事物與防御機制相結合起來。了解生態系統,了解這些服務提供者如何工作、組織防御和使用可視化工具量化數據。

即使很難讓犯罪分子成本升高,但是對于大多數安防人員來說可以降低企業數據吸引人的程度。舉例來講:查看帳戶檢查程序如何自動運行登錄系統的憑據,然后找到阻止或降低其有效性的潛在方法。時間就是金錢,如果需要花費大量時間來實施攻擊,那就等同于提高他們的成本。