最近一項調查顯示,每次企業受到分散式阻斷服務攻擊(Distributed Denial-Of-Service, DDoS )下,每小時損失可高達 4 萬美元。大約有 86% 的攻擊平均維持少於 24 小時,其中約 49% 的攻擊會維持約 6 至 24 小時,而每次企業因 DDoS 造成的總損失平均更超過 50 萬美元。
損失豈止只每小時平均收入的損失
分散式阻斷服務攻擊(DDoS )近期成為香港新聞裡的常見名詞,每次出現都令受影響機構損失慘重。雖然未必會因此造成數據外洩,但到底 DDoS 攻擊如何影響企業?Incapsula 早前訪問了 270 間北美大企業,其中八成企業總部設置在美國,大部分都是跨國企業,擁有 250 到 1 萬名員工。
Incapsula 產品大使及調查員 Igal Zeifman 指出,企業會因 DDoS 攻擊而損失部分或全部收入。假設該企業年收入為 10 億美元,即每小時 114,115 美元,所以每小時大企業其實是涉及大量金錢。
DDoS 攻擊當然並非只計算每小時收入減少多寡,還會關係到損失顧客數目、品牌名聲受損、法律承擔費用及浪費員工時間等無形損失。
以下為調查顯示各種數據:
● 52% 的受訪者表示他們受到攻擊後,需要更換硬件或軟件;
● 50% 的電腦被安裝了電腦病毒或木馬程式,或網絡上被激活了病毒;
● 43% 的企業因此而損失了客戶對自己的信任;
● 33% 的企業被盜去顧客個人資料;
● 19% 的人失去了智慧產業(如企業計劃、創意作品、文章等)
● 60% 的人同時失去以上兩種或三種結果。
而調查顯示企業損失有以下各種比例:
● 35% IT 部門因受攻擊而受到財政上打撃;
● 23% 是銷售部;
● 22% 是安全及風險管理;
● 12% 是客戶服務上的損失。
Zeifman 認為,除了以上損失外還有市場部也會受到不少損失,因為他們會不斷努力地和客戶溝通,以修補名聲,而且還有可能涉及法律訟裁,客戶財政上損失而令他們有任何不便。
企業應該防範未然
當員工被問及有多少人曾經受訓,在被 DDoS 攻擊時能馬上作出應對,結果有 27% 的人表示部門有 15 人以上曾經受訓;69% 的人表示部門有 2-15 人曾經受訓;所有人表示部門裡無人沒接受訓練。另外,43% 的員工表示企業使用抗DDos 攻擊方案,超過半數的人表示公司依賴傳統防毒軟件或網絡防火牆作為日常抵禦。
Zeifman 指出:「一般來說,企業並沒有在危機來臨時做好準備及有周詳計劃,企業本身應設有優先處理事項,如果沒有計劃,錯過良機會使攻擊回頭再來,他們應該有計劃恢復數據上創傷,也應該有計劃從 DDo S攻擊回復過來。」
DDoS 攻擊有機會為勒索企業
黑客為何要進行 DDoS 攻撃?難道進為攻擊為貪一時之快嗎?Zeifman 認為黑客可能想藉此進行勒索。
「黑客只需花少少錢,大約 500 美元租借一個彊屍網絡就能在十多、二十個網頁進行 DDoS 攻擊,希望從中勒索金錢。他們目標是大企業及普羅大眾,令所有人蒙受損失是他們的目標。」Zeifman 表示。
「某些不受條例管制的企業也不時存在這類型互相攻擊,如網上賭博、多人連線遊戲或虛擬貨幣(Bitcoin )交換等行業。他們不時利用 DDoS 攻擊同行,藉此壯大自己聲勢。」他補充。
Source: SC Magazine