如何計算勒索軟件造成的損失？必須注意隱藏成本

Jaikumar Vijayan

贖金只不過是勒索軟件攻擊總成本的一小部分。在估算總損失時還應(yīng)考慮其他相關(guān)成本

當(dāng)應(yīng)對一起勒索軟件攻擊并從中恢復(fù)時，需要考慮很多相關(guān)因素，因此，衡量勒索軟件攻擊的總成本對于安全管理人員來說會非常棘手。以往無數(shù)的事件給我們的啟示表明，總成本會遠(yuǎn)遠(yuǎn)超出所要求的贖金數(shù)額，還涉及到與清理受感染系統(tǒng)相關(guān)的成本。

看看下面的實例：去年7月，紐約Buffalo的Erie縣醫(yī)療中心（ECMC）為應(yīng)對一起贖金3萬美元的勒索攻擊，估計實際花費了1000萬美元！大約一半的資金用了在IT服務(wù)、軟件和其他與恢復(fù)相關(guān)的成本上。另一半則來自于員工加班、收益受損相關(guān)的成本和其他間接成本。ECMC官員估計醫(yī)療中心需要花費數(shù)十萬美元來升級技術(shù)，加強對員工的意識培訓(xùn)。

公開記錄顯示，2018年3月，亞特蘭大市遭受的一起勒索軟件攻擊導(dǎo)致關(guān)鍵的城市服務(wù)癱瘓了幾天，對此花費了近500萬美元以獲得緊急IT服務(wù)。成本包括與第三方事件響應(yīng)服務(wù)、危機公關(guān)、擴充支持人員和主題專家咨詢服務(wù)相關(guān)的費用。

今年2月，勒索軟件感染了美國交通部CDOT的2000多個Windows系統(tǒng)之后，科羅拉多州州長John Hickenlooper不得不從州災(zāi)難應(yīng)急基金中留出200萬美元以應(yīng)對不測之需。為能夠使遭受攻擊的系統(tǒng)恢復(fù)正常，CDOT官員在不到八個星期的時間里就花了超過一半的資金。

毫不奇怪的是，近期會有越來越多的行業(yè)由于遭受勒索軟件攻擊而受損。網(wǎng)絡(luò)安全風(fēng)險投資公司（Cybersecurity Ventures）在2015年把勒索軟件贖金成本定為3.25億美元，去年該公司估計，2017年的損失為50億美元，并預(yù)計2019年將超過115億美元。

對于想估算勒索軟件總成本的安全管理人員而言，關(guān)鍵是不要囿于贖金數(shù)額本身。即使最終支付贖金恢復(fù)了數(shù)據(jù)——這是大多數(shù)安全分析家所反對的，大多數(shù)情況下攻擊的實際成本會更高。

StutelelOne公司的安全拓展專員Gary Mello說：“數(shù)據(jù)丟失和生產(chǎn)效率下降是管理人員應(yīng)主動做好應(yīng)對的勒索軟件兩大相關(guān)問題。在估算攻擊總成本時，應(yīng)考慮包括數(shù)據(jù)的丟失和損壞、停機和生產(chǎn)效率下降，以及正常業(yè)務(wù)過程遭受后期攻擊而有可能被中斷等因素?！?/p>

以下詳細(xì)介紹了安全管理人員在計算勒索軟件攻擊成本時應(yīng)注意的一些非常明顯和一些不太明顯的成本。

勒索軟件響應(yīng)、恢復(fù)和復(fù)原成本

屬于這一類別的很多成本在任何重大安全事件中都非常典型。GreyCastle Security公司在ECMC遭受攻擊后提供了幫助，該公司首席執(zhí)行官Reg Harnish評論說，相關(guān)成本還包括計算機調(diào)查、數(shù)字取證，以及惡意軟件識別和刪除的成本。他指出，這其中包括了獲取備份和重新鏡像系統(tǒng)的成本，通常還有恢復(fù)受損數(shù)據(jù)和系統(tǒng)的成本。

