背景介绍

赎金只是勒索软件攻击总成本中最直观的一小部分而已，在估算总体损失时还需要考虑很多隐藏成本。

预测勒索软件攻击的整体成本对于安全管理人员而言可能是一件非常棘手的事情，因为需要考虑到响应和恢复时间可能带来的很多影响因素。根据之前发生的众多事件信息显示，勒索软件攻击的实际成本远远超出勒索者要求的赎金数额，以及与清理感染系统相关的成本。

大家可以将下面的例子作为参考。去年7月，位于纽约布法罗的伊利县医疗中心（ECMC）估计，其共计花费了1000万美元来应对一场涉及3万美元赎金需求的勒索软件攻击。其中，大约一半的成本花在了IT服务、软件以及其他与恢复工作相关的工作中。另外一半主要为员工加班费、收入损失以及其他间接损失成本等。ECMC官员估计，医疗中心还将需要花费数十万美元来升级技术和员工意识培训。

根据公开记录显示，继2018年3月发生勒索软件攻击，致使城市基础服务瘫痪数天之后，亚特兰大市花了将近500万美元用于应急IT服务的采购工作。这项费用主要包括与第三方事件响应服务、危机沟通、增加支持人员以及专家咨询服务等相关费用。

今年2月份，在勒索软件成功感染了CDOT（国家交通部门）大约2,000台Windows系统之后，科罗拉多州州长John Hickenlooper紧急从州灾难应急基金中拨出了200万美元用于处理该事件。在不到八周的时间里，CDOT的官员就花费了超过一半的资金，才仅仅使得系统恢复正常状态。

这也就不难解释为什么近两年与勒索软件攻击相关的行业评估正在不断飙升。根据数据显示，Cybersecurity Ventures在2015年得出的勒索软件攻击成本数据为3.25亿美元；到了2017年，该数据变为50亿美元；预计2019年该成本将超过115亿美元。

对于准备进行整体勒索软件攻击成本评估的安全主管而言，关键不在于勒索赎金本身。在大多数情况下，攻击的实际成本将会更大。

SentinelOne安全倡导者Gary Mello表示，

数据丢失和生产力损失是企业高管们必须主动规划的两个最大的勒索软件相关问题。预测攻击的总成本需要考虑数据丢失和破坏、停机时长和生产力损失，以及在正常业务过程中发生后期攻击的可能性等因素。

勒索软件攻击隐藏成本分析

以下内容总结了安全高管在任何勒索软件攻击成本估算过程中，需要仔细考虑的一些更为明显或不太明显的成本因素：

1.勒索软件响应、恢复和重新运营成本

GreyCastle Security公司（帮助ECMC从攻击中恢复的公司之一）CEO Reg Harnish表示，属于这一类别的很多成本大都出现于重大安全事件中。例如计算机取证、数据取证以及识别和删除恶意软件等相关成本。此外，它还包括获取备份和重新映像系统的成本，以及最基础的恢复破损数据和系统的成本等。

除非您内部拥有庞大且合格的安全响应团队，否则您需要聘请外部专家和顾问来帮助恢复系统。您可能需要增加现有员工的数量，并为他们准备好额外的加班费用，如此他们才有可能将系统恢复正常，当然，也并不排除在花费了时间和成本后，仍然未能恢复系统的情况。

根据恶意软件的不同，你可能还需要升级或更换技术。此举也将产生相关成本，您在预测勒索软件攻击成本时至少需要考虑上述成本因素。

此外，数据备份的质量也是一个非常重要的因素。如果您没有高质量的数据备份，或者攻击者有能力删除或加密数据备份，那么您的攻击成本将会更多。Harnish指出，很显然，系统瘫痪的时间越长，造成的损失成本就会越高。根据SentinelOne发布的《2018年全球勒索软件研究报告》显示，解锁加密文件或用备份数据替换加密数据所需的平均工作时长，从2016年的33小时增加到了2018年的40小时左右。

2.发送赎金支付产生的成本

支付赎金并不能保证立即恢复数据。即便你有充分的理由选择支付赎金，而且威胁行为者也按照承诺提供了解密密钥，但是你仍然需要在最短的时间内来恢复自己的数据，否则同样会产生更多损失成本。

