如何計(jì)算勒索軟件造成的損失？必須注意隱藏成本

Jaikumar Vijayan

贖金只不過是勒索軟件攻擊總成本的一小部分。在估算總損失時(shí)還應(yīng)考慮其他相關(guān)成本

當(dāng)應(yīng)對(duì)一起勒索軟件攻擊并從中恢復(fù)時(shí)，需要考慮很多相關(guān)因素，因此，衡量勒索軟件攻擊的總成本對(duì)于安全管理人員來說會(huì)非常棘手。以往無數(shù)的事件給我們的啟示表明，總成本會(huì)遠(yuǎn)遠(yuǎn)超出所要求的贖金數(shù)額，還涉及到與清理受感染系統(tǒng)相關(guān)的成本。

看看下面的實(shí)例：去年7月，紐約Buffalo的Erie縣醫(yī)療中心（ECMC）為應(yīng)對(duì)一起贖金3萬美元的勒索攻擊，估計(jì)實(shí)際花費(fèi)了1000萬美元！大約一半的資金用了在IT服務(wù)、軟件和其他與恢復(fù)相關(guān)的成本上。另一半則來自于員工加班、收益受損相關(guān)的成本和其他間接成本。ECMC官員估計(jì)醫(yī)療中心需要花費(fèi)數(shù)十萬美元來升級(jí)技術(shù)，加強(qiáng)對(duì)員工的意識(shí)培訓(xùn)。

公開記錄顯示，2018年3月，亞特蘭大市遭受的一起勒索軟件攻擊導(dǎo)致關(guān)鍵的城市服務(wù)癱瘓了幾天，對(duì)此花費(fèi)了近500萬美元以獲得緊急IT服務(wù)。成本包括與第三方事件響應(yīng)服務(wù)、危機(jī)公關(guān)、擴(kuò)充支持人員和主題專家咨詢服務(wù)相關(guān)的費(fèi)用。

今年2月，勒索軟件感染了美國(guó)交通部CDOT的2000多個(gè)Windows系統(tǒng)之后，科羅拉多州州長(zhǎng)John Hickenlooper不得不從州災(zāi)難應(yīng)急基金中留出200萬美元以應(yīng)對(duì)不測(cè)之需。為能夠使遭受攻擊的系統(tǒng)恢復(fù)正常，CDOT官員在不到八個(gè)星期的時(shí)間里就花了超過一半的資金。

毫不奇怪的是，近期會(huì)有越來越多的行業(yè)由于遭受勒索軟件攻擊而受損。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司（Cybersecurity Ventures）在2015年把勒索軟件贖金成本定為3.25億美元，去年該公司估計(jì)，2017年的損失為50億美元，并預(yù)計(jì)2019年將超過115億美元。

對(duì)于想估算勒索軟件總成本的安全管理人員而言，關(guān)鍵是不要囿于贖金數(shù)額本身。即使最終支付贖金恢復(fù)了數(shù)據(jù)——這是大多數(shù)安全分析家所反對(duì)的，大多數(shù)情況下攻擊的實(shí)際成本會(huì)更高。

StutelelOne公司的安全拓展專員Gary Mello說：“數(shù)據(jù)丟失和生產(chǎn)效率下降是管理人員應(yīng)主動(dòng)做好應(yīng)對(duì)的勒索軟件兩大相關(guān)問題。在估算攻擊總成本時(shí)，應(yīng)考慮包括數(shù)據(jù)的丟失和損壞、停機(jī)和生產(chǎn)效率下降，以及正常業(yè)務(wù)過程遭受后期攻擊而有可能被中斷等因素。”

以下詳細(xì)介紹了安全管理人員在計(jì)算勒索軟件攻擊成本時(shí)應(yīng)注意的一些非常明顯和一些不太明顯的成本。

勒索軟件響應(yīng)、恢復(fù)和復(fù)原成本

屬于這一類別的很多成本在任何重大安全事件中都非常典型。GreyCastle Security公司在ECMC遭受攻擊后提供了幫助，該公司首席執(zhí)行官Reg Harnish評(píng)論說，相關(guān)成本還包括計(jì)算機(jī)調(diào)查、數(shù)字取證，以及惡意軟件識(shí)別和刪除的成本。他指出，這其中包括了獲取備份和重新鏡像系統(tǒng)的成本，通常還有恢復(fù)受損數(shù)據(jù)和系統(tǒng)的成本。

