網絡的飛速發展帶來了美好生活體驗,也帶來讓我們頭疼的一串問題。其中網絡犯罪就是讓眾多企業、個人厭惡的一種行為。
當每次發生網絡攻擊後,最嚴重的數據洩露會讓受害方痛不欲生,也會讓企業損失幾百萬甚至幾千萬不等的金錢損失,那你是不是會認為網路攻擊成本與損失成正比呢,如果這樣認為就錯了,跟普通商業行為一樣,網絡罪犯也要考慮運營成本和投資回報,但據德勤會計師事務所的一份新報告發現,網絡犯罪的成本低到令人難以置信,甚至只有“一頓飯”的價格。
卡巴斯基實驗室發現,企業安全預算平均每年 900 萬美元左右。最重要的是,數據洩露卻能讓公司企業損失數百萬美元。而且,還有便宜又好用的現成黑客工具在大幅降低網絡罪犯入行門檻。
Armour的《黑市》報告發現,個人可識別信息 (PII) 雖然更貴點兒,在暗網上也就是每記錄 200 美元以下的價格。Visa 和 Mastercard 信用卡信息每條記錄 10 美元可買到。甚至完整銀行賬戶信息也就價值 1,000 美元,即便賬戶裡據說存了 1.5 萬美元。
Top10VPN 的《黑客工具價格索引》發現,惡意軟件價格低至 45 美元即可入手,指導如何構建攻擊的教程更是便宜到僅 5 美元。極少有的罪犯需要花費 1,000 美元以上才能入手的單個攻擊組件是零日漏洞利用程序(至少 3,000 美元),或者攔截蜂窩數據的蜂窩基站模擬器套裝——超過 2.8 萬美元。
並且德勤估算,甚至低至每月僅 34 美元的低端網絡攻擊都可帶來 2.5 萬美元的回報,耗費數千美元的高端攻擊可獲得高至每月 100 萬美元的回報。同時,IBM 估測,數據洩露給公司企業帶來的平均損失為 386 萬美元。
看了上面的報告數據,如此不公平的現象,會讓人發瘋的。攻擊者可以一袋零食的價格賤賣所盜記錄,但信息被盜的公司和個人受害者(如果信息被利用的話)所遭受的損失卻要大得多。
但即使如此,企業及個人不能因為這種原因而放棄保護,廉價的低端攻擊不應該是 IT 團隊的關注重點。如果公司安全運營良好,100 美元以下的攻擊,大部分都能被良好 IT 防護與基本安全控制措施妥善處理。當然,即使網絡罪犯想控制成本也是需要根據攻擊對象的安全控制措施進行實施,你要相信隨著網絡攻擊技術的出現,網絡安全技術也在不斷提高加強,即便不能令罪犯的攻擊運營成本從極低猛拉至太高,至少可以讓公司遊離在普通現成攻擊者的靶心之外。我們可以想辦法讓攻擊者花費大量時間展開行動,就相當於增加他們的運營成本,那對應的投資回報成本就會降低,如此,可能有些攻擊者就會考慮是否進行攻擊了。
其實,事情也不要想的太糟糕,如果一個網絡犯罪都沒有,企業放鬆警惕,當出現攻擊時,甚至最低端的網絡攻擊都會產生意想不到嚴重後果。
閱讀更多 賽亞安全 的文章
