跟普通商業(yè)行為一樣，網(wǎng)絡(luò)罪犯也要考慮運營成本和投資回報。但不幸的是，德勤會計師事務(wù)所的一份新報告發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪的成本低到令人難以置信。

[[283157]]

公司企業(yè)投入大筆資金保護(hù)自己的網(wǎng)絡(luò)和資產(chǎn)不受網(wǎng)絡(luò)威脅的侵害。卡巴斯基實驗室發(fā)現(xiàn)，企業(yè)安全預(yù)算平均每年 900 萬美元左右。最重要的是，數(shù)據(jù)泄露卻能讓公司企業(yè)損失數(shù)百萬美元。而且，還有便宜又好用的現(xiàn)成黑客工具在大幅降低網(wǎng)絡(luò)罪犯入行門檻。

攻擊便宜安全貴

網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御的數(shù)字對比極不公平。攻擊者可以一袋零食的價格賤賣所盜記錄，信息被盜的公司和個人受害者(如果信息被利用的話)所遭受的損失卻要大得多。

Top10VPN 估測，如果罪犯全都入手的話，受害者整個數(shù)字身份——包括亞馬遜、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub 和 match.com 等主流在線服務(wù)登錄憑證，約價值 1,000 美元。分開看的話，除了 PayPal 等網(wǎng)購或金融賬戶以外的所有東西價值少于 100 美元。

Armour的《黑市》報告發(fā)現(xiàn)，個人可識別信息 (PII) 雖然更貴點兒，在暗網(wǎng)上也就是每記錄 200 美元以下的價格。Visa 和 Mastercard 信用卡信息每條記錄 10 美元可買到。甚至完整銀行賬戶信息也就價值 1,000 美元，即便賬戶里據(jù)說存了 1.5 萬美元。很多情況下，老舊信息甚至都是免費奉送的。相對于公司企業(yè)因數(shù)據(jù)泄露而遭到的處罰，這對比太過強烈。IBM 最新的《數(shù)據(jù)泄露成本》報告顯示，公司每條被盜記錄的損失是 233 美元，監(jiān)管嚴(yán)格的行業(yè)還會更高。

Top10VPN 的《黑客工具價格索引》發(fā)現(xiàn)，惡意軟件價格低至 45 美元即可入手，指導(dǎo)如何構(gòu)建攻擊的教程更是便宜到僅 5 美元。極少有的罪犯需要花費 1,000 美元以上才能入手的單個攻擊組件是零日漏洞利用程序(至少 3,000 美元)，或者攔截蜂窩數(shù)據(jù)的蜂窩基站模擬器套裝——超過 2.8 萬美元。

但購買單個惡意軟件甚或完整網(wǎng)絡(luò)釣魚工具包并不足以發(fā)起攻擊：攻擊需要托管主機(jī)、分發(fā)渠道、惡意軟件混淆、賬戶驗證器等等。在題為《黑市生態(tài)系統(tǒng)：估測黑客攻擊成本》的新報告中，德勤律師事務(wù)所沒有列舉單項開支，而是計算了惡意黑客對企業(yè)發(fā)起完整攻擊的整個運營總支出——從惡意軟件和鍵盤記錄器到域名托管、代理、VPN、電子郵件分發(fā)、代碼混淆等。

德勤網(wǎng)絡(luò)風(fēng)險服務(wù)威脅情報總監(jiān) Loucif Kharouni 稱：大型攻擊活動背后的黑客團(tuán)伙需要多層服務(wù)。想要投送銀行木馬，你得用到至少 5 或 6 個服務(wù)。

網(wǎng)絡(luò)攻擊成本幾何?

該報告發(fā)現(xiàn)，暗網(wǎng)上可滿足攻擊者個人需求的現(xiàn)成服務(wù)堪稱泛濫，價位也適應(yīng)各種不同預(yù)算層次。想要一臺被黑服務(wù)器來發(fā)起鍵盤記錄網(wǎng)絡(luò)釣魚攻擊?簡單。想要執(zhí)行自己的遠(yuǎn)程訪問木馬攻擊?沒問題。

有時候，整個攻擊活動甚至就值一頓飯錢。舉幾個例子：

• 包含托管、網(wǎng)絡(luò)釣魚工具包的整個網(wǎng)絡(luò)釣魚攻擊活動：平均每月 500 美元，入門價格每月 30 美元;
• 信息竊取/鍵盤記錄攻擊活動(惡意軟件、托管和分發(fā))：平均 723 美元，低至 183 美元;
• 勒索軟件和遠(yuǎn)程訪問木馬攻擊：平均每個攻擊活動 1,000 美元;
• 銀行木馬攻擊活動：初始開支約 1,400 美元，但可高至 3,500 美元。

網(wǎng)絡(luò)犯罪門檻不斷降低

德勤估算，甚至低至每月僅 34 美元的低端網(wǎng)絡(luò)攻擊都可帶來 2.5 萬美元的回報，耗費數(shù)千美元的高端攻擊可獲得高至每月 100 萬美元的回報。同時，IBM 估測，數(shù)據(jù)泄露給公司企業(yè)帶來的平均損失為 386 萬美元。