除非企業(yè)自己有一個(gè)大規(guī)模而且合格的安全響應(yīng)部門，否則，企業(yè)應(yīng)該引進(jìn)外部專家和顧問，以幫助恢復(fù)系統(tǒng)。Harnish說，企業(yè)可能需要擴(kuò)充現(xiàn)有的員工隊(duì)伍，并準(zhǔn)備好給他們加班費(fèi)，以使系統(tǒng)恢復(fù)正常。

針對(duì)各種不同的惡意軟件，還需要升級(jí)或者更換技術(shù)。這也會(huì)帶來相關(guān)的成本，當(dāng)你想評(píng)估勒索軟件攻擊的影響時(shí)，至少要考慮這些成本。

數(shù)據(jù)備份的質(zhì)量是一個(gè)很重要的因素。如果數(shù)據(jù)備份的質(zhì)量不高，或者攻擊者能夠設(shè)法刪除和加密備份的數(shù)據(jù)，那么企業(yè)的成本將大幅增加。Harnish指出：“停機(jī)的時(shí)間越長(zhǎng)，成本就越高。”SentinelOne公司2018年在全球范圍內(nèi)進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，解密加密文件所需的平均工時(shí)數(shù)或者使用備份數(shù)據(jù)替換加密數(shù)據(jù)的時(shí)間大約是40小時(shí)——高于2016年的33小時(shí)。

支付了贖金后的其他成本

支付贖金并不能保證立即恢復(fù)數(shù)據(jù)。Harnish指出，即使企業(yè)有很好的理由去支付贖金，如果犯罪分子的確按照承諾提供了解密密鑰，你仍然需要一定的時(shí)間來恢復(fù)數(shù)據(jù)。

例如，在ECMC的案例中，大約有6000臺(tái)計(jì)算機(jī)被攻破了。Harnish說，如果每一個(gè)系統(tǒng)都有一塊1萬億字節(jié)的硬盤被加密了，那么這將需要一個(gè)多星期的時(shí)間來解密所有的東西。

除非你有塞滿了比特幣的數(shù)字錢包，不在乎發(fā)生這樣的事件，否則需要一些時(shí)間來建立比特幣錢包，然后塞上比特幣。攻擊者也需要一些時(shí)間來驗(yàn)證和轉(zhuǎn)移資金。

如果你的企業(yè)停工，就會(huì)有兩個(gè)星期的時(shí)間回到紙面上工作，那么即使能恢復(fù)所有的數(shù)據(jù)，仍然需要協(xié)調(diào)離線的兩周內(nèi)所進(jìn)行的紙面工作。Harnish說，所有這些因素都會(huì)累積，特別是在支付了贖金的情況下。“支付贖金不是萬能的。還會(huì)有其他費(fèi)用，不一定能解決所有的問題。”

端點(diǎn)保護(hù)供應(yīng)商Barkly的創(chuàng)始人兼首席技術(shù)官Jack Danahy評(píng)論說，關(guān)鍵是，即使企業(yè)的系統(tǒng)在付款后恢復(fù)了，也無法知道它們到底有多安全。他說：“如果不擦除并重裝機(jī)器，幾乎不可能保證沒有殘留的感染文件或者漏洞。”

即使恢復(fù)的數(shù)據(jù)文件也會(huì)被感染，因此在恢復(fù)之后這些仍然是威脅。“既然機(jī)器和數(shù)據(jù)無論如何都要重裝，為什么要支付贖金呢？”

勒索軟件攻擊期間和之后的停機(jī)成本

一次勒索軟件攻擊會(huì)影響企業(yè)正常開展業(yè)務(wù)的能力。企業(yè)花時(shí)間去應(yīng)對(duì)攻擊，實(shí)際上失去了商機(jī)。Danahy說：“在所有最具破壞性的攻擊中，受害最嚴(yán)重的受害者甚至都無法交付產(chǎn)品和服務(wù)。”醫(yī)院不能治療病人，技術(shù)提供商不能提供他們的服務(wù)，物流企業(yè)無法裝運(yùn)，應(yīng)急人員也無法及時(shí)回應(yīng)。

2016年11月，勒索軟件攻擊了舊金山公共交通系統(tǒng)的售票系統(tǒng)，導(dǎo)致該系統(tǒng)暫時(shí)癱瘓。當(dāng)安全工程師致力于解決這個(gè)問題時(shí)，這座城市損失了一天多的票價(jià)收入。Danahy說：“關(guān)鍵是，管理人員應(yīng)考慮缺少某臺(tái)機(jī)器后對(duì)其業(yè)務(wù)的影響，從而衡量每臺(tái)機(jī)器停機(jī)所造成的成本。”

