就像普通的商业活动一样,网络犯罪分子也要考虑运营成本和投资回报。但不幸的是,德勤会计师事务所的一份新报告发现,网络犯罪的成本非常低。企业投入大量资金来保护其网络和资产免受网络威胁。卡巴斯基实验室发现,平均企业安全预算约为每年900万美元。最重要的是,数据泄露会给公司造成数百万美元的损失。此外,还有廉价易用的现成黑客工具,大大降低了网络犯罪分子的进入门槛。攻击便宜、安全且昂贵网络攻击和网络防御的数字非常不公平。虽然攻击者可以以一袋零食的价格出售被盗记录,但公司和被盗信息的个人受害者(如果信息被利用)遭受的损失要大得多。Top10VPN估计,如果犯罪分子得到受害者的全部数字身份(包括Amazon、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub和match.com等主要在线服务的登录凭据),其价值约为1,000美元。拆开来看,除了像PayPal或金融账户这样的在线购物之外,所有东西的价值都不到100美元。Armor的《黑市》报告发现,个人身份信息(PII)的成本更高,暗网上每条记录的价格低于200美元。Visa和Mastercard信用卡信息每条记录10美元。即使是完整的银行账户信息也价值1,000美元,尽管据报道该账户持有15,000美元。在许多情况下,旧信息甚至会免费提供。与公司因数据泄露而面临的处罚相比,这反差太大了。根据IBM最新的《数据泄露成本》报告,公司每条被盗记录损失233美元,在受到严格监管的行业中损失更多。Top10VPN的?发现恶意软件只需45美元即可购买,而有关如何构建攻击的教程仅需5美元。犯罪分子需要花费超过1,000美元才能获得的少数单个攻击组件是零日攻击(至少3,000美元),或者拦截蜂窝数据的蜂窝塔模拟器套件-超过28,000美元。但购买单个恶意软件甚至完整的网络钓鱼工具包都不足以发起攻击:攻击需要托管、分发渠道、恶意软件混淆、帐户验证器等。在这份名为《黑市生态系统:估测黑客攻击成本》的新报告中,德勤律师事务所没有引用个人费用,而是计算了恶意黑客对企业发起全面攻击的总运营费用——从恶意软件和键盘记录器到域托管、代理、VPN、电子邮件分发、代码混淆等。德勤网络风险服务威胁情报总监LoucifKharouni表示:大规模攻击背后的黑客团体需要多层服务。要投放银行木马,您至少需要使用5或6项服务。网络攻击的成本是多少?报告发现,暗网上有很多现成的服务可以满足攻击者的个性化需求,价格也适合各种预算水平。想让被黑的服务器发起键盘记录钓鱼攻击?简单的。想要执行您自己的远程访问木马攻击?没问题。有时整个攻击都值得一顿饭。举几个例子:整个网络钓鱼活动,包括托管、网络钓鱼工具包:平均500美元/月,入场价30美元/月;信息窃取/键盘记录活动(恶意软件、托管和分发):平均723美元,低至183美元;勒索软件和远程访问木马攻击:平均每个活动1,000美元;银行木马攻击:最初花费大约1,400美元,但最高可达3,500美元。网络犯罪的门槛不断降低,德勤估计,即使是低至每月34美元的低端网络攻击也能产生25,000美元的回报,而耗资数千美元的高端攻击每月可带来高达100万美元的回报月。同时,IBM估计数据泄露给企业造成的平均成本为386万美元。低进入门槛、相对简单的攻击部署以及高回报意味着潜在的恶意黑客不受技能水平的限制。DeloitteCyber??RiskServicesManagedThreatServices总监KeithBrogan表示:对比三年前和现在的进入壁垒,很多针对性很强的服务确实已经不存在了,或者已经开始进入市场。网络犯罪分子发动攻击真的没有那么昂贵或困难,而且很容易赚钱。进入门槛极低;您可以轻松访问各种可以轻松获利的服务。有时候只是想不到,做不到而已。这种低成本高收益的现实意味着犯罪分子的利润与修复损失的成本之间存在着巨大的差异。以勒索病毒为例,即使赔付率只有0.05%,投资回报率也能达到500%以上。