24小時內數千億美元損失:網絡攻擊可摧毀全球經濟
責編:gltian |2019-03-12 14:44:47網絡風險管理項目(CyRiM)提出假想網絡風險場景:可在24小時內令全球60萬家公司企業停轉的勒索軟件將導致數千億美元的損失。
CyRiM是倫敦勞合社、劍橋風險研究中心、新加坡南洋理工大學和其他機構協作研究的一個項目,其報告《Bashe攻擊:傳染性惡意軟件的全球感染》用理論上的災難性勒索軟件攻擊對此類事件的廣泛影響進行建模,探索勒索軟件攻擊的發生發展形勢及其對政府、公司企業和保險行業的影響。該理論上的場景就是出于風險管理目的而提出的壓力測試。
盡管是虛構的,Bashe勒索軟件運用過往全球網絡攻擊所用的數據和戰術作為黑客全球散布惡意軟件的基礎,包括WannaCry和NotPetya。報告的主要發現是:全球性網絡攻擊可導致全球經濟遭遇近2,000億美元的損失——因為各行各業的公司企業依然沒有準備好面對惡意全球網絡攻擊的后果。
設想場景
報告設想的場景中,Bashe勒索軟件通過偽裝成來自目標人資部門的網絡釣魚電子郵件加以分發。這些電子郵件會誘騙收件人打開可觸發勒索軟件的PDF附件。
設想中的惡意軟件非常強大,一旦雇員在自己的計算機上運行該勒索軟件,便足以在整個網絡中散布這一可將文件鎖定的惡意軟件,要求每臺機器支付價值700美元的加密貨幣才予以解鎖數據。設想場景中,僅僅24小時之內,全球公司企業便有3,000萬臺機器被鎖定。報告描述了Bashe背后的網絡犯罪組織是如何從之前勒索軟件攻擊的失誤中汲取經驗教訓的,包括“死亡開關”的使用——為使攻擊在目標感染數量上成為“史上最具感染性的惡意軟件”。
主要發現
該攻擊造成的后果是災難性的:各行各業大大小小的公司企業都無法進行日常運營。報告凸顯出全球性勒索軟件攻擊可導致的嚴重經濟損失,各類公司企業在攻擊下將遭遇生產力與消費水平下降、IT清理費用、贖金支付與供應鏈斷裂等。因此,某些企業會選擇付錢買平安,比如需保證救命設備正常運轉的醫療機構。
無論公司企業如何應對攻擊,勞合社的報告預測稱,此類攻擊行動可導致高達1,930億美元的全球經濟損失,損失主要來自網絡事件響應、損傷控制與緩解、業務中斷、盈利減少和生產力下降。據悉,WannaCry造成的全球經濟損失為40億美元,那么WannaCry造成的損失與該設想場景相比算是小巫見大巫了。
該場景中的幾個估計數字:
- 零售與醫療行業遭受的影響最大(各為250億美元),其次是制造業(240億美元)。
- 從地區上看,美國是重災區,面臨890億美元損失風險;歐洲可能遭遇760億美元的損失,亞洲是190億美元,世界其他地方則是90億美元。
- 盡管損失風險巨大,全球經濟卻并未對此的攻擊做好準備,86%的公司企業都沒有投保網絡保險,保險缺口高達1,660億美元。
對此,勞合社創新主管 Trevor Maynard 博士評論道:
報告顯示出,隨著全球經濟相互聯系與技術依賴的增強,公司企業面臨的網絡攻擊風險也在增加。因此,公司企業必須確保自己能更好地應對勒索軟件攻擊,這就要求他們在遭遇攻擊之前便與保險商合作以降低風險,并確保簽下合適的保單以覆蓋事后損失。畢竟,現在的現實就是:攻擊不是會不會發生而是什么時候發生的問題。
討論與批判
盡管有評論認為這種災難性攻擊似乎不太可能,不具備現實可操作性,該報告的目的卻是揭示全球經濟仍未準備好應對大規模網絡事件,公司企業需確保自己的系統能扛住這樣的場景。
雖然該報告“為保險商指出了擴展勒索軟件攻擊相關保險業務的機會”,最近的事件顯示,某些情況下,保險商會拒付勒索軟件攻擊造成的損失。以億滋國際遭攻擊為例,彭博社報道稱,因NotPetya造成1,700臺服務器和2.4萬臺筆記本電腦永久受損,億滋國際向其簽約保險商索賠1億美元。2018年6月,蘇黎世保險集團以NotPetya屬于“和平時期或戰爭中的敵對行為或類戰爭行為”為由,拒絕支付保額。
鑒于該研究是由保險、再保險機構和銷售商共同出品的,有必要指出拋出這么一個理論上的報告可促使公司企業購買專門的網絡保險,對保商而言是有利可圖的。
數據泄露與網絡攻擊是全球性風險
世界經濟論壇《2018全球風險報告》將大規模網絡攻擊和數據泄露納入當今世界面臨的重大風險之列,位列第三和第四,緊跟在極端天氣事件和自然災害之后。今年,大規模數據泄露與網絡攻擊在潛在全球性風險排行榜上名列第四和第五位,氣候變化緩解與適應失敗緊隨極端天氣之后名列第二,自然災害再次壓網絡攻擊和數據泄露一頭位列第三。
這并不是說網絡攻擊的風險在減少。恰恰相反,絕大部分受訪者預測網絡攻擊會是2019年的主要棘手問題。82%的受訪者認為,網絡攻擊致金錢和數據被盜的風險增加,80%的受訪者覺得可致運營中斷的網絡攻擊風險上升。
無論這種攻擊是假設的還是虛構的,公司企業需要明白的東西很簡單:面對網絡攻擊,只能為最壞情況做好準備。根據過去10年的經驗,你的行為方式有沒有發生變化?有沒有強化可見性、部署防護性控制和持續環境監視的計劃?下一波能中斷日常運營、損害公司信譽和造成大量經濟損失的惡意軟件襲來不過是時間問題。
《Bashe攻擊:傳染性惡意軟件的全球感染》報告:
https://www.lloyds.com/news-and-risk-insight/risk-reports/library/technology/bashe-attack
世界經濟論壇《2018全球風險報告》:
https://www.weforum.org/reports/the-global-risks-report-2018
世界經濟論壇《2019全球風險報告》:
https://www.weforum.org/reports/the-global-risks-report-2019
上一篇:網絡安全職業鴨梨山大 如何排解?
下一篇:安全分析師也是人 是人就會犯錯