還有其他與停機(jī)相關(guān)的成本。企業(yè)的IT部門和安全人員解決問題的時(shí)間越長(zhǎng)，他們離開本職工作的時(shí)間就越長(zhǎng)。

勒索軟件攻擊的下游成本

Mello說，企業(yè)極有可能忽視的一項(xiàng)成本是勒索軟件攻擊對(duì)供應(yīng)商和其他第三方的影響。SentinelOne的全球勒索軟件報(bào)告顯示，遭遇勒索軟件攻擊的美國(guó)企業(yè)中，有46%企業(yè)的第三方供應(yīng)商也受到了影響。

這些合作伙伴和供應(yīng)商中的35%工作效率下降，還有23%聲稱遭受了經(jīng)濟(jì)損失。在這項(xiàng)研究中，第三方受影響最大的國(guó)家是法國(guó)。Mello說：“勒索軟件對(duì)經(jīng)濟(jì)的滲透會(huì)給合作伙伴和供應(yīng)鏈產(chǎn)生廣泛的影響，而且往往被忽視。”

勒索軟件攻擊造成的聲譽(yù)成本

Lastline公司的聯(lián)合創(chuàng)始人兼首席架構(gòu)師Engin Kirda表示，最難以衡量和評(píng)估的一種成本是勒索軟件攻擊造成的聲譽(yù)損害。例如，金融機(jī)構(gòu)需要得到客戶的信任。Kirda也是波士頓東北大學(xué)的教授，他指出：“大家都認(rèn)為，企業(yè)應(yīng)該能夠做好應(yīng)對(duì)網(wǎng)絡(luò)威脅的準(zhǔn)備。聽說某企業(yè)遭到了勒索軟件攻擊或者相關(guān)網(wǎng)絡(luò)威脅后，客戶可能會(huì)不再信任該企業(yè)。”

遭受重大泄露事件的公司往往會(huì)更容易被監(jiān)管部門關(guān)注，遭受巨額罰款。SentinelOne的Mello指出，對(duì)于上市公司來說，投資者對(duì)攻擊事件的反應(yīng)可能會(huì)致使股價(jià)下跌。他指出，2017年牛津經(jīng)濟(jì)研究院（Oxford Economics）代表總部位于蒙特利爾的CGI進(jìn)行的一項(xiàng)研究顯示，在65家遭受重大泄露事件的上市公司中，其股票長(zhǎng)期基礎(chǔ)價(jià)格平均下跌了1.8%。對(duì)于金融時(shí)報(bào)證券交易所100指數(shù)的典型公司，這相當(dāng)于1.6億美元的永久市值損失。

Kirda說：“任何企業(yè)都不希望出現(xiàn)這樣的情況——很多媒體會(huì)報(bào)道該企業(yè)丟失了多少敏感的用戶數(shù)據(jù)。我們不能僅僅給損失定個(gè)價(jià)就了事了。”

與勒索軟件攻擊相關(guān)的泄露事件成本

除非你能夠確鑿地證明，在勒索軟件攻擊中，并沒有訪問到受保護(hù)的數(shù)據(jù)，否則你就得聲明遭受了數(shù)據(jù)泄露事件。Harnsih說，這意味著所有相關(guān)的泄露事件通知和危機(jī)公關(guān)成本，以及可能帶來的監(jiān)管和法定處罰。他說，泄露事件也可能引發(fā)法律和訴訟相關(guān)的費(fèi)用，招致更多的監(jiān)管審查，以及與履行聯(lián)邦或者州當(dāng)局施加的任何義務(wù)造成的成本。

Danahy指出：“對(duì)于監(jiān)管行業(yè)，管理人員應(yīng)該與律師和合規(guī)部門交流，以了解是否需要披露某些勒索軟件事件，以及是否需要通知受影響的用戶。”感染勒索軟件更常被視為他所說的合規(guī)事件。“這可能意味著巨大的成本。”

Jaikumar Vijayan是一位專注于計(jì)算機(jī)安全和隱私話題的自由技術(shù)作家。

原文網(wǎng)址

https：//www.csoonline.com/article/3276584/ransomware/what-does-a-ransomware-attack-cost-beware-the-hidden-expenses.html