如何計算勒索軟件造成的損失？必須注意隱藏成本

Jaikumar Vijayan

贖金只不過是勒索軟件攻擊總成本的一小部分。在估算總損失時還應考慮其他相關成本

當應對一起勒索軟件攻擊并從中恢復時，需要考慮很多相關因素，因此，衡量勒索軟件攻擊的總成本對于安全管理人員來說會非常棘手。以往無數的事件給我們的啟示表明，總成本會遠遠超出所要求的贖金數額，還涉及到與清理受感染系統相關的成本。

看看下面的實例：去年7月，紐約Buffalo的Erie縣醫療中心（ECMC）為應對一起贖金3萬美元的勒索攻擊，估計實際花費了1000萬美元！大約一半的資金用了在IT服務、軟件和其他與恢復相關的成本上。另一半則來自于員工加班、收益受損相關的成本和其他間接成本。ECMC官員估計醫療中心需要花費數十萬美元來升級技術，加強對員工的意識培訓。

公開記錄顯示，2018年3月，亞特蘭大市遭受的一起勒索軟件攻擊導致關鍵的城市服務癱瘓了幾天，對此花費了近500萬美元以獲得緊急IT服務。成本包括與第三方事件響應服務、危機公關、擴充支持人員和主題專家咨詢服務相關的費用。

今年2月，勒索軟件感染了美國交通部CDOT的2000多個Windows系統之后，科羅拉多州州長John Hickenlooper不得不從州災難應急基金中留出200萬美元以應對不測之需。為能夠使遭受攻擊的系統恢復正常，CDOT官員在不到八個星期的時間里就花了超過一半的資金。

毫不奇怪的是，近期會有越來越多的行業由于遭受勒索軟件攻擊而受損。網絡安全風險投資公司（Cybersecurity Ventures）在2015年把勒索軟件贖金成本定為3.25億美元，去年該公司估計，2017年的損失為50億美元，并預計2019年將超過115億美元。

對于想估算勒索軟件總成本的安全管理人員而言，關鍵是不要囿于贖金數額本身。即使最終支付贖金恢復了數據——這是大多數安全分析家所反對的，大多數情況下攻擊的實際成本會更高。

StutelelOne公司的安全拓展專員Gary Mello說：“數據丟失和生產效率下降是管理人員應主動做好應對的勒索軟件兩大相關問題。在估算攻擊總成本時，應考慮包括數據的丟失和損壞、停機和生產效率下降，以及正常業務過程遭受后期攻擊而有可能被中斷等因素。”

以下詳細介紹了安全管理人員在計算勒索軟件攻擊成本時應注意的一些非常明顯和一些不太明顯的成本。

勒索軟件響應、恢復和復原成本

屬于這一類別的很多成本在任何重大安全事件中都非常典型。GreyCastle Security公司在ECMC遭受攻擊后提供了幫助，該公司首席執行官Reg Harnish評論說，相關成本還包括計算機調查、數字取證，以及惡意軟件識別和刪除的成本。他指出，這其中包括了獲取備份和重新鏡像系統的成本，通常還有恢復受損數據和系統的成本。

除非企業自己有一個大規模而且合格的安全響應部門，否則，企業應該引進外部專家和顧問，以幫助恢復系統。Harnish說，企業可能需要擴充現有的員工隊伍，并準備好給他們加班費，以使系統恢復正常。

針對各種不同的惡意軟件，還需要升級或者更換技術。這也會帶來相關的成本，當你想評估勒索軟件攻擊的影響時，至少要考慮這些成本。

數據備份的質量是一個很重要的因素。如果數據備份的質量不高，或者攻擊者能夠設法刪除和加密備份的數據，那么企業的成本將大幅增加。Harnish指出：“停機的時間越長，成本就越高。”SentinelOne公司2018年在全球范圍內進行的一項調查發現，解密加密文件所需的平均工時數或者使用備份數據替換加密數據的時間大約是40小時——高于2016年的33小時。

支付了贖金后的其他成本

支付贖金并不能保證立即恢復數據。Harnish指出，即使企業有很好的理由去支付贖金，如果犯罪分子的確按照承諾提供了解密密鑰，你仍然需要一定的時間來恢復數據。

例如，在ECMC的案例中，大約有6000臺計算機被攻破了。Harnish說，如果每一個系統都有一塊1萬億字節的硬盤被加密了，那么這將需要一個多星期的時間來解密所有的東西。

