网络攻击成本仅一顿饭钱

跟普通商业行为一样,网络罪犯也要考虑运营成本和投资回报 。但不幸的是,德勤会计师事务所的一份新报告发现,网络犯罪的成本低到令人难以置信 。
公司企业投入大笔资金保护自己的网络和资产不受网络威胁的侵害 。卡巴斯基实验室发现,企业安全预算平均每年 900 万美元左右 。最重要的是,数据泄露却能让公司企业损失数百万美元 。而且,还有便宜又好用的现成黑客工具在大幅降低网络罪犯入行门槛 。
网络攻击和网络防御的数字对比极不公平 。攻击者可以一袋零食的价格贱卖所盗记录,信息被盗的公司和个人受害者(如果信息被利用的话)所遭受的损失却要大得多 。
Top10VPN 估测,如果罪犯全都入手的话,受害者整个数字身份——包括亚马逊、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub 和 match.com 等主流在线服务登录凭证,约价值 1,000 美元 。分开看的话,除了 PayPal 等网购或金融账户以外的所有东西价值少于 100 美元 。
Armour的《黑市》报告发现,个人可识别信息 (PII) 虽然更贵点儿,在暗网上也就是每记录 200 美元以下的价格 。Visa 和 Mastercard 信用卡信息每条记录 10 美元可买到 。甚至完整银行账户信息也就价值 1,000 美元,即便账户里据说存了 1.5 万美元 。很多情况下,老旧信息甚至都是免费奉送的 。相对于公司企业因数据泄露而遭到的处罚,这对比太过强烈 。IBM 最新的《数据泄露成本》报告显示,公司每条被盗记录的损失是 233 美元,监管严格的行业还会更高 。
Top10VPN 的《黑客工具价格索引》发现,恶意软件价格低至 45 美元即可入手,指导如何构建攻击的教程更是便宜到仅 5 美元 。极少有的罪犯需要花费 1,000 美元以上才能入手的单个攻击组件是零日漏洞利用程序(至少 3,000 美元),或者拦截蜂窝数据的蜂窝基站模拟器套装——超过 2.8 万美元 。
但购买单个恶意软件甚或完整网络钓鱼工具包并不足以发起攻击:攻击需要托管主机、分发渠道、恶意软件混淆、账户验证器等等 。在题为《黑市生态系统:估测黑客攻击成本》的新报告中,德勤律师事务所没有列举单项开支,而是计算了恶意黑客对企业发起完整攻击的整个运营总支出——从恶意软件和键盘记录器到域名托管、代理、VPN、电子邮件分发、代码混淆等 。
【网络攻击成本仅一顿饭钱】德勤网络风险服务威胁情报总监 Loucif Kharouni 称:大型攻击活动背后的黑客团伙需要多层服务 。想要投送银行木马,你得用到至少 5 或 6 个服务 。
该报告发现,暗网上可满足攻击者个人需求的现成服务堪称泛滥,价位也适应各种不同预算层次 。想要一台被黑服务器来发起键盘记录网络钓鱼攻击?简单 。想要执行自己的远程访问木马攻击?没问题 。
有时候,整个攻击活动甚至就值一顿饭钱 。举几个例子:
德勤估算,甚至低至每月仅 34 美元的低端网络攻击都可带来 2.5 万美元的回报,耗费数千美元的高端攻击可获得高至每月 100 万美元的回报 。同时,IBM 估测,数据泄露给公司企业带来的平均损失为 386 万美元 。
低进入门槛、相对简单的攻击部署,再加上高回报,意味着潜在恶意黑客不受技术水平的限制 。德勤网络风险服务托管威胁服务主管 Keith Brogan 说道:对比三年前和现在的进入门槛,很多极具针对性的服务真的已经不存在了,或者说开始走向市场了 。
这种低成本高收益的现实,意味着罪犯盈利与伤害修复成本之间的巨大差异 。以勒索软件为例,即便支付率仅 0.05%,投资回报率也能达到 500% 以上 。尽管全球网络犯罪收益估计在 1.5 万亿美元左右,其造成的损失却直逼 6 万亿美元 。考虑到 Gartner 估测 2019 年网络安全市场规模是 1,360 亿美元,也就是说,11 到 12 美元的网络犯罪收益仅驱动 1 美元的网络安全开支 。
类似网络供应商领域,网络犯罪服务市场也满是小型精品运营商 。德勤报告指出,暗网是一个 “非常高效的地下经济,黑客专精某一产品或服务,不试图多样化其在多个不同高技术性学科中的熟练程度 。”
不同黑客提供不同级别的产品和服务 。有便宜的低端选择——有些勒索软件工具包没有前期投入而只要求分成,实际上就是将前期投入直降至零了,但这种选项回报较低,也更容易被防御者挫败;砸钱投入收费服务可以增加成功和获得高投资回报的概率 。对恶意黑客而言最复杂的因素通常是将不同组件串联整合到一次完整的攻击中 。


推荐阅读