灰帽子行为有时候不过是释放压力的一种形式,不用过于大惊小怪难以容忍。
网络犯罪所造成的损失通常以直接开销计:修复费用、取证支持、律师费、合规罚款等等。但Malwarebytes委托奥斯特曼研究所所做的最新调查采取了略微不同的方法,审查的是与网络犯罪活动相关的管理性开销。
该研究于今年5月到6月间进行,调查了5个国家900位安全从业人士:美国(200)、英国(175)、德国(175)、澳大利亚(175)和新加坡(175)。受访者均在员工规模在200到1万人之间的公司工作,负责管理网络安全事务或处理网络安全问题。
研究关联了员工工资、安全预算和缓解开销,称雇佣2500名员工的美国公司平均每年要在网络安全相关问题上耗费掉200万美元。其他4个国家受访公司的网络安全相关开销没那么大,但也接近或超过每年100万美元。有趣的是,该调查不走寻常路,专门研究了公司所雇灰帽子的数量与网络安全总体开销之间的关系。
该项研究的基本结论没有超出我们的预期,且已被其他多项调查研究所证实:大部分公司都被成功入侵过;网络钓鱼是最常见的攻击方法;中型市场公司与大公司同为遭遇较频繁攻击的目标,小公司遭遇网络攻击的频率相对较低;攻击频率不断攀升,令人心生警惕。
该调查最令人惊讶的发现,就是那些正在公司企业工作的灰帽子和曾被公司企业雇佣过的黑帽子数量。灰帽子本质上是计算机安全专家,只是有时候会无伤大雅地违反法律或传统道德标准,但绝对没有全职黑帽子的那种恶意。
总体上,这900位受访者认为,同事中有4.6%是灰帽子--用报告中的话说就是:兼职黑帽子的全职安全人员。情况各国不同:德国、澳大利亚和新加坡受访者认为自家同事里有3.4%是灰帽子,美国是5.1%,英国最高,为7.9%。
成为灰帽子的动机是什么?受访者给出的答案包括:黑帽子活动更有利可图(63%),有挑战性(50%),想报复老板(40%)、哲学原因(39%),以及,这又不是啥真正的坏事对吧(34%)?
Bromium研究所在2018年4月发布的一份独立研究报告证实了白帽子雇员与黑帽子黑客之间的收入差距:高收入的网络罪犯每月能赚16.6万美元以上;中等收入的每月至少7.5万美元;低收入网络罪犯每月也有3500美元以上的进账。
而根据Malwarebytes的调查,美国安全从业人员最高平均起薪为6.56万美元每年,也就是每月仅5464美元(想想中等收入黑帽子的每月7.5万美元,顶级安全人员的收入也就人家一个零头)。英国的状况就更差了,安全人员平均起薪甚至少于每月3000美元。
这就有意思了。整个行业都在焦虑安全人才短缺问题,但公司企业在招聘新安全人员时通常又不愿付出高薪。公司企业和政府都在抱怨难以找到合适的人才,但当他们确实招进人来,却又往往没有给予人家应得的薪金。
将美国与英国的数据做关联分析时难免会得出一个结论。不仅仅是美国公司支付给安全人员的薪金比英国公司的高得多,而且美国公司的安全预算也相对高出很多(美国公司平均安全预算157万美元,英国公司35万美元)。于是,英国公司里灰帽子百分比更高,缓解开销也相应较高(美国公司安全预算的14.7%,英国公司安全预算的17.0%),难道仅仅是个巧合?
预算少,缓解开销比例自然就高;人们也更倾向于认为黑产的高回报会对低收入的英国安全人员产生吸引力。美国政府就认为,发现并触发了WannaCry“死亡开关”的英国研究员 Marcus Hutchins 正是个中典型案例。干掉WannaCry无疑是纯粹的白帽子行为,但Hutchins随后就在美国被捕,诉以涉嫌编写并分发Kronos银行恶意软件。
Hutchins 的支持者不少,反对者也不少。但鉴于受雇白帽子中有相当一部分人被同事认为是灰帽子,这事儿最终作何定论还有待观察。
相对较低的行业薪酬可能是信息安全界灰帽子数量惊人的部分原因。灰帽子占比最高的,是无法支付顶级薪金的中型企业,这种企业在英国是主流。但经济原因肯定不是唯一的驱动因素。有些人是真正意义上的纯黑客,喜欢四处探索寻求真相--即便严格说来这是非法的。但这对他们做好安全工作也有好处,通过探索背后真相,可以更好地理解罪犯的运作方式,也就能更好地加以防御。
但这里面还有社会问题。技术宅可能有社交障碍,难以融入公司组织结构。不是每个人都适合在商业公司环境中干活。而在信息安全领域,压力山大是常态。朝九晚五周末双休是不可能的,网络罪犯才不会像公务员一样按时打卡,安全人员经常每周工作80小时以上还没加班费。巨大的精神压力便源自于此,信息安全界过劳现象太严重了。现实很难很残酷,只要身处信息安全领域,24/7全年无休就是你的命。
公司企业因为些许的灰帽子行为就解雇员工是不对的,这么做很可能会引发灾难。但同时,企业主又有责任要找出解决方案。在劳动回报率上,公司企业是没办法与黑帽子竞争了,但应尽可能地包容和支持信息安全领域中顶着巨大压力干活的人。