低進(jìn)入門檻、相對簡單的攻擊部署，再加上高回報，意味著潛在惡意黑客不受技術(shù)水平的限制。德勤網(wǎng)絡(luò)風(fēng)險服務(wù)托管威脅服務(wù)主管 Keith Brogan 說道：對比三年前和現(xiàn)在的進(jìn)入門檻，很多極具針對性的服務(wù)真的已經(jīng)不存在了，或者說開始走向市場了。

這種低成本高收益的現(xiàn)實，意味著罪犯盈利與傷害修復(fù)成本之間的巨大差異。以勒索軟件為例，即便支付率僅 0.05%，投資回報率也能達(dá)到 500% 以上。盡管全球網(wǎng)絡(luò)犯罪收益估計在 1.5 萬億美元左右，其造成的損失卻直逼 6 萬億美元?？紤]到 Gartner 估測 2019 年網(wǎng)絡(luò)安全市場規(guī)模是 1,360 億美元，也就是說，11 到 12 美元的網(wǎng)絡(luò)犯罪收益僅驅(qū)動 1 美元的網(wǎng)絡(luò)安全開支。

類似網(wǎng)絡(luò)供應(yīng)商領(lǐng)域，網(wǎng)絡(luò)犯罪服務(wù)市場也滿是小型精品運營商。德勤報告指出，暗網(wǎng)是一個 “非常高效的地下經(jīng)濟(jì)，黑客專精某一產(chǎn)品或服務(wù)，不試圖多樣化其在多個不同高技術(shù)性學(xué)科中的熟練程度。”

不同黑客提供不同級別的產(chǎn)品和服務(wù)。有便宜的低端選擇——有些勒索軟件工具包沒有前期投入而只要求分成，實際上就是將前期投入直降至零了，但這種選項回報較低，也更容易被防御者挫敗;砸錢投入收費服務(wù)可以增加成功和獲得高投資回報的概率。對惡意黑客而言最復(fù)雜的因素通常是將不同組件串聯(lián)整合到一次完整的攻擊中。

關(guān)于網(wǎng)絡(luò)犯罪市場，CISO 需要知道什么?

廉價低端攻擊不應(yīng)該是 IT 團(tuán)隊的關(guān)注重點。如果公司安全運營良好，100 美元以下的攻擊大部分都能被良好 IT 防護(hù)與基本安全控制措施妥善處理。于是，你可以專注決策哪些才是真正需要擔(dān)心的高級威脅?然后就觸及到誰才是盯上公司的[那類]惡意黑客?他們對什么東西感興趣?以前他們是怎么用此類暗網(wǎng)服務(wù)發(fā)起攻擊的?將來他們會怎么做?

Brogan 介紹，盡可能了解犯罪服務(wù)提供商與了解雇傭這些提供商對你網(wǎng)絡(luò)下手的黑客一樣重要。他說：“人們不關(guān)注這一層級，很多情況下想不到這些小攻擊行動是對自身的真正威脅，因為他們沒有縱覽全局，忽略了網(wǎng)絡(luò)罪犯串聯(lián)這些工具以發(fā)起攻擊的事實。”

即便不能令罪犯的攻擊運營成本從極低猛拉至太高，至少可以讓公司游離在普通現(xiàn)成攻擊者的靶心之外。比如說，了解在登錄系統(tǒng)上自動嘗試憑證的賬戶驗證器工作機(jī)制，然后找出阻止或減少其有效性的潛在途徑。Brogan 表示：時間就是金錢，如果你能讓攻擊者花費大量時間展開行動，就相當(dāng)于增加他們的運營成本。

增加網(wǎng)絡(luò)罪犯的運營成本無疑會降低他們的投資回報，最終就使公司在當(dāng)今 “目標(biāo)豐富的環(huán)境” 中處于不那么有吸引力的位置了。盡管監(jiān)管側(cè)和司法機(jī)構(gòu)的大動作終會削減犯罪市場規(guī)模，尤其是低端市場規(guī)模，但 CSO 應(yīng)對自身安全態(tài)勢更具戰(zhàn)略思考，特別是修復(fù)和淘汰過時或到期產(chǎn)品和應(yīng)用;同時，如果可以合法獲利，漏洞獎勵可打消某些黑客從事非法活動的念頭，還有助于顯現(xiàn)和清除漏洞。

這就是個智慧生命周期管理的問題。清除所有提權(quán)漏洞。過時或到期產(chǎn)品漏洞利用仍能產(chǎn)生有效投資回報，所以要確保 Flash 和 IE 之類的過時產(chǎn)品不出現(xiàn)在設(shè)備上。如果必須要用，那就確保這些東西不連接互聯(lián)網(wǎng)。遵循供應(yīng)商針對修復(fù)和淘汰產(chǎn)品的建議。

• Armour 《黑市》報告：https://www.armor.com/reports/black-market-report/
• Top10VPN 黑客工具價格索引：https://www.top10vpn.com/privacy-central/cybersecurity/dark-web-market-price-index-hacking-tools-us-edition/
• 德勤報告 (Black-market ecosystem: Estimating the cost of “Pwnership,”)：https://www2.deloitte.com/us/en/pages/about-deloitte/articles/press-releases/deloitte-announces-new-cyber-threat-study-on-criminal-operational-cost.html

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文