您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

网络攻击成本仅一顿饭钱

时间:2019-11-21 11:47:11  来源:  作者:

跟普通商业行为一样,网络罪犯也要考虑运营成本和投资回报。但不幸的是,德勤会计师事务所的一份新报告发现,网络犯罪的成本低到令人难以置信。

公司企业投入大笔资金保护自己的网络和资产不受网络威胁的侵害。卡巴斯基实验室发现,企业安全预算平均每年 900 万美元左右。最重要的是,数据泄露却能让公司企业损失数百万美元。而且,还有便宜又好用的现成黑客工具在大幅降低网络罪犯入行门槛。

网络攻击和网络防御的数字对比极不公平。攻击者可以一袋零食的价格贱卖所盗记录,信息被盗的公司和个人受害者(如果信息被利用的话)所遭受的损失却要大得多。

Top10VPN 估测,如果罪犯全都入手的话,受害者整个数字身份——包括亚马逊、Uber、Spotify、Gmail、PayPal、Twitter、GrubHub 和 match.com 等主流在线服务登录凭证,约价值 1,000 美元。分开看的话,除了 PayPal 等网购或金融账户以外的所有东西价值少于 100 美元。

Armour的《黑市》报告发现,个人可识别信息 (PII) 虽然更贵点儿,在暗网上也就是每记录 200 美元以下的价格。Visa 和 Mastercard 信用卡信息每条记录 10 美元可买到。甚至完整银行账户信息也就价值 1,000 美元,即便账户里据说存了 1.5 万美元。很多情况下,老旧信息甚至都是免费奉送的。相对于公司企业因数据泄露而遭到的处罚,这对比太过强烈。IBM 最新的《数据泄露成本》报告显示,公司每条被盗记录的损失是 233 美元,监管严格的行业还会更高。

Top10VPN 的《黑客工具价格索引》发现,恶意软件价格低至 45 美元即可入手,指导如何构建攻击的教程更是便宜到仅 5 美元。极少有的罪犯需要花费 1,000 美元以上才能入手的单个攻击组件是零日漏洞利用程序(至少 3,000 美元),或者拦截蜂窝数据的蜂窝基站模拟器套装——超过 2.8 万美元。

但购买单个恶意软件甚或完整网络钓鱼工具包并不足以发起攻击:攻击需要托管主机、分发渠道、恶意软件混淆、账户验证器等等。在题为《黑市生态系统:估测黑客攻击成本》的新报告中,德勤律师事务所没有列举单项开支,而是计算了恶意黑客对企业发起完整攻击的整个运营总支出——从恶意软件和键盘记录器到域名托管、代理、VPN、电子邮件分发、代码混淆等。

德勤网络风险服务威胁情报总监 Loucif Kharouni 称:大型攻击活动背后的黑客团伙需要多层服务。想要投送银行木马,你得用到至少 5 或 6 个服务。

该报告发现,暗网上可满足攻击者个人需求的现成服务堪称泛滥,价位也适应各种不同预算层次。想要一台被黑服务器来发起键盘记录网络钓鱼攻击?简单。想要执行自己的远程访问木马攻击?没问题。

有时候,整个攻击活动甚至就值一顿饭钱。举几个例子:

德勤估算,甚至低至每月仅 34 美元的低端网络攻击都可带来 2.5 万美元的回报,耗费数千美元的高端攻击可获得高至每月 100 万美元的回报。同时,IBM 估测,数据泄露给公司企业带来的平均损失为 386 万美元。

低进入门槛、相对简单的攻击部署,再加上高回报,意味着潜在恶意黑客不受技术水平的限制。德勤网络风险服务托管威胁服务主管 Keith Brogan 说道:对比三年前和现在的进入门槛,很多极具针对性的服务真的已经不存在了,或者说开始走向市场了。

这种低成本高收益的现实,意味着罪犯盈利与伤害修复成本之间的巨大差异。以勒索软件为例,即便支付率仅 0.05%,投资回报率也能达到 500% 以上。尽管全球网络犯罪收益估计在 1.5 万亿美元左右,其造成的损失却直逼 6 万亿美元。考虑到 Gartner 估测 2019 年网络安全市场规模是 1,360 亿美元,也就是说,11 到 12 美元的网络犯罪收益仅驱动 1 美元的网络安全开支。

类似网络供应商领域,网络犯罪服务市场也满是小型精品运营商。德勤报告指出,暗网是一个 “非常高效的地下经济,黑客专精某一产品或服务,不试图多样化其在多个不同高技术性学科中的熟练程度。”

不同黑客提供不同级别的产品和服务。有便宜的低端选择——有些勒索软件工具包没有前期投入而只要求分成,实际上就是将前期投入直降至零了,但这种选项回报较低,也更容易被防御者挫败;砸钱投入收费服务可以增加成功和获得高投资回报的概率。对恶意黑客而言最复杂的因素通常是将不同组件串联整合到一次完整的攻击中。

廉价低端攻击不应该是 IT 团队的关注重点。如果公司安全运营良好,100 美元以下的攻击大部分都能被良好 IT 防护与基本安全控制措施妥善处理。于是,你可以专注决策哪些才是真正需要担心的高级威胁?然后就触及到谁才是盯上公司的[那类]恶意黑客?他们对什么东西感兴趣?以前他们是怎么用此类暗网服务发起攻击的?将来他们会怎么做?

