文章来源：FreeBuf.com

据美国国土安全部（DHS）近日透露，加入“Hack DHS”漏洞赏金项目（bug bounty program）的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞，其中27个被评估为严重漏洞。

据悉，国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度，每个漏洞最多可获得5,000美元的奖励。

“在‘Hack DHS’的第一阶段，安全研究人员们的热情参与使我们能够在关键漏洞被利用之前找到并修复它们”，国土安全部首席信息官（CIO）Eric Hysen对媒体表示道，“随着‘Hack DHS’项目的进展，我们期待进一步加强我们与研究人员群体的联系与合作。”

“Hack DHS”项目的建立借鉴了美国联邦政府和私营部门类似成果的经验，比如“黑掉五角大楼”（Hack the Pentagon）项目。

事实上，国土安全部第一次推出漏洞赏金试点项目是在2019年，这比“Hack DHS”还要早两年。当时，《安全技术法案》（SECURE Technology Act）正式签署成为法律，要求政府组织建立安全漏洞披露政策和赏金项目。

在勒索软件攻击事件中，赎金支出究竟占受害单位总体损失的多少比重？Check Point 的研究人员通过对数千次攻击事件进行分析得出，这一比例仅占15%，受害者由勒索导致的事件响应工作、系统恢复、法律费用、监控成本以及业务中断的整体影响所带来的财务支出比例远超赎金金额。

在进行勒索时，攻击者会调查受害者的财政情况来确定赎金比例，根据Check Point 的分析，通常这一比例在目标年收入的 0.7% 到 5% 之间，平均为 2.82%。为了能够让受害者尽快付款，攻击者还会推出折扣措施，比如若在头几天内支付赎金，可折扣 20% 到 25% 。

勒索软件攻击对受害者财务的总体影响与事件的持续时间直接相关。2021 年，由于不少企业组织表现出较好的处理双重勒索策略的能力（双重勒索指让攻击者加密目标系统数据之前先窃取数据，即便受害者有备份数据，仍然可以用泄露数据作威胁要求其支付赎金），从而显著缩短了攻击持续时间，但也由此带来额外成本，如客户信任的缺失以及声誉的受损。

当受到勒索软件攻击时，受害者必须承担因业务中断、法律程序、事件响应和补救、恶意软件发现和删除、从备份恢复数据、与第三方专家签约等造成的损失成本。即使组织支付了赎金，也无法避免进一步的经济损失，而且使用攻击者的解密密钥恢复系统通常比使用备份要慢。

可以说，目前的勒索软件组织已越发具有经济头脑，通过评估，让支付赎金成为受害者的最佳选择。他们所做的是在与受害者谈判时将赎金支付与附带损失成本联系起来，将支付赎金呈现为更经济实惠的选项。比如以泄露数据为威胁，让受害者因违反 GDPR 而面临巨额罚款来作为附带损失成本。

尽管有关部门针对这些威胁组织采取了大量执法行动，但勒索软件仍在继续扩散并不断推陈出新，看来，攻击者和防御者都在适应不断变化的环境，并且尽量保证在这场“竞赛”中不落后。

参考来源：https://www.bleepingcomputer.com/news/security/ransom-payment-is-roughly-15-percent-of-the-total-cost-of-ransomware-attacks/

精彩推荐