企业在遭遇勒索软件攻击之后决定支付赎金之前,需要考虑一些问题。更重要的是,要确定自己的立场。
直到最近几年,传统的安全理念认为企业永远不要支付勒索软件罪犯所要求的赎金,因为这只会鼓励他们变本加厉。尽管有了这些警告,但大约40%的勒索软件受害者支付了赎金。
现在看来,许多受到勒索软件攻击的公司已经支付了赎金,而很多人可能不希望他们这样做。但有证据表明,很多遭遇勒索软件攻击的企业声称不用支付赎金就能帮助恢复环境,但他们通常秘密支付赎金并获取解密密钥。
谁在支付赎金?
Mullen Coughlin公司John Mullen在其职业生涯中参与了数千次网络安全的事件响应。该公司去年处理了1,200多个隐私数据泄露事务,而在2019年已处理1,500多个。
Mullen表示,“有人说支付赎金的比例达到了40%或50%。我不知道这个数字来自何处,但我认为这会更高。大多数公司在面临支付赎金或关闭公司的决定时通常会支付赎金。他们因为没有其他选择而支付赎金。没有人知道支付赎金的公司的实际比例,但这一比例肯定正在上升。”
执法部门的报告经常建议不管发生什么事都不要支付赎金。Mullen说,“当人们私下与经验丰富的执法人员交流时,他们很少这么说。大多数人会承认,受害者支付赎金往往情况更好。实际上,企业之所以支付费用,是因为他们没有更好的选择。”
根据Mullen的说法,企业支付赎金的原因之一是网络攻击者可以很大程度地提高勒索软件造成的损害。他说:“如今,网络攻击者正在访问系统,进行侦察,并确定关键的痛点,以便很大程度地发挥网络攻击的影响。这些类型的攻击使企业数据或系统的修复或恢复变得更加困难。现在支付赎金的企业比例更高,因为网络攻击者的技术越来越完善。”
最近的研究证实了Mullen的主张。所有这些都表明,大多数企业在没有支付赎金情况下从勒索软件中恢复所花费的时间、费用和资源都远远多于从一开始就支付赎金的情况。
人们可能会认为,是否支付赎金的决定取决于企业是否拥有经过良好测试的备份,但不仅如此。
如何确定是否应支付勒索软件需求
在决定是否不支付赎金就开始勒索软件恢复之前,企业应该考虑以下几点:
1.是否有勒索软件政策?
企业对于支付赎金有何政策?如果企业有反对支付赎金的一个书面政策,那么就会有答案。如果知道尽管制定了书面政策,但高级管理人员所承受的费用和资源将会比支付赎金高出23倍,那么需要考虑一下。许多公司坚持不支付赎金的承诺,将不得不忍受数周的停机时间。但这样可能面临企业破产的危险。
2.损害有多严重?
勒索者是得到了核心数据还是一般数据?可以防止进一步的损害吗?能阻止网络攻击者重新进入吗?企业是否需要关闭入口点,更改所有密码以及对恶意软件和恶意网络连接进行网络清理?是否知道损坏程度和范围?
3.备份还原能力如何?
即使企业拥有出色的备份,是否真的对所有受影响的关键资产进行了完整的测试恢复?恢复需要多长时间?如何确保恢复中不包含让网络攻击者重新进入的后门?需要多长时间进行恢复和必要的单元测试?企业所有的比较新的备份是否都在线?网络攻击者是否也可以访问?
如今,勒索软件网络犯罪分子致力于破坏企业所有在线恢复数据,从最新的在线副本到所谓的“受信任”离线副本。有的勒索软件犯罪分子在备份过程中更改了该公司用来加密其数据的合法加密密钥。
每个公司都应加密所有数据备份(同样这是每个法规的合规性要求)。网络攻击者将加密密钥更改为这些备份,而受害者没有注意到。受害人会执行正常的数据备份,却通常不会注意到加密密钥已被修改。数天至数月的所有数据备份都使用错误的加密密钥进行加密。然后就在勒索软件攻击开始之前,他们再次进行更改。这样,即使很久以前存储的脱机数据备份也无法恢复。
因此,当企业准备好进行良好的数据还原时,必须检查所有内容。
4.是否制定了业务连续性计划?
如果企业不支付赎金,那么制定业务连续性计划(BCP)是否可以处理勒索软件事件?如果不是这样,则意味着更多的停机时间和更多的替代数据处理。企业的业务连续性计划(BCP)可以处理或覆盖多少停机时间?如果预计的停机时间超出了业务连续性计划(BCP)的能力,是否从一开始就支付赎金?
5.是否获得高级管理人员支持?
如果企业支付或不支付赎金,是否有高级管理层和董事会支持该行动?由于勒索软件的攻击,如果不得不告诉首席信息安全官,他们的数据备份和恢复方案并不可行,并且可能会中断几天甚至几周的时间,他们是否会对此充满信心?很多企业的首席信息安全官在数据泄露事件发生之后被解雇。
6.有必要的人员吗?
无论企业是否支付赎金,都将需要获得一切帮助来恢复。如果企业不支付赎金,那么将需要更多人员的帮助。像Mullen Coughlin这样的公司可以帮助提供所需的辅助人员和专业知识,但是企业还有足够的资金和时间吗?
7.支付赎金有好处吗?
当企业支付赎金时,勒索软件攻击者通常会向企业提供用于解锁系统的密钥。否则,没人会支付赎金。
但是在某些情况下,支付赎金是行不通的。也有一些情况,企业在支付赎金之后获得了解密密钥,但是恢复过程不起作用;或者需要采取更多额外的恢复措施,这使得支付赎金变得没有价值。
如果可以,企业需要勒索联系软件专家,以了解向网络攻击者支付赎金的其他公司的情况。在支付赎金有效期,企业可以求助经验丰富的反勒索软件专家,需要获得有关首先要处理的恶意软件程序的专家意见。
8.是否拥有支付赎金的网络安全保险?
如果企业确实支付了赎金,那么网络安全保险公司如何处理?正如之前介绍的那样,某些网络安全保险政策并未涵盖由社会工程学(最受欢迎的类型)引起的行为,也没有提供非常低的损害赔偿金。
企业不要公开宣布已经拥有的网络安全保险措施,尤其是可能会获得多少保险金。网络攻击者可能会将保险金作为谈判的底线。如果企业的网络安全保险单是在线的,需要将其移动到安全、可快速访问的离线存储设备。不需要让网络攻击者在发动攻击前找到它。
是否支付赎金通常是一个艰难的业务决策,很多企业并没有为此做好准备,而支付赎金似乎是大多数企业较简单、较快的选择,但企业可以根据自身情况选择比较好的途径。