Brogan 介绍,尽可能了解犯罪服务提供商与了解雇佣这些提供商对你网络下手的黑客一样重要。他说:“人们不关注这一层级,很多情况下想不到这些小攻击行动是对自身的真正威胁,因为他们没有纵览全局,忽略了网络罪犯串联这些工具以发起攻击的事实。”

即便不能令罪犯的攻击运营成本从极低猛拉至太高,至少可以让公司游离在普通现成攻击者的靶心之外。比如说,了解在登录系统上自动尝试凭证的账户验证器工作机制,然后找出阻止或减少其有效性的潜在途径。Brogan 表示:时间就是金钱,如果你能让攻击者花费大量时间展开行动,就相当于增加他们的运营成本。

增加网络罪犯的运营成本无疑会降低他们的投资回报,最终就使公司在当今 “目标丰富的环境” 中处于不那么有吸引力的位置了。尽管监管侧和司法机构的大动作终会削减犯罪市场规模,尤其是低端市场规模,但 CSO 应对自身安全态势更具战略思考,特别是修复和淘汰过时或到期产品和应用;同时,如果可以合法获利,漏洞奖励可打消某些黑客从事非法活动的念头,还有助于显现和清除漏洞。

这就是个智慧生命周期管理的问题。清除所有提权漏洞。过时或到期产品漏洞利用仍能产生有效投资回报,所以要确保 Flash 和 IE 之类的过时产品不出现在设备上。如果必须要用,那就确保这些东西不连接互联网。遵循供应商针对修复和淘汰产品的建议。



Tags:网络攻击   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
我们都知道公司网络中开放的端口越多,遭受网络攻击的可能性就越大,就越容易发生数据泄露事件。 在这篇文章中,我们将讨论与开放端口相关的网络安全隐患。 网络中的端口 据统计...【详细内容】
2021-12-10  Tags: 网络攻击  点击:(33)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  Tags: 网络攻击  点击:(57)  评论:(0)  加入收藏
一场意料之外的大停电可能成为现代社会的一场灾难。随着网络环境的开放,关键设施控制网络的数字化水平不断提高,以电力为首的能源系统遭到的网络攻击显著增多,成为电网安全...【详细内容】
2021-10-22  Tags: 网络攻击  点击:(37)  评论:(0)  加入收藏
黑客与安全在当今的互联网当中,总是存在着我们看不见也摸不着的一些 “互联网地下工作者”,也就是黑客。黑客的攻击方式分为很多种,有非破坏性攻击和破坏性攻击。非破坏性攻击...【详细内容】
2021-10-09  Tags: 网络攻击  点击:(60)  评论:(0)  加入收藏
DDoS之所以猖獗,是因为巨大的市场需求,尤其是在竞争激烈的行业。要想占领市场,十次宣传可能不如一次DDoS攻击快,鬼影互联但一次宣传可以发动十次甚至几十次DDoS攻击。现在国家越...【详细内容】
2021-06-02  Tags: 网络攻击  点击:(147)  评论:(0)  加入收藏
你的手机可能被入侵的方式有几种种。让我们分解每一个,看看一些可能的预防措施。1:手机丢失或被盗如果你丢失了手机,它可能会落入坏人之手。如果他们还有关于你的其他信息,他们...【详细内容】
2021-06-01  Tags: 网络攻击  点击:(131)  评论:(0)  加入收藏
新冠肺炎疫情带来的大量不确定性正让人们越发依赖数字化工具,并使远程办公、学习、购物、娱乐等生活方式变为常态,随着人们对互联网的依赖达到了前所未有的程度,网络威胁发起者...【详细内容】
2020-09-07  Tags: 网络攻击  点击:(102)  评论:(0)  加入收藏
近日,美国新闻网站雅虎新闻披露,美国总统特朗普曾于2018年签署密令,全面授权中央情报局(CIA)进行网络攻击活动,目标国家包括俄罗斯、中国、伊朗、朝鲜等。这项秘密授权使中情局可...【详细内容】
2020-07-21  Tags: 网络攻击  点击:(84)  评论:(0)  加入收藏
内容目录 0 引 言1 外部攻击模式与薄弱点利用要点分析·侦察跟踪阶段·武器构建阶段·突防利用与安装植入阶段·通信控制与达成目标阶段2 构建...【详细内容】
2020-07-05  Tags: 网络攻击  点击:(85)  评论:(0)  加入收藏
1.网络攻击技术概述常见网络攻击技术,网络嗅探技术、缓冲区溢出技术、拒绝服务攻击技术、IP欺骗技术、密码攻击技术等。常见的网络攻击工具,安全扫描工具、监听工具、口令破译...【详细内容】
2020-06-28  Tags: 网络攻击  点击:(103)  评论:(0)  加入收藏
▌简易百科推荐
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  邮电设计技术    Tags:Log4j   点击:(10)  评论:(0)  加入收藏
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  科技湃小编    Tags:黑客   点击:(8)  评论:(0)  加入收藏
这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。具体涉及到的入口类是lo...【详细内容】
2021-12-15  IT技术资源爱好者    Tags:Log4j漏洞   点击:(15)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  数说安全    Tags:网络安全公司   点击:(189)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  看雪学院    Tags:矿机   点击:(186)  评论:(0)  加入收藏
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在...【详细内容】
2021-03-19      Tags:漏洞   点击:(156)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16      Tags:root提权漏洞   点击:(137)  评论:(0)  加入收藏
深度学习是机器学习的一个子领域,它采用了一个特定的模型:一族通过某种方式连接起来的简单函数。由于这类模型的结构是受到人类大脑结构的启发而创造出来的...【详细内容】
2021-02-26      Tags:深度学习   点击:(269)  评论:(0)  加入收藏
物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。...【详细内容】
2021-01-22      Tags:物联网安全   点击:(463)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22      Tags:Web漏洞   点击:(562)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条