网络攻击：将会给您带来多大的成本？

任何一家企业都认为，网络安全是至关重要的。但是，您怎样衡量安全的网络带来的商业价值呢？企业又该如何评估和证明网络安全产品(如下一代防火墙、入侵防御系统和统一威胁管理设备)的投资效益呢？

　　尽管没有准确的公式或“攻击成本”计算器，但一些实用的指南和调查研究还是为 IT 经理们提供了技术和资源信息，从而建立适合他们的具体情况的成本模型。三个核心领域对评估网络攻击的影响以及下一代防火墙技术的“防御价值”有重要意义：

　　· 明确网络攻击的不同类型

　　· 了解这些攻击对您的营运结果会有怎样的影响

　　· 量化这些攻击所致影响的具体方法

　　网络攻击的类型

　　有数以百计的网络攻击形式可能导致对组织的破坏。最常见的形式包括：

　　· 病毒、muma、蠕虫和其他恶意软件，它们可能导致服务器和工作站发生中断，也可能窃取数据。

　　· 高级的持续性威胁，能够渗入网络，暗中窃取知识产权和保密信息。

　　· 分布式拒绝服务攻击 (DDoS) 和洪水式攻击，能导致服务器瘫痪和网站的中断。

　　网络攻击对您的利润会有怎样的影响

　　这是实质性伤害之所在—无论网络攻击的来源是什么，主要的危害包括两种：数据破坏以及服务缺失。

　　数据破坏一直是能够引起轰动效应的新闻话题，因为这会导致保密信息被截获及从组织内部暗中流入犯罪分子或竞争对手的手中。

　　数据破坏的危害显而易见且后果严重。这些破坏涉及经济(收入损失、法律法规成本、诉讼和罚款)、“软”成本(客户信誉及忠诚度的流失)及竞争力削弱(由知识产权的损失所致)等多个方面。深受数据破坏之苦的公司在检测和技术补救方面花费大量的时间和财力，以识别并阻截网络攻击、评估损失、采取相应的补救措施。此外，对数据遭受破坏的负面公开报道产生的影响更是远远大于网络攻击本身。

　　拒绝服务攻击会导致计算机系统—工作站以及网络、应用程序或数据库服务器—能力退化或彻底瘫痪。经济方面的影响包括：

　　此种情况下的危害也可能是灾难性的。商务活动速度变得非常缓慢或全面停止，因此收入将受到直接影响。日常的流程被打乱，或网络崩溃导致员工无法完成他们的工作。数据破坏对从事 IT 和支持性工作的员工产生了实质性的成本，他们需要诊断问题，培训其他员工，重启服务，并重新恢复各个计算机。

　　那么，怎样评估成本呢？

　　如前所述，没有万能的成本模型。

　　有助于 IT 人士量化网络攻击所致影响的独立资源有两个，分别是 Ponemon Institute 在 2012 年 3 月所做的一项研究和 NetDiligence® 于 2012 年 10 月发布的《网络责任及数据破坏保险索赔研究》(Cyber Liability & Data Breach Insurance Claims Study)。

　　2011 年底，Ponemon Institute 对 14 个行业的 49 家美国企业进行了深入访谈，这些企业都有客户个人数据遗失或被窃取的遭遇。主要的发现有：

　　· 数据破坏的平均总成本：550 万美元。

　　· 每次数据破坏的收入损失：300 万美元

　　· 数据破坏后的成本：150 万美元(包括援助、补救、客户流失等)

　　记录的数据—依据的是大量的数据(超过 100000 万条记录)—能使 IT 经理至少对与数据破坏相关的成本有大致的认识，以将成本调整至与企业和具体面对的威胁相适应的规模。

　　NetDiligence 的研究分析了 2009 年至 2011 年间发生的 137 个事件，这些事件中保险公司都对网络责任索赔进行了赔付。平均赔付金额：

　　· 每个事件的法律裁定金额：$2,100,000

　　· 每次数据破坏的防御成本：582000 美元

　　· 每次事件的平均保险赔付总成本：370 万美元

　　尽管两项研究衡量的是与网络攻击相关的成本的不同要素，但它们从某种意义上说是一致的—两者都反映了公司在利润、声誉和竞争力方面会为网络攻击付出多大的代价。

　　除了以上数据以外，还有一些粗略的计算能够说明在下一代网络防火墙技术方面投资的必要性：

　　· 网站崩溃或受到 DDoS 攻击的严重影响后每小时的利润损失。

　　· 恶意软件致使服务器瘫痪，由此造成的主要业务流程每小时的生产力损失。

　　· 援救人员诊断电脑中的恶意软件以及支持团队重新恢复受攻击的计算机的计时工资。

　　· 发生数据破坏后通知客户或员工的成本，以及为其提供一年的信用监控服务所需的成本，

　　还有两种技术可能对评估攻击的成本有所帮助。有些组织通过“军事演习”模拟对未来可能出现的后果进行了详细的评估。评估集结了公司各个部门的员工，包括 IT、营销、HR、法律和其他职能部门的人员，让其参与网络攻击模拟演练。这些练习不仅有助于量化成本，而且常常会有意想不到的收获—例如拟定合同责任或形成数据破坏影响的监管机制等。

　　采取措施

　　这些对 IT 经理有何意义？坏消息是：网络攻击代价惨重，会扰乱秩序，还可能在各个层面造成灾难性的影响，因此要不惜一切代价避免网络攻击。好消息是：有丰富的工具和服务帮助您准确理解数据破坏和服务缺失攻击对公司的利润会造成怎样的影响。通过将网络攻击的代价和下一代保护技术的防御成本加以比较，您将更好的理解并能更清楚地解释增加公司在网络安全性方面的投资所具有的经济和战略价值。这不仅仅是学术活动，而是企业的当务之急。


该贴已经同步到 阿木的微博

网络攻击防不胜防。