當應對一起勒索軟件攻擊并從中恢複時,需要考慮很多相關因素,因此,衡量勒索軟件攻擊的總成本對于安全管理人員來說會非常棘手。以往無數的事件給我們的啟示表明,總成本會遠遠超出所要求的贖金數額,還涉及到與清理受感染系統相關的成本。
看看下面的實例:去年7月,紐約Buffalo的Erie縣醫療中心(ECMC)為應對一起贖金3萬美元的勒索攻擊,估計實際花費了1000萬美元!大約一半的資金用了在IT服務、軟件和其他與恢複相關的成本上。另一半則來自于員工加班、收益受損相關的成本和其他間接成本。ECMC官員估計醫療中心需要花費數十萬美元來升級技術,加強對員工的意識培訓。
公開記錄顯示,2018年3月,亞特蘭大市遭受的一起勒索軟件攻擊導緻關鍵的城市服務癱瘓了幾天,對此花費了近500萬美元以獲得緊急IT服務。成本包括與第三方事件響應服務、危機公關、擴充支持人員和主題專家咨詢服務相關的費用。
今年2月,勒索軟件感染了美國交通部CDOT的2000多個Windows系統之後,科羅拉多州州長JohnHickenlooper不得不從州災難應急基金中留出200萬美元以應對不測之需。為能夠使遭受攻擊的系統恢複正常,CDOT官員在不到八個星期的時間裡就花了超過一半的資金。
毫不奇怪的是,近期會有越來越多的行業由于遭受勒索軟件攻擊而受損。網絡安全風險投資公司(CybersecurityVentures)在2015年把勒索軟件贖金成本定為3.25億美元,去年該公司估計,2017年的損失為50億美元,并預計2019年将超過115億美元。
對于想估算勒索軟件總成本的安全管理人員而言,關鍵是不要囿于贖金數額本身。即使最終支付贖金恢複了數據——這是大多數安全分析家所反對的,大多數情況下攻擊的實際成本會更高。
StutelelOne公司的安全拓展專員GaryMello說:“數據丢失和生産效率下降是管理人員應主動做好應對的勒索軟件兩大相關問題。在估算攻擊總成本時,應考慮包括數據的丢失和損壞、停機和生産效率下降,以及正常業務過程遭受後期攻擊而有可能被中斷等因素。”
以下詳細介紹了安全管理人員在計算勒索軟件攻擊成本時應注意的一些非常明顯和一些不太明顯的成本。
勒索軟件響應、恢複和複原成本
屬于這一類别的很多成本在任何重大安全事件中都非常典型。GreyCastleSecurity公司在ECMC遭受攻擊後提供了幫助,該公司首席執行官RegHarnish評論說,相關成本還包括計算機調查、數字取證,以及惡意軟件識别和删除的成本。他指出,這其中包括了獲取備份和重新鏡像系統的成本,通常還有恢複受損數據和系統的成本。
除非企業自己有一個大規模而且合格的安全響應部門,否則,企業應該引進外部專家和顧問,以幫助恢複系統。Harnish說,企業可能需要擴充現有的員工隊伍,并準備好給他們加班費,以使系統恢複正常。
針對各種不同的惡意軟件,還需要升級或者更換技術。這也會帶來相關的成本,當你想評估勒索軟件攻擊的影響時,至少要考慮這些成本。
數據備份的質量是一個很重要的因素。如果數據備份的質量不高,或者攻擊者能夠設法删除和加密備份的數據,那麼企業的成本将大幅增加。Harnish指出:“停機的時間越長,成本就越高。”SentinelOne公司2018年在全球範圍内進行的一項調查發現,解密加密文件所需的平均工時數或者使用備份數據替換加密數據的時間大約是40小時——高于2016年的33小時。
支付了贖金後的其他成本
支付贖金并不能保證立即恢複數據。Harnish指出,即使企業有很好的理由去支付贖金,如果犯罪分子的确按照承諾提供了解密密鑰,你仍然需要一定的時間來恢複數據。
例如,在ECMC的案例中,大約有6000台計算機被攻破了。Harnish說,如果每一個系統都有一塊1萬億字節的硬盤被加密了,那麼這将需要一個多星期的時間來解密所有的東西。
除非你有塞滿了比特币的數字錢包,不在乎發生這樣的事件,否則需要一些時間來建立比特币錢包,然後塞上比特币。攻擊者也需要一些時間來驗證和轉移資金。
如果你的企業停工,就會有兩個星期的時間回到紙面上工作,那麼即使能恢複所有的數據,仍然需要協調離線的兩周内所進行的紙面工作。Harnish說,所有這些因素都會累積,特别是在支付了贖金的情況下。“支付贖金不是萬能的。還會有其他費用,不一定能解決所有的問題。”
端點保護供應商Barkly的創始人兼首席技術官JackDanahy評論說,關鍵是,即使企業的系統在付款後恢複了,也無法知道它們到底有多安全。他說:“如果不擦除并重裝機器,幾乎不可能保證沒有殘留的感染文件或者漏洞。”
即使恢複的數據文件也會被感染,因此在恢複之後這些仍然是威脅。“既然機器和數據無論如何都要重裝,為什麼要支付贖金呢?”
