装备一个资金充足的黑帽团队需要多少钱?防守这样的球队要多少钱?

信息安全 黑帽 预算
2021-08-30 14:56:59

Richard Bejtlich在 2009 年 7 月写道:

“我认为,只要每年 100 万美元,对手就可以资助一支受西方薪水的黑帽团队,该团队可以渗透并坚持其选择攻击的任何目标。”
(来自http://taosecurity.blogspot.com/2009/06/black-hat-budgeting.html

问题:

成本是否发生了显着变化?为什么?
成本是下降还是上升?为什么?
抵御资金雄厚的黑帽团队以您的业务为目标的成本是多少?请求政府援助是对抗资金充足团队的最后一道防线吗?

3个回答

只需 2500 美元即可启动黑帽操作

据报道,2009 年美国银行因互联网抢劫而损失超过 1.4 亿美元,在 24 小时内损失了 1000 万美元。

我相信只需 2500 美元就可以启动犯罪活动。

  • 云服务器:300美元,3个月

  • LAMP堆栈:0美元

  • 可以从银行窃取资金的恶意软件:700 美元(ZeuS,虽然低于 Meterpreter)

  • Web 漏洞利用交付/管理系统:800 美元(Fragus,虽然子 Drivesploit)
  • 一个使用广告来吸引流量/眼球的联盟系统:700 美元(或一个不错的 SQLi 或 RFI 僵尸网络)

总计:2500美元

我的证明

布赖恩·克雷布斯 (Brian Krebs) 发表了有关欺诈的安全修复文章。例子不胜枚举,但让我来举一个关于肯塔基县的例子,该县在 2009 年因我在上面创建的确切情况而损失了 415000 美元。这一特定的交易涉及大约 45 笔电汇,金额略低于 10000 美元。考虑到每个骡子的报酬约为 500 美元,并且整个操作涉及 2-4 个 UKR 骗子,您仍然在看 391k 分数分成 2-4 种方式,除了照顾钱骡子和润滑脂的时间之外几乎没有任何投资附属公司(哦,还有最初的 2500,以免我忘记!)。

这些骗子的技能也可能非常非常低。这甚至不是大学级别的系统管理。任何对 Linux 感兴趣的夏天都可以进行这项操作。是的,还有金钱骡子,这可能需要一个具有一定经验和远超平均魅力的优秀骗子——但我们假设每 3 个罪犯中至少有一个已经具备这些技能。

回到这些文章中的任何一篇,对你认为犯罪分子/诈骗者完成工作所需要的东西进行逆向工程。

防御成本:IT 预算的 6-7%

毫无疑问,您已经看到了 PCI DSS 合规性数据的成本;暂时忽略那些。Gartner 表示,安全预算应该在 IT 总预算的 6% 到 7% 之间。UMD 教授劳伦斯·戈登 (Lawrence Gordon) 和马丁·勒布 (Martin Loeb) 说,不要花费超过您试图保护的资产的 37%。

根据事件数量为您的组织配备事件处理人员

我说我们需要雇佣这些事件。如果您每年有 1-400 起事件,那么您将需要 1-400 个安全事件处理程序。计算处理事件所涉及的时间并相应地雇用。我对占用整个信息安全预算的人员非常满意,您的 IT 财务决策者也应该如此。人员在信息安全管理计划中扮演着最重要的角色。

如果您没有发生任何事件,也许现在是聘请事件响应和取证/恶意软件研究公司来确定您是否真的发生事件的好时机(假设这是一次 20k评估)。在此过程中,请保持安全并雇用至少一名 FTE 事件响应经理(每年 10 万)——尤其是假设您至少有 25 万价值的东西要偷,或者要造成品牌损害。

监控您的应用程序、系统和网络

将 OSSIM CDROM 交给您的新事件响应经理,以安装在 AMI 实例或其他任何东西中。电子邮件可以发送到他或她的 GMail/GApps 帐户,我只关心。关键是大多数公司在防火墙、VPN 和“安全服务器硬件”上超支。我认为大多数公司最好使用开放的防火墙和访问列表策略,但使用 bogon 过滤器和 FATF 黑名单作为具有公共 IP(或 NAT/PAT 到一个)的每个路由器或系统上的空路由。如果还没有其他风险管理门户,请给经理至少足够的预算来支付当年的 TruArx 成本。

为有风险的工作角色提供安全工具和意识培训

最后,为任何处理金融、银行或支付卡信息(或任何其他具有严格数据分类的工作)的工作人员配备一台可怕的 iMac 或 Mac Pro,并接受相关培训。确保他们必须通过 Cornerstone OnDemand 等提供商完成某种基于 SaaS 的安全策略和意识培训。这实际上可能是问题的最便宜的答案,但这是信任而不是验证。事件经理/团队提供验证。有报告称,以 Mac 为中心的大型安装公司内部有针对性的恶意软件,尽管它们在通过下载的正面攻击中受到的打击并不那么严重。如果需要 Win7,则实现每事务前回滚 VM-guest 策略。

应用安全防御成本

如果您的公司或组织不购买 COTS,而是推出自己的代码(或外包应用程序开发),那么真正的费用就来了。在这种情况下,如果组织在设计和编码开始之前没有启动一个非常彻底的 appsec 程序,那么从长远来看,事情可能会变得非常昂贵。即便如此,与应用程序安全咨询公司的大多数协调在 2-3 年内至少要花费 1-4 百万美元。如果您有价值 1000 万美元的应用程序需要保护,这应该是轻而易举的事——它还将提高应用程序的质量和您的商业智能。这也是 Gartner IT 支出策略倾向于用于信息安全管理计划的地方,

通常,这取决于最终目标——目标是谁以及条款是什么。我想自从 Richard Bejtlich 所说的之后,一切都没有发生太大的变化。无论如何,Charlie Miller 关于网络军队、防御和攻击调查的另一篇精彩演讲:https ://www.defcon.org/html/links/dc-archives/dc-18-archive.html (Kim Jong-il和我:如何建立一支网络军队来击败美国)。

有趣的是,根据我过去几年管理的团队,100 万可以很高兴地资助对任何主要公司实体、政府部门或机构的相当成功的攻击。

atdre 提到的 1000 万美元的抢劫使攻击者损失了大约 18 万美元,这是基于对团队收益的一些合理假设,包括技术人员、骡子、咕噜声等。从广义上讲,如果不是因为通常的“松散的嘴唇下沉......”等 - 但这是对低挂水果的攻击+围绕帐户限制的一些相当聪明的工作。

您可以攻击的成本远低于此,但如果您希望它成功,那么您需要一些合理的情报。75 万美元到 100 万美元是一个不错的选择,涵盖了不错的零日研究、扫描团队、攻击、资金流动等。

其它你可能感兴趣的问题
上一篇阻止访问 Windows 系统上的 C 盘 下一篇如果服务器仅具有 SSH 访问权限,那么在该服务器上同步的文件是否会被安全传输?