洞悉黑客攻击背后的“经济学”原理

在我们回顾2008 年的一些CVSS(Common Vulnerability Scoring System，通用安全漏洞评分系统)得分较高的安全漏洞时，我们注意到有大量严重威胁并未实际形成大面积的攻击。以DNS Cache Poisoning漏洞和Microsoft Snapshot Viewer ActiveX Control漏洞这两个重要安全漏洞为例来说，这两个安全漏洞都是2008仲夏时候发现的，美国国家标准及技术研究院(NIST)给这两个安全漏洞定的CVSS分数都是7.5。但它们在现实中的表现却大相径庭。DNS漏洞被视为2008年的最大安全问题之一，人们费了很大的劲来打补丁并对其可被广泛利用表示了极大的担忧，但是在该问题被发现近半年之后仅出现了很少的攻击事件。另一方面，Snapshot Viewer漏洞并未引起这么大的压力和行业关注，但是在其被发现后立即被广泛利用，成为互联网用户在2008 年面临的最严重的现实威胁之一。

我们自然会问为什么对ActiveX漏洞的利用发生得如此之快，而DNS攻击的出现却花了那么长的时间。用于响应安全漏洞的资源总是有限的，企业需要知道的是它们在安全漏洞被发现后的几小时内会面临什么攻击，以及什么攻击在数天或数周之后才会出现。连夜给系统打补丁和在正常工作时间内打补丁以及在计划的维护窗口期间打补丁之间的差异会导致IT组织运营支出的巨大差异。

通过利用安全漏洞可以获得的实际收入由包含相应安全漏洞的主机数量以及攻击者控制每个主机的价值——通常由这些主机包含的信息以及攻击者在黑市上对这些信息的要价而定。当某一安全漏洞刚刚被披露时，包含该安全漏洞的主机的数量可能相当大，如果控制这些主机的价值同样也很大，那么从理论上讲攻击者就有很高收入的机会。这种情形会促使安全行业尽快推出补丁和减少包含相应安全漏洞的主机的数量。如果安全行业的工作富有成效，可供攻击者具体化的总实际收入机会就可能变得很小。

像合法企业的情况一样，犯罪组织拥有围绕可重复业务情况和可自动化任务而建立起来的运营流程。符合其运营流程之中并可以利用自动化功能的安全漏洞更易于让犯罪分子实现谋利的目标。需要开发新流程或软件的安全漏洞很难对犯罪分子构成吸引力，特别是如果它们只是不大可能在将来重现的“一次性”情况更是如此。即使开发新攻击方法或利用一类新安全漏洞对犯罪分子具有意义，然而相比于直接包含于现有流程中的安全漏洞来说，出现大面积的攻击通常也需要较长的时间。

Snapshot Viewer 漏洞之所以受攻击者青睐不仅是因为它易于被利用，而且因为它直接包含在电脑犯罪分子所利用的现成流程及软件工具中。ActiveX 控件经常被报告存在安全漏洞，攻击者过去将攻击工具整合进 Web 攻击工具包，并使用它们来传播用于收集金融证书的恶件。因为这样，攻击成本较低，货币化成本也较低。主机数量在本质上是无限的，因为攻击者可引诱用户安装微软签名的控件然后再利用之。实质上，庞大的收入机会与较低的货币化成本相结合导致了大量攻击，而且这一势头仍然没有缓解的迹象。

另一方面，以 DNS Cache Poisoning 漏洞为例。显而易见的是感染 DNS 高速缓存是有利可图的，而且犯罪分子也知道如何来谋取这一好处。起初，该漏洞的存在对互联网是一个巨大的长期风险。今年夏天所进行的旨在提高公众认知和安装补丁的大量工作已经使得易受攻击的服务器数量大为减少。对犯罪分子来说，为什么要在目前所用的攻击技术仍然有效而且新机会迅速缩小的情况下费力去开发一种全新的攻击技术呢?

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。