除非你有塞滿了比特幣的數字錢包，不在乎發生這樣的事件，否則需要一些時間來建立比特幣錢包，然后塞上比特幣。攻擊者也需要一些時間來驗證和轉移資金。

如果你的企業停工，就會有兩個星期的時間回到紙面上工作，那么即使能恢復所有的數據，仍然需要協調離線的兩周內所進行的紙面工作。Harnish說，所有這些因素都會累積，特別是在支付了贖金的情況下?！爸Ц囤H金不是萬能的。還會有其他費用，不一定能解決所有的問題?！?/p>

端點保護供應商Barkly的創始人兼首席技術官Jack Danahy評論說，關鍵是，即使企業的系統在付款后恢復了，也無法知道它們到底有多安全。他說：“如果不擦除并重裝機器，幾乎不可能保證沒有殘留的感染文件或者漏洞。”

即使恢復的數據文件也會被感染，因此在恢復之后這些仍然是威脅?！凹热粰C器和數據無論如何都要重裝，為什么要支付贖金呢？”

勒索軟件攻擊期間和之后的停機成本

一次勒索軟件攻擊會影響企業正常開展業務的能力。企業花時間去應對攻擊，實際上失去了商機。Danahy說：“在所有最具破壞性的攻擊中，受害最嚴重的受害者甚至都無法交付產品和服務?！贬t院不能治療病人，技術提供商不能提供他們的服務，物流企業無法裝運，應急人員也無法及時回應。

2016年11月，勒索軟件攻擊了舊金山公共交通系統的售票系統，導致該系統暫時癱瘓。當安全工程師致力于解決這個問題時，這座城市損失了一天多的票價收入。Danahy說：“關鍵是，管理人員應考慮缺少某臺機器后對其業務的影響，從而衡量每臺機器停機所造成的成本?！?/p>

還有其他與停機相關的成本。企業的IT部門和安全人員解決問題的時間越長，他們離開本職工作的時間就越長。

勒索軟件攻擊的下游成本

Mello說，企業極有可能忽視的一項成本是勒索軟件攻擊對供應商和其他第三方的影響。SentinelOne的全球勒索軟件報告顯示，遭遇勒索軟件攻擊的美國企業中，有46%企業的第三方供應商也受到了影響。

這些合作伙伴和供應商中的35%工作效率下降，還有23%聲稱遭受了經濟損失。在這項研究中，第三方受影響最大的國家是法國。Mello說：“勒索軟件對經濟的滲透會給合作伙伴和供應鏈產生廣泛的影響，而且往往被忽視。”

勒索軟件攻擊造成的聲譽成本

Lastline公司的聯合創始人兼首席架構師Engin Kirda表示，最難以衡量和評估的一種成本是勒索軟件攻擊造成的聲譽損害。例如，金融機構需要得到客戶的信任。Kirda也是波士頓東北大學的教授，他指出：“大家都認為，企業應該能夠做好應對網絡威脅的準備。聽說某企業遭到了勒索軟件攻擊或者相關網絡威脅后，客戶可能會不再信任該企業?！?/p>

遭受重大泄露事件的公司往往會更容易被監管部門關注，遭受巨額罰款。SentinelOne的Mello指出，對于上市公司來說，投資者對攻擊事件的反應可能會致使股價下跌。他指出，2017年牛津經濟研究院（Oxford Economics）代表總部位于蒙特利爾的CGI進行的一項研究顯示，在65家遭受重大泄露事件的上市公司中，其股票長期基礎價格平均下跌了1.8%。對于金融時報證券交易所100指數的典型公司，這相當于1.6億美元的永久市值損失。

Kirda說：“任何企業都不希望出現這樣的情況——很多媒體會報道該企業丟失了多少敏感的用戶數據。我們不能僅僅給損失定個價就了事了?！?/p>

與勒索軟件攻擊相關的泄露事件成本

除非你能夠確鑿地證明，在勒索軟件攻擊中，并沒有訪問到受保護的數據，否則你就得聲明遭受了數據泄露事件。Harnsih說，這意味著所有相關的泄露事件通知和危機公關成本，以及可能帶來的監管和法定處罰。他說，泄露事件也可能引發法律和訴訟相關的費用，招致更多的監管審查，以及與履行聯邦或者州當局施加的任何義務造成的成本。

Danahy指出：“對于監管行業，管理人員應該與律師和合規部門交流，以了解是否需要披露某些勒索軟件事件，以及是否需要通知受影響的用戶。”感染勒索軟件更常被視為他所說的合規事件?！斑@可能意味著巨大的成本。”

Jaikumar Vijayan是一位專注于計算機安全和隱私話題的自由技術作家。

原文網址

https：//www.csoonline.com/article/3276584/ransomware/what-does-a-ransomware-attack-cost-beware-the-hidden-expenses.html