完全に資金提供されたブラックハットチームを装備するには、どれくらいの費用がかかりますか？そのようなチームを守るためにどれだけのお金が必要ですか？

$ 2500は、ブラックハット操作を開始するために必要なすべてです

2009年には、米国の銀行がインターネットの強盗から1億4,000万ドル以上、24時間で1,000万ドルも失ったと報告されています。

わずか2500ドルで犯罪活動を開始することは可能だと思います。

• クラウドサーバー：3か月で300米ドル

• LAMPスタック：0米ドル

• 銀行からお金を盗む可能性のあるマルウェア：700米ドル（ZeuS、ただしMeterpreterの下位）

• Webエクスプロイト配信/管理システム：800米ドル（Fragus、ただしDrivesploitはサブ）
• 広告を使用してトラフィック/眼球を動かすアフィリエイトシステム：700 USドル（または、Nice SQLiまたはRFIボットネット）

合計：2500米ドル

私の証明

Brian Krebsは 詐欺に焦点を当てたセキュリティ修正 に関する記事を掲載しています。数え切れないほどの例がありますが、 これはケンタッキーの郡に関するものです を選びましょう。2009年に上記で作成した正確な状況で415000米ドルを失いました。この特定の問題には、1万米ドルをわずかに下回る45程度の電信送金が含まれていました。ラバにそれぞれ約500ドルが支払われ、2から4のUKR詐欺師が関与する全体の操作を考慮して、2から4通りの方法で39.1万のスコアの分割を検討しています。アフィリエイト（ああ、その最初の2500、忘れないように！）.

これらの詐欺師のスキルも非常に低い場合があります。これは大学レベルのシステム管理でさえありません。 Linuxに夏の興味を持つ人なら誰でもこの操作を実行できます。はい、お金のラバのピースもあります。これは、ある程度の経験を持ち、平均的なカリスマをはるかに上回っている詐欺師です。ただし、3人の犯罪者のうち少なくとも1人はすでにこれらのスキルを持っていると想定しています。

それらの記事のいずれかに戻って、犯罪者/詐欺師が彼らの仕事を成し遂げるのに要したと思うことをリバースエンジニアリングします。

防御コスト：IT予算の6〜7％

PCIのコストを見てきましたDSSコンプライアンスの数値は間違いなく、一瞬無視してください。ガートナーによると、セキュリティ予算はIT予算全体の6〜7％である必要があります。UMD Lawrence Gordon教授とMartin Loeb教授は、保護しようとしている資産の37％以上を費やさないと述べています。

インシデントハンドラーを使用して組織にインシデントの数をスタッフします

インシデントに雇う必要があると私は言います。年間1〜400件のインシデントがある場合、1〜400件のセキュリティインシデントハンドラーのどこかが必要になります。インシデントの処理にかかる時間を計算し、それに応じて採用します。情報セキュリティ予算全体を担当する人員配置にはまったく問題がなく、ITファイナンスの意思決定者も同様です。人々は情報セキュリティ管理プログラムにおいて最も重要な役割を果たします。

インシデントが発生していない場合は、インシデントレスポンスとフォレンジック/マルウェア調査会社を雇って、実際にインシデントが発生したかどうかを判断するのに今がよいでしょう（これは20kの1回限りとしましょう）。評価）。それが起こっている間、安全面に留まり、少なくとも1人のFTEインシデントレスポンスマネージャー（年間10万人）を雇います-特に、少なくとも25万価値の盗むもの、またはブランドのダメージを与えることを想定しています。

アプリ、システム、ネットワークを監視します

新しいインシデントレスポンスマネージャーにOSSIM CDROMを渡して、AMIインスタンスなどにインストールします。私が気にするすべてのメールをGMail/GAppsアカウントに送信できます。ポイントは、ほとんどの企業がファイアウォール、VPN、および「セキュリティサーバーハードウェア」に多額の費用をかけているということです。ほとんどの企業は、オープンファイアウォールとアクセスリストポリシーを使用するほうが適切だと思いますが、パブリックIP（またはNAT/PATが1つ）のすべてのルーターまたはシステムでbogonフィルターとFATFブラックリストをnullルートとして使用します。他のリスク管理ポータルがまだ設置されていない場合は、少なくとも年間のTruArxのコストをカバーするのに十分な予算をマネージャーに割り当てます。

危険な職種に​​安全なツールと意識向上トレーニングを提供する

最後に、金融、銀行、または支払いカードの情報（またはその他のデータ分類が厳しいもの）を扱っているすべての労働者に、おかしなiMacまたはMac Proを用意し、それに合わせてトレーニングを行います。 Cornerstone OnDemandなどのプロバイダーとの何らかのSaaSベースのセキュリティポリシーと認識トレーニングを完了する必要があることを確認してください。これは実際には問題に対する最も安価な回答である可能性がありますが、これは検証ではなく信頼です。インシデントマネージャー/チームが検証を提供します。大規模インストールのMac中心の企業の内部で標的型マルウェアが報告されていますが、ドライブバイダウンロードの正面攻撃ではそれほど被害はありません。 Win7が必要な場合は、rollback-before-every-transaction VM-guest戦略を実装します。

アプリケーションセキュリティ防御のコスト

実際の費用は、会社または組織がCOTSを購入せず、代わりに独自のコードを展開する（またはアプリ開発を外部委託する）場合に発生します。この状況では、組織が設計とコーディングを開始する前に非常に徹底的なappsecプログラムを開始しないと、長期的に物事が非常に高価になる可能性があります。それでも、アプリケーションセキュリティコンサルティング会社との調整には、2〜3年で少なくとも100〜400万ドルの費用がかかります。 1000万米ドル相当のアプリケーションを保護する必要がある場合、これは非常に簡単なことです。これにより、アプリケーションの品質とビジネスインテリジェンスも向上します。また、特にファイアウォールがFortune/Global 2000のセキュリティ予算の50％以上（場合によっては90％）を占めることを考えると、GartnerのIT支出戦略が情報セキュリティ管理プログラムに当てはまる傾向があります。