以ECMC的案件为例，当时的攻击锁定了大约6000台计算机设备，如果每个系统都有一个已加密的1TB驱动器，那么想要解锁所有设备可能需要花费很长时间。

此外，对于有些企业而言，支付赎金的过程也需要花费一些时间。除非你已经有了一个塞满比特币的加密数字钱包，可以随时支付勒索者要求的赎金数，否则，你还需要花费一点时间来建立和充值一个比特币钱包。对于勒索者而言，他们也需要一些时间来验证和转移资金。

如果你的系统瘫痪了两周，并且在这段时间内一直坚持纸笔办公，那么即便是恢复了所有数据和系统，你仍然需要一些时间将纸笔记录的信息重录进系统和数据库中。所有这些都是不可忽略的时间成本，都必须考虑在交付赎金的过程之内。所以说，支付赎金并不是万能灵丹，它仍然会产生成本，且可能无法解决你所有的问题。

更重要的是，即便你的系统在支付后得以恢复，也无法保证其安全性。端点保护供应商Barkly的首席技术官兼创始人Jack Danahy表示，

如果没有重新装载设备的话，几乎不可能确定其中没有剩余的感染或损坏。即便是恢复后的数据文件也存在二次感染的可能，既然设备和数据必须重新生成才能确保安全，那么为什么还要支付赎金呢？

3.勒索软件攻击期间和其后的宕机成本

勒索软件攻击可能会影响企业正常开展业务的能力。而企业用于应对攻击所花费的时间，意味着失去了商业机会。Danahy表示，

在所有最具破坏性的攻击中，受灾最严重的受害者将无法提供其产品和服务。例如，医院将不能医治病人；技术提供商也无法提供其服务；托运商无法出货等等。

2016年11月，一场勒索软件攻击造成旧金山部分公共交通系统上的票务系统陷入短暂瘫痪。在安全工程师全力解决该问题期间，这座城市的所有公共交通乘客都可以免费乘车。对此Danahy表示，“管理人员应该根据设备损坏对其业务造成的影响，来模拟各台设备的停机成本。”

此外，还存在一些与设备停机相关的成本。例如，企业IT和安全人员花费太多时间在处理该问题上，就会耽误其原本需要完成的任务，由此就会造成其他业务损失和生产力损失成本。

4.勒索软件攻击的下游成本

Mello表示，企业最容易忽视的一个成本，是勒索软件攻击可能会对供应商和其他第三方造成的影响。SentinelOne发布的《全球勒索软件报告》显示，在遭受勒索软件攻击的美国企业中，有高达46％的第三方供应商也受到了影响。

在这些与直接受害企业间存在合作和供应关系的公司中，有35%遭受了生产力损失，另有23%的受访者表示遭受了财务损失。对此Mello表示，

勒索软件的渗漏效应（trickle-down）可能会对合作伙伴和供应链企业产生广泛的影响，而这一点也是我们最常忽略的成本因素。

5.勒索软件攻击造成的声誉成本

Lastline联合创始人兼首席架构师Engin Kirda表示，最难衡量和预算的成本之一就是勒索软件攻击所造成的声誉损失。例如，对于金融机构而言，获取客户的信任是其业务发展的关键因素。对于人们信任的企业，他们会想当然地认为该企业已经对网络攻击做好了充分地准备，且有能力阻止攻击行为。一旦他们听到自己选择的企业遭受了勒索软件攻击，或其他相关的网络威胁之后，他们将再难信任该企业。

此外，遭受重大数据泄露的企业往往还会吸引更多的监管注意，甚至面临巨额罚款。SentinelOne公司的Mello指出，对于上市公司来说，遭遇网络攻击的新闻还会对股价造成潜在影响。根据CGI公司进行的研究显示，在65家上市公司遭受重大违规事件后，股价平均下跌了1.8％，这大约相当于1.6亿美元以上的永久性市值损失。

任何组织都不希望媒体过度报道其泄露用户敏感数据的消息，因为其产生的潜在影响是难以估量和恢复的。

6.与勒索软件攻击相关的泄露成本

除非你有证据证实，在勒索软件攻击中受保护的数据未被非法访问，否则你将需要发布数据泄露声明。这就意味着，企业又将增添一项有关泄露通知、危机沟通以及潜在监管或法律制裁的成本。此外，数据泄露还可能会引发与法律和诉讼相关的费用，以及接受监管审查和完成法律合规性要求相关的成本等。

Danahy 指出，

对于受监管的行业而言，企业高管需要与律师和合规团队沟通，以了解是否需要披露特定勒索软件活动，以及是否需要通知受影响的用户等，这可能意味着巨大的成本损失。