在Proofpoint發布的《2024年CISO聲音報告》中,勒索軟件仍然是全球CISO們最為關注的問題之一。
更令人驚訝的是,CISO們對特定事件的應對方式表述:62%的人表示,他們的企業可能會支付贖金以恢復系統訪問權限。
在預期采取這一行動的國家中,排在前三位的是沙特阿拉伯(83%)、加拿大(82%)和韓國(79%)。
這些數據可能令人震驚。企業通常對其他威脅行為者采取強硬態度,包括心懷不滿的員工、企業間諜、黑客活動主義者和網絡恐怖分子。
那么,為什么這么多企業愿意與勒索軟件運營者談判、采購并發送加密貨幣到指定地址,同時希望對方能夠信守承諾呢?
我們與幾位CISO探討了在做出這一關鍵決策時涉及的因素,以及CISO在決定最終方案時所擁有的影響力。
計算遭受勒索軟件攻擊的直接和間接成本
澳大利亞托管服務提供商Enablis的CISO Leonard Kleinman表示,企業通常會基于成本收益分析來做出合作的決定。
“如果我們從非常基礎的經濟學角度來看,這只是一個成本與收益的方程式,”他說,“簡單的分析告