勒索軟件攻擊期間和之後的停機成本
一次勒索軟件攻擊會影響企業正常開展業務的能力。企業花時間去應對攻擊,實際上失去了商機。Danahy說:“在所有最具破壞性的攻擊中,受害最嚴重的受害者甚至都無法交付産品和服務。”醫院不能治療病人,技術提供商不能提供他們的服務,物流企業無法裝運,應急人員也無法及時回應。
2016年11月,勒索軟件攻擊了舊金山公共交通系統的售票系統,導緻該系統暫時癱瘓。當安全工程師緻力于解決這個問題時,這座城市損失了一天多的票價收入。Danahy說:“關鍵是,管理人員應考慮缺少某台機器後對其業務的影響,從而衡量每台機器停機所造成的成本。”
還有其他與停機相關的成本。企業的IT部門和安全人員解決問題的時間越長,他們離開本職工作的時間就越長。
勒索軟件攻擊的下遊成本
Mello說,企業極有可能忽視的一項成本是勒索軟件攻擊對供應商和其他第三方的影響。SentinelOne的全球勒索軟件報告顯示,遭遇勒索軟件攻擊的美國企業中,有46%企業的第三方供應商也受到了影響。
這些合作夥伴和供應商中的35%工作效率下降,還有23%聲稱遭受了經濟損失。在這項研究中,第三方受影響最大的國家是法國。Mello說:“勒索軟件對經濟的滲透會給合作夥伴和供應鍊産生廣泛的影響,而且往往被忽視。”
勒索軟件攻擊造成的聲譽成本
Lastline公司的聯合創始人兼首席架構師EnginKirda表示,最難以衡量和評估的一種成本是勒索軟件攻擊造成的聲譽損害。例如,金融機構需要得到客戶的信任。Kirda也是波士頓東北大學的教授,他指出:“大家都認為,企業應該能夠做好應對網絡威脅的準備。聽說某企業遭到了勒索軟件攻擊或者相關網絡威脅後,客戶可能會不再信任該企業。”
遭受重大洩露事件的公司往往會更容易被監管部門關注,遭受巨額罰款。SentinelOne的Mello指出,對于上市公司來說,投資者對攻擊事件的反應可能會緻使股價下跌。他指出,2017年牛津經濟研究院(OxfordEconomics)代表總部位于蒙特利爾的CGI進行的一項研究顯示,在65家遭受重大洩露事件的上市公司中,其股票長期基礎價格平均下跌了1.8%。對于金融時報證券交易所100指數的典型公司,這相當于1.6億美元的永久市值損失。
Kirda說:“任何企業都不希望出現這樣的情況——很多媒體會報道該企業丢失了多少敏感的用戶數據。我們不能僅僅給損失定個價就了事了。”
與勒索軟件攻擊相關的洩露事件成本
除非你能夠确鑿地證明,在勒索軟件攻擊中,并沒有訪問到受保護的數據,否則你就得聲明遭受了數據洩露事件。Harnsih說,這意味着所有相關的洩露事件通知和危機公關成本,以及可能帶來的監管和法定處罰。他說,洩露事件也可能引發法律和訴訟相關的費用,招緻更多的監管審查,以及與履行聯邦或者州當局施加的任何義務造成的成本。
Danahy指出:“對于監管行業,管理人員應該與律師和合規部門交流,以了解是否需要披露某些勒索軟件事件,以及是否需要通知受影響的用戶。”感染勒索軟件更常被視為他所說的合規事件。“這可能意味着巨大的成本。”
JaikumarVijayan是一位專注于計算機安全和隐私話題的自由技術作家。
原文網址https://www.csoonline/article/3276584/ransomware/what-doesa-ransomware-attackcost-beware-the-hiddenexpenses.html