直到最近幾年,傳統的安全理念認為企業永遠不要支付勒索軟件罪犯所要求的贖金,因為這只會鼓勵他們變本加厲。盡管有了這些警告,但大約40%的勒索軟件受害者支付了贖金。
現在看來,許多受到勒索軟件攻擊的公司已經支付了贖金,而很多人可能不希望他們這樣做。但有證據表明,很多遭遇勒索軟件攻擊的企業聲稱不用支付贖金就能幫助恢復環境,但他們通常秘密支付贖金并獲取解密密鑰。
誰在支付贖金?
Mullen Coughlin公司John Mullen在其職業生涯中參與了數千次網絡安全的事件響應。該公司去年處理了1,200多個隱私數據泄露事務,而在2019年已處理1,500多個。
Mullen表示,“有人說支付贖金的比例達到了40%或50%。我不知道這個數字來自何處,但我認為這會更高。大多數公司在面臨支付贖金或關閉公司的決定時通常會支付贖金。他們因為沒有其他選擇而支付贖金。沒有人知道支付贖金的公司的實際比例,但這一比例肯定正在上升。”
執法部門的報告經常建議不管發生什么事都不要支付贖金。Mullen說,“當人們私下與經驗豐富的執法人員交流時,他們很少這么說。大多數人會承認,受害者支付贖金往往情況更好。實際上,企業之所以支付費用,是因為他們沒有更好的選擇。”
根據Mullen的說法,企業支付贖金的原因之一是網絡攻擊者可以最大程度地提高勒索軟件造成的損害。他說:“如今,網絡攻擊者正在訪問系統,進行偵察,并確定關鍵的痛點,以便最大程度地發揮網絡攻擊的影響。這些類型的攻擊使企業數據或系統的修復或恢復變得更加困難。現在支付贖金的企業比例更高,因為網絡攻擊者的技術越來越完善。”
最近的研究證實了Mullen的主張。所有這些都表明,大多數企業在沒有支付贖金情況下從勒索軟件中恢復所花費的時間、費用和資源都遠遠多于從一開始就支付贖金的情況。
人們可能會認為,是否支付贖金的決定取決于企業是否擁有經過良好測試的備份,但不僅如此。
如何確定是否應支付勒索軟件需求
在決定是否不支付贖金就開始勒索軟件恢復之前,企業應該考慮以下幾點:
1.是否有勒索軟件政策?
企業對于支付贖金有何政策?如果企業有反對支付贖金的一個書面政策,那么就會有答案。如果知道盡管制定了書面政策,但高級管理人員所承受的費用和資源將會比支付贖金高出23倍,那么需要考慮一下。許多公司堅持不支付贖金的承諾,將不得不忍受數周的停機時間。但這樣可能面臨企業破產的危險。
2.損害有多嚴重?
勒索者是得到了核心數據還是一般數據?可以防止進一步的損害嗎?能阻止網絡攻擊者重新進入嗎?企業是否需要關閉入口點,更改所有密碼以及對惡意軟件和惡意網絡連接進行網絡清理?是否知道損壞程度和范圍?
3.備份還原能力如何?
即使企業擁有出色的備份,是否真的對所有受影響的關鍵資產進行了完整的測試恢復?恢復需要多長時間?如何確保恢復中不包含讓網絡攻擊者重新進入的后門?需要多長時間進行恢復和必要的單元測試?企業所有的最新備份是否都在線?網絡攻擊者是否也可以訪問?
如今,勒索軟件網絡犯罪分子致力于破壞企業所有在線恢復數據,從最新的在線副本到所謂的“受信任”離線副本。有的勒索軟件犯罪分子在備份過程中更改了該公司用來加密其數據的合法加密密鑰。
每個公司都應加密所有數據備份(同樣這是每個法規的合規性要求)。網絡攻擊者將加密密鑰更改為這些備份,而受害者沒有注意到。受害人會執行正常的數據備份,卻通常不會注意到加密密鑰已被修改。數天至數月的所有數據備份都使用錯誤的加密密鑰進行加密。然后就在勒索軟件攻擊開始之前,他們再次進行更改。這樣,即使很久以前存儲的脫機數據備份也無法恢復。
因此,當企業準備好進行良好的數據還原時,必須檢查所有內容。
4.是否制定了業務連續性計劃?
如果企業不支付贖金,那么制定業務連續性計劃(BCP)是否可以處理勒索軟件事件?如果不是這樣,則意味著更多的停機時間和更多的替代數據處理。企業的業務連續性計劃(BCP)可以處理或覆蓋多少停機時間?如果預計的停機時間超出了業務連續性計劃(BCP)的能力,是否從一開始就支付贖金?
5.是否獲得高級管理人員支持?
如果企業支付或不支付贖金,是否有高級管理層和董事會支持該行動?由于勒索軟件的攻擊,如果不得不告訴首席信息安全官,他們的數據備份和恢復方案并不可行,并且可能會中斷幾天甚至幾周的時間,他們是否會對此充滿信心?很多企業的首席信息安全官在數據泄露事件發生之后被解雇。
6.有必要的人員嗎?
無論企業是否支付贖金,都將需要獲得一切幫助來恢復。如果企業不支付贖金,那么將需要更多人員的幫助。像Mullen Coughlin這樣的公司可以幫助提供所需的輔助人員和專業知識,但是企業還有足夠的資金和時間嗎?
7.支付贖金有好處嗎?
當企業支付贖金時,勒索軟件攻擊者通常會向企業提供用于解鎖系統的密鑰。否則,沒人會支付贖金。
但是在某些情況下,支付贖金是行不通的。也有一些情況,企業在支付贖金之后獲得了解密密鑰,但是恢復過程不起作用;或者需要采取更多額外的恢復措施,這使得支付贖金變得沒有價值。
如果可以,企業需要勒索聯系軟件專家,以了解向網絡攻擊者支付贖金的其他公司的情況。在支付贖金有效期,企業可以求助經驗豐富的反勒索軟件專家,需要獲得有關首先要處理的惡意軟件程序的專家意見。
8.是否擁有支付贖金的網絡安全保險?
如果企業確實支付了贖金,那么網絡安全保險公司如何處理?正如之前介紹的那樣,某些網絡安全保險政策并未涵蓋由社會工程學(最受歡迎的類型)引起的行為,也沒有提供非常低的損害賠償金。
企業不要公開宣布已經擁有的網絡安全保險措施,尤其是可能會獲得多少保險金。網絡攻擊者可能會將保險金作為談判的底線。如果企業的網絡安全保險單是在線的,需要將其移動到安全、可快速訪問的離線存儲設備。不需要讓網絡攻擊者在發動攻擊前找到它。
是否支付贖金通常是一個艱難的業務決策,很多企業并沒有為此做好準備,而支付贖金似乎是大多數企業最簡單、最快的選擇,但企業可以根據自身情況選擇最好的途徑。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號