博客

矿工和小兵: 数据泄露并不是唯一让你付出代价的事情

Lori MacVittie 缩略图
洛里·麦克维蒂
2018 年 7 月 23 日发布

当然,数据泄露的成本可能会更高(至少现在如此),而且它肯定会让你的失败成为众人瞩目的焦点(你必须通知),但安全不能仅仅是数据暴露。

如今,只有在存在数据泄露的情况下,你才会听说违规行为。 有些人谈论(和写作)的方式是,只有在数据暴露的情况下,违规行为才会重要。 Netwrix 最近发布的一份关于安全和 IT 风险的报告指出,“企业正计划将投资重点放在保护敏感数据上,因为他们无法预见所有可能的威胁。”( 2017 年 IT 风险报告

根据Ponemon 公司(由 IBM 赞助)的研究,数据泄露的平均成本高达 300 多万美元,因此这似乎是一个合理的策略。 保护数据。 毕竟,这不仅会造成金钱损失,还会损害企业品牌和声誉,并且常常导致员工失业。

这种短视的安全策略的问题在于,它完全忽略了其他违规行为同样会产生许多成本。 因为没有人会在攻击你的防御时打算走开。 攻击者这样做并不是为了获得访问您的网络或系统的权利。 在黑客社区中,我们已经远远超过了简单的“将破坏视为一种成年仪式”的阶段。 如今,攻击者往往是为了金钱。

虽然我们知道凭证和个人数据在暗网上价值不菲,但数据并不是如今赚钱的唯一途径。 利润丰厚的加密挖掘市场最近已经证明了这一点。 Talos 的一篇非常详细且冗长的博客(值得一读)计算出,单一加密劫持活动每年可产生从 182,500 美元到每年高达 1 亿美元的收入:

“从财务收益的角度来看,一个普通的系统每天可能会产生约 0.25 美元的门罗币,这意味着一个拥有 2,000 名受害者(这并不难)的对手每天可以产生 500 美元或每年 182,500 美元。 Talos 观察到由数百万个受感染系统组成的僵尸网络,按照我们之前的逻辑,理论上这些系统每年可以被利用来产生超过 1 亿美元的收入。” 

当然是理论上的。

这些数字令人吃惊,但与今天的文章相关的并不是矿工所创造的利润。 这正是袭击发生的真正原因。 毕竟,几十万美元是寻找免费资源的充分理由。 而且由于它的利润如此丰厚,您应该更加清楚与在您的基础设施中留下矿工和奴才的违规行为相关的成本。

非法资源消耗的代价

数据泄露的成本有据可查,包括清理成本、通知和赔偿费用。  其他违规行为的成本没有得到很好的记录,但仍然存在着不必要的运营费用和机会成本的损失。 无论我们谈论的是矿工还是奴才、传统的基于 Linux 的流程还是容器化的代码,现实情况是,一旦存入,这些外来的、不受欢迎的机器人就会非法消耗资源,这些资源会在月底(或季度末,取决于您支付云账单的频率)花费真金白银。

有些人可能认为这些机器人可能会消耗你本来就应该付费的资源。 我的意思是,这似乎是真的——你平均只使用了该实例/服务器的 20%,但无论如何你都要支付 100% 的费用。 那么,这些机器人真的会给你带来真正的收入吗?

你说得对,他们确实是这样的。

让我们暂时回忆一下自动扩展的前提——这是许多组织采用公共云的原因之一。 当负载或性能超过阈值时,我们希望启动一个新实例来满足需求。 如果我们有一个实例仅使用 20% 来为合法客户端提供服务,而一个机器人突然消耗了剩下的 80%。 我们将支付第二个实例的费用,然后是第三个、第四个,最后是第五个,以满足如果没有被非法使用,单个实例就可以满足的需求。

所以就有这个成本。 

对于那些热爱环境的人来说,电力使用的增加也会导致碳排放量的增加。 这是一个令人着迷的事实,但当计算处于空闲状态时,它消耗的瓦数比全力运转时要少(特别是在执行高度复杂的加密计算时)。 因此,如果矿工或助手不断忙碌,就会花费你千瓦时(如果是在本地)和实例小时(如果在公共云中),所有这些都会增加你的碳足迹。

消耗更多的电力意味着产生更多的热量,这需要通过额外的冷却来抵消。 因此使用的电力就更多了。 还有监测温度和报告温度的系统......好吧,你明白了。 运行数据中心(在云端或本地)需要大量辅助计算能力,而非法资源消耗会导致运营成本不断增加。

正如上述 Talos 博客所述,其中一些加密挖掘脚本非常智能。 它们具有隐蔽性,能够阻止您的机器进入待机、重新启动、注销或任何其他可能中断其运行的活动状态。 它们会让您的机器每周 7 天、每天 24 小时不间断运行,并在您呼叫灭虫人员之前尽可能地收集每一个数字比特。

这就是有形成本——就是你在不断膨胀的水电费和云计算费用中就能看到的成本。 那么无形成本又如何呢? 比如由于绩效不佳而失去客户(或潜在客户)?

好吧,让我们记住操作公理#2:随着负载的增加,性能会下降。

如果矿工或奴才正在消耗资源,则会增加服务器的总体负载,从而降低应用程序的性能。 就像引力一样,它是一种定律。 绩效不佳的影响已得到充分证实。 例如,我们从AppDynamics 的研究中了解到,每 10 个用户中就有 8 个会因为应用程序性能不佳而删除它。 我们知道,亚马逊、谷歌和沃尔玛都记录了哪怕是微秒的时间对收入、转化率和购买量的影响。 根据行业的不同,应用程序的丢失或性能的轻微下降很快就会转化为可衡量的损失。

即使您不想做实际的计算(我当然不想),总体思路也是不言而喻的:矿工和奴才以各种方式给组织带来真正的金钱损失。 虽然数据泄露确实是一种严重的安全和业务风险,必须加以防范,但我们不能忽视,任何泄露都可能导致严重后果。 

根据RedLock 2018 年 5 月云安全趋势显示,令人吃惊的是,25% 的组织目前在其环境中遭受加密劫持活动。 Tripwire 同样指出,一次 Monero 挖矿活动就影响了 1500 万人。eWeek报道了一家公用事业公司的计算资源因非法加密挖矿活动而大量耗尽。

这些报道越来越频繁,可能是希望揭露这些活动的严重性。 关于矿工(以及在僵尸网络大军中服务的奴才),需要注意的重要一点是,它们是你的防御被突破的证据,而这些证据并不一定与敏感数据有关。

过于狭隘地关注数据保护,很容易让你的名字加入到付费让加密劫持成为一项利润丰厚的业务的公司名单中。 不确定攻击者下一步会利用什么漏洞,这并不是我们将注意力从全面的安全策略转移并把所有精力放在保护数据上的好理由。 让我们保护企业——其中包括那些可能蚕食企业利润的运营项目。