除非企業(yè)自己有一個大規(guī)模而且合格的安全響應(yīng)部門，否則，企業(yè)應(yīng)該引進(jìn)外部專家和顧問，以幫助恢復(fù)系統(tǒng)。Harnish說，企業(yè)可能需要擴充現(xiàn)有的員工隊伍，并準(zhǔn)備好給他們加班費，以使系統(tǒng)恢復(fù)正常。

針對各種不同的惡意軟件，還需要升級或者更換技術(shù)。這也會帶來相關(guān)的成本，當(dāng)你想評估勒索軟件攻擊的影響時，至少要考慮這些成本。

數(shù)據(jù)備份的質(zhì)量是一個很重要的因素。如果數(shù)據(jù)備份的質(zhì)量不高，或者攻擊者能夠設(shè)法刪除和加密備份的數(shù)據(jù)，那么企業(yè)的成本將大幅增加。Harnish指出：“停機的時間越長，成本就越高?！盨entinelOne公司2018年在全球范圍內(nèi)進(jìn)行的一項調(diào)查發(fā)現(xiàn)，解密加密文件所需的平均工時數(shù)或者使用備份數(shù)據(jù)替換加密數(shù)據(jù)的時間大約是40小時——高于2016年的33小時。

支付了贖金后的其他成本

支付贖金并不能保證立即恢復(fù)數(shù)據(jù)。Harnish指出，即使企業(yè)有很好的理由去支付贖金，如果犯罪分子的確按照承諾提供了解密密鑰，你仍然需要一定的時間來恢復(fù)數(shù)據(jù)。

例如，在ECMC的案例中，大約有6000臺計算機被攻破了。Harnish說，如果每一個系統(tǒng)都有一塊1萬億字節(jié)的硬盤被加密了，那么這將需要一個多星期的時間來解密所有的東西。

除非你有塞滿了比特幣的數(shù)字錢包，不在乎發(fā)生這樣的事件，否則需要一些時間來建立比特幣錢包，然后塞上比特幣。攻擊者也需要一些時間來驗證和轉(zhuǎn)移資金。

如果你的企業(yè)停工，就會有兩個星期的時間回到紙面上工作，那么即使能恢復(fù)所有的數(shù)據(jù)，仍然需要協(xié)調(diào)離線的兩周內(nèi)所進(jìn)行的紙面工作。Harnish說，所有這些因素都會累積，特別是在支付了贖金的情況下?！爸Ц囤H金不是萬能的。還會有其他費用，不一定能解決所有的問題?！?/p>

端點保護(hù)供應(yīng)商Barkly的創(chuàng)始人兼首席技術(shù)官Jack Danahy評論說，關(guān)鍵是，即使企業(yè)的系統(tǒng)在付款后恢復(fù)了，也無法知道它們到底有多安全。他說：“如果不擦除并重裝機器，幾乎不可能保證沒有殘留的感染文件或者漏洞。”

即使恢復(fù)的數(shù)據(jù)文件也會被感染，因此在恢復(fù)之后這些仍然是威脅?！凹热粰C器和數(shù)據(jù)無論如何都要重裝，為什么要支付贖金呢？”

勒索軟件攻擊期間和之后的停機成本

一次勒索軟件攻擊會影響企業(yè)正常開展業(yè)務(wù)的能力。企業(yè)花時間去應(yīng)對攻擊，實際上失去了商機。Danahy說：“在所有最具破壞性的攻擊中，受害最嚴(yán)重的受害者甚至都無法交付產(chǎn)品和服務(wù)。”醫(yī)院不能治療病人，技術(shù)提供商不能提供他們的服務(wù)，物流企業(yè)無法裝運，應(yīng)急人員也無法及時回應(yīng)。

2016年11月，勒索軟件攻擊了舊金山公共交通系統(tǒng)的售票系統(tǒng)，導(dǎo)致該系統(tǒng)暫時癱瘓。當(dāng)安全工程師致力于解決這個問題時，這座城市損失了一天多的票價收入。Danahy說：“關(guān)鍵是，管理人員應(yīng)考慮缺少某臺機器后對其業(yè)務(wù)的影響，從而衡量每臺機器停機所造成的成本。”

