自4月7日首次發(fā)布Heartbleed安全漏洞的消息以來，全世界的IT專業(yè)人士都在努力遏制其影響。毫無疑問，當(dāng)對所有損失進(jìn)行最終統(tǒng)計時，它將帶來很高的價格。從技術(shù)上講，Heartbleed漏洞是開源OpenSSL加密庫中的一個安全漏洞，它提供了安全套接字層(SSL)加密功能。OpenSSL廣泛部署在全球的Linux服務(wù)器、移動設(shè)備和嵌入式設(shè)備上，為傳輸中的數(shù)據(jù)提供加密。自4月8日以來，大多數(shù)主要的Linux平臺都提供了補(bǔ)丁，但有些平臺沒有打補(bǔ)丁，包括谷歌的安卓4.1(果凍豆)移動操作系統(tǒng)。

雖然大多數(shù)服務(wù)器平臺上的補(bǔ)丁已經(jīng)公開發(fā)布了一個多星期，但這并不意味著世界上所有可以打補(bǔ)丁的易受攻擊的服務(wù)器和設(shè)備實際上都打了補(bǔ)丁。

例如，Tor Privacy Network本周將失去12%的網(wǎng)絡(luò)，因為其網(wǎng)絡(luò)中的服務(wù)器尚未更新以防止Heartbleed漏洞。Tor是一個由幾個中繼服務(wù)器組成的網(wǎng)絡(luò)，互聯(lián)網(wǎng)流量通過它進(jìn)行路由，試圖使用戶的原始位置匿名。4月16日首次提供Heartbleed補(bǔ)丁后，與Tor項目合作的開發(fā)人員在一周多的時間里識別出了380個易受攻擊的節(jié)點。

心痛讓Tor付出了很多，在更大范圍內(nèi)，給全球互聯(lián)網(wǎng)社區(qū)造成了更多的損失。

量化Heartbleed給全球IT系統(tǒng)和用戶帶來的成本并不容易。安全提供商CloudFlare試圖估算一些成本。

Heartbleed漏洞的一個方面是，在服務(wù)器修復(fù)這個問題后，需要撤銷SSL證書，然后重新頒發(fā)。鑒于SSL證書撤銷列表為證書頒發(fā)機(jī)構(gòu)(CA)提供帶寬，CloudFlare首席執(zhí)行官M(fèi)atthew Prince在一篇博客文章中估計，通過GlobalSign CA撤銷SSL證書的成本可能會帶來40萬美元的帶寬成本。它只是一個云提供商，與CA合作。

心臟出血的真實總成本將包括許多因素。這些變量將需要考慮在心臟出血等式的總成本中：

1.人力資源：建立補(bǔ)丁。所有實際構(gòu)建和打包OpenSSL的項目和人員都涉及成本。

2.人力資源：補(bǔ)丁實施。個人和公司實際實施所需補(bǔ)丁所需的時間可能涉及成本。

3.風(fēng)險掃描。并非所有組織都正確理解其企業(yè)中的運(yùn)行情況，并且可能存在與掃描風(fēng)險服務(wù)器相關(guān)的員工時間成本。

4.人力資源：重置密碼。為服務(wù)器管理員和最終用戶重置密碼是一個耗時的過程。

5.證書吊銷帶寬。正如CloudFlare所指出的，撤銷然后重新頒發(fā)SSL證書的過程可能會占用大量帶寬，成本也很高。

6.數(shù)據(jù)被盜。到目前為止，唯一公開報告Heartbleed導(dǎo)致的數(shù)據(jù)被盜的組織是加拿大稅務(wù)局，但以后可能會有更多這樣的報告。

通過將所有這些輸入?yún)R總到數(shù)億受影響的最終用戶，我們將獲得Heartbleed的總成本。

鑒于歷史先例，把實際數(shù)字放在上面，我認(rèn)為5億美元是一個很好的起點。早在2001年，eWEEK報道稱，在W.32 Nimda中清洗蠕蟲的估計成本將達(dá)到5億美元。那是13年前的事了；在通貨膨脹的情況下，Heartbleed的成本可能會高得多，盡管事實是今天的整體計算成本比2001年更便宜，自動化程度也更高。

不考慮最終的總數(shù)，Heartbleed是一個安全事件，這在最近的記憶中是無與倫比的。它的潛在影響是廣泛的，可能需要幾周、幾個月甚至幾年來計算最終的真實成本。