栏目导航
财神心水坛41399c
您当前的位置 :主页 > 财神心水坛41399c >
CSO视角|与勒索软件攻击相关的间接成本会随着时间的推移而增加
发布日期:2021-09-27 00:42   来源:未知   阅读:

  勒索软件是增长最快的网络安全攻击之一。使这些威胁特别令人生畏的因素之一是成本可能是深远的。安全咨询公司 NCC Group 2021 年 8 月的一份报告显示,该公司的研究情报和融合团队分析的全球勒索软件攻击数量在今年第一季度和第二季度之间增加了 288%,“企业继续面临数字勒索浪潮以有针对性的勒索软件的形式出现。”

  众所周知,勒索软件对受害公司而言可能代价高昂——成本往往集中在业务流失、支付的赎金、顾问费等上——但也有鲜为人知的财务影响。以下是勒索软件攻击的一些意外成本,包括直接和间接成本。有些与安全无关,但 CISO 和其他安全领导者需要意识到这些潜在成本,以证明对可以防止勒索软件的安全投资的合理性。

  研究公司 Forrester 的分析师 Allie Mellen 表示,在遭受勒索软件攻击后,维持业务连续性可能是一笔巨大的开支。“成功的勒索软件攻击可能会影响企业运营数天、数周或数月,”她说。“如果您的员工都无法登录他们的企业帐户或访问他们的业务数据,他们就无法完成支持业务所需的重要工作。”

  Equus Holdings 前首席数据、合规、安全和风险官、现任笠美总裁兼首席执行官 Christopher Rence 表示,勒索软件恢复成本平均是支付赎金成本的十倍。他说,恢复和连续性“是橡胶上路的地方”。“大多数公司不知道他们所有的数据在哪里。在恢复过程开始之前,他们不知道它是完全备份还是 [备份]。”

  Rence 说,在复苏之后,受到损害的公司并不觉得自己脱离了危险。“根据数据的复杂性,公司可能需要长达 12 个月的时间才能完全恢复,”他说。“继续恢复和持续尽职调查所需的技能超出了大多数 IT 团队的技能范围,这让他们在未来几年都处于弱势。”

  如今,许多企业都购买了针对网络安全攻击的保险,考虑到此类入侵可能带来的财务影响,这当然是有道理的。遭受勒索软件攻击的可能后果之一是保险费增加。此外,从保单中赔偿的金额可能没有预期的那么高。

  研究公司国际数据公司 (IDC) 的企业/下一代安全研究副总裁Pete Lindstrom表示:“保险公司正在迅速采取行动限制他们的赔款支出,而且保费也在增加。”

  企业应该与他们的保险经纪人和任何承保企业风险的保险公司合作,找出他们如何降低成本。“事件发生后,保险公司会进行全面的尽职调查,以确保您遵循了员工的流程、培训和行动,”Rence说。

  尽管难以量化,但在勒索软件攻击后失去客户信任可能是一个重大问题。“如果发生勒索软件攻击,客户可能无法访问客户支持、销售或业务中的任何其他功能,从而导致销售损失、潜在客户流失和既有客户沮丧,并感觉业务根本不可靠,”梅伦说。

  即使客户在短时间内失去信任感,也可能造成损害。这种信任的丧失不仅会影响存量客户,还会影响潜在的新客户。如果勒索软件攻击涉及暴露客户的个人信息,这可能是一个特别麻烦的问题。信任问题还可以扩展到业务合作伙伴,例如供应商、服务提供商、顾问等。

  与失去信任相关的是重建信任和挽回企业声誉所需的营销和公共关系工作和投资。

  NCC Group 在其研究中发现的一个重要趋势是勒索软件团伙威胁泄露未付费受害者的被盗敏感数据以损害企业声誉的普遍问题。

  据该公司称,这种强制支付的额外压力被称为“双重勒索”,这是威胁行为者使用的越来越多的策略。“代表营销团队和企业的其他成员需要额外的费用来恢复他们的声誉并向客户和潜在客户证明业务是值得信赖的、可靠的和可用的,”梅伦说。

  这些努力可能不仅涉及创建新闻发布和更新,还涉及广告、社交媒体计划、媒体采访和演讲活动。所有这些都需要时间,而这些时间本可以花在更有成效的工作上。

  梅伦说,随着时间的推移,另一项增加的费用是合作伙伴和客户对第三方风险的评估成本。“每当一家企业遭到破坏时,与另一家企业合作或成为另一家企业客户的企业都必须评估他们如何审查其他组织以及他们必须遵守哪些额外标准,”她说。“随着这些流程变得更加明确,香港六合资料网。在各行各业变得更加普遍,为确保符合这些不断提高的标准,不可避免地会增加业务成本。”

  破坏性勒索软件攻击不仅会导致客户和合作伙伴的流失,还会导致员工流失。一些流失可能涉及难以找到的技术技能,例如与安全、数据分析和其他领域相关的技能。Rence 说,有些人不想与一家受到网络风险损害的公司有关联。

  Rence 说,更换这些技能的成本很高,尤其是因为招聘工作可能必须更加积极,而且薪酬可能需要更高一些。在某些情况下,企业会因为遭受攻击后被迫裁员而失去掌握技能的人。安全公司 Cybereason 对勒索软件影响的研究基于 2021 年 4 月对全球 1,263 名网络安全专业人士的调查,结果显示,29% 的受访者表示他们因勒索软件攻击而不得不裁员。

  勒索软件攻击的成本可能远远超出受害企业所承担的成本。“这里的真正成本是每当一家公司决定支付赎金时,我们都会分担的社会成本,”林德斯特罗姆说。“幸运的是,这种情况并不常见,而且有其自身的一系列重大风险,但这些导致赎金支付的攻击对黑客来说是如此有利可图,以至于使黑客坚定继续对他人的攻击。”

  Lindstrom 说,企业的经济成本取决于那些决定支付赎金的人。“对于任何单个企业来说,这可能是降低成本的最权宜之计,但它增加了攻击者的利益,从而增加了其他所有人的风险,”他说。“鉴于勒索软件世界已经开发出一个包含事件响应团队、保险选项等的生态系统,在解决任何单一情况与为整个世界做最好的事情之间会出现更多的利益冲突。”