還有其他與停機相關(guān)的成本。企業(yè)的IT部門和安全人員解決問題的時間越長，他們離開本職工作的時間就越長。

勒索軟件攻擊的下游成本

Mello說，企業(yè)極有可能忽視的一項成本是勒索軟件攻擊對供應(yīng)商和其他第三方的影響。SentinelOne的全球勒索軟件報告顯示，遭遇勒索軟件攻擊的美國企業(yè)中，有46%企業(yè)的第三方供應(yīng)商也受到了影響。

這些合作伙伴和供應(yīng)商中的35%工作效率下降，還有23%聲稱遭受了經(jīng)濟(jì)損失。在這項研究中，第三方受影響最大的國家是法國。Mello說：“勒索軟件對經(jīng)濟(jì)的滲透會給合作伙伴和供應(yīng)鏈產(chǎn)生廣泛的影響，而且往往被忽視。”

勒索軟件攻擊造成的聲譽成本

Lastline公司的聯(lián)合創(chuàng)始人兼首席架構(gòu)師Engin Kirda表示，最難以衡量和評估的一種成本是勒索軟件攻擊造成的聲譽損害。例如，金融機構(gòu)需要得到客戶的信任。Kirda也是波士頓東北大學(xué)的教授，他指出：“大家都認(rèn)為，企業(yè)應(yīng)該能夠做好應(yīng)對網(wǎng)絡(luò)威脅的準(zhǔn)備。聽說某企業(yè)遭到了勒索軟件攻擊或者相關(guān)網(wǎng)絡(luò)威脅后，客戶可能會不再信任該企業(yè)?！?/p>

遭受重大泄露事件的公司往往會更容易被監(jiān)管部門關(guān)注，遭受巨額罰款。SentinelOne的Mello指出，對于上市公司來說，投資者對攻擊事件的反應(yīng)可能會致使股價下跌。他指出，2017年牛津經(jīng)濟(jì)研究院（Oxford Economics）代表總部位于蒙特利爾的CGI進(jìn)行的一項研究顯示，在65家遭受重大泄露事件的上市公司中，其股票長期基礎(chǔ)價格平均下跌了1.8%。對于金融時報證券交易所100指數(shù)的典型公司，這相當(dāng)于1.6億美元的永久市值損失。

Kirda說：“任何企業(yè)都不希望出現(xiàn)這樣的情況——很多媒體會報道該企業(yè)丟失了多少敏感的用戶數(shù)據(jù)。我們不能僅僅給損失定個價就了事了?！?/p>

與勒索軟件攻擊相關(guān)的泄露事件成本

除非你能夠確鑿地證明，在勒索軟件攻擊中，并沒有訪問到受保護(hù)的數(shù)據(jù)，否則你就得聲明遭受了數(shù)據(jù)泄露事件。Harnsih說，這意味著所有相關(guān)的泄露事件通知和危機公關(guān)成本，以及可能帶來的監(jiān)管和法定處罰。他說，泄露事件也可能引發(fā)法律和訴訟相關(guān)的費用，招致更多的監(jiān)管審查，以及與履行聯(lián)邦或者州當(dāng)局施加的任何義務(wù)造成的成本。

Danahy指出：“對于監(jiān)管行業(yè)，管理人員應(yīng)該與律師和合規(guī)部門交流，以了解是否需要披露某些勒索軟件事件，以及是否需要通知受影響的用戶?！备腥纠账鬈浖１灰暈樗f的合規(guī)事件?！斑@可能意味著巨大的成本?！?/p>

Jaikumar Vijayan是一位專注于計算機安全和隱私話題的自由技術(shù)作家。

原文網(wǎng)址

https：//www.csoonline.com/article/3276584/ransomware/what-does-a-ransomware-attack-cost-beware-the-hidden-expenses.html