虽然全球网络犯罪收入估计约为1.5万亿美元,但损失接近6万亿美元。考虑到Gartner估计2019年网络安全市场规模为1.1360亿美元,这意味着11至12美元的网络犯罪收益仅推动1美元的网络安全支出。与网络提供商空间一样,网络犯罪服务市场也充满了小型精品运营商。德勤的报告指出,暗网是一种“非常高效的地下经济,黑客专注于一种产品或服务,而不试图在许多不同的高技术学科中分散他们的熟练程度。”成本更低,工作量也少得多。通过这样做而不会在网络犯罪黑社会中建立太多联系,泄漏的可能性就会降低,被关闭的可能性也会降低。不同的黑客提供不同级别的产品和服务。有便宜的低端选项——一些勒索软件套件没有前期投资,只需要削减,有效地将前期投资减少到零,但这些选项回报较低,更容易受到防御者的阻挠;将钱投资于收费服务可以增加成功的几率和高投资回报率。对于恶意黑客而言,最复杂的因素通常是将不同组件级联集成为一次完整的攻击。CISO需要了解网络犯罪市场的哪些信息?廉价、低端的攻击不应该成为IT团队关注的焦点。如果公司的安全运营良好,大多数100美元以下的攻击都可以通过良好的IT防御和基本的安全控制得到很好的处理。因此,您可以专注于决定您真正需要担心的高级威胁是什么?然后你开始思考谁是针对公司的[typesof]恶意黑客?他们对什么感兴趣?他们过去是如何使用这种类型的暗网的?发起攻击的服务?他们将来会做什么?根据Brogan的说法,尽你所能了解犯罪服务提供商与了解雇用他们来攻击你的网络的黑客一样重要。“人们不关注这一层,在很多情况下,他们并不认为这些小操作对他们构成真正的威胁,因为他们看不到大局,他们忽视了网络犯罪分子是链接这些工具以发起攻击,”他说。如果我是CSO,我的情报团队会非常关注这些帮助人们发动攻击的服务。我想了解主要的托管服务提供商、所有代理、流量重定向服务、帐户验证器的工作原理。我想了解那里的所有DDoS服务。然后我可以将其与我的防御进行一对一映射——了解生态系统,了解它是如何工作的,组织我自己的防御和可见性工具来处理它。即使它不会将攻击的运营成本从对犯罪分子来说非常低到过高,它至少也会让公司远离普通的现成攻击者的靶心。例如,了解在登录系统上自动尝试凭据的帐户身份验证器的工作原理,然后确定防止或降低其有效性的潜在方法。“时间就是金钱,”Brogan说,如果你能让攻击者花费大量时间进行操作,就会增加他们的操作成本。增加网络犯罪分子的运营成本无疑会降低他们的投资回报,最终使公司在当今“目标丰富的环境”中处于不利地位。虽然监管和司法部门的大动作最终会缩小犯罪市场的规模,尤其是在低端,但CSO应该对自身的安全态势更具战略性,尤其是修复和淘汰过时或过期的产品和应用程序;同时,如果合法获利,漏洞赏金可以阻止一些黑客从事非法活动,并帮助发现和消除漏洞。这是智能生命周期管理的问题。清理所有提权漏洞。利用过时或过期的产品仍然可以产生有效的投资回报,因此请确保设备上不存在Flash和IE等过时的产品。如果您必须使用它,请确保这些东西没有连接到Internet。遵循供应商关于维修和报废产品的建议。Armor《黑市》报告:https://www.armor.com/reports/black-market-report/Top10VPN黑客工具价格指数:https://www.top10vpn.com/privacy-central/cybersecurity/dark-web-market-price-index-hacking-tools-us-edition/德勤报告(黑市生态系统:估算“所有权”的成本):https://www2.deloitte.com/us/en/pages/about-deloitte/articles/press-releases/deloitte-announces-new-cyber-threat-study-on-criminal-operational-cost.htmlid:gooann-sectv)获取授权】点此阅读作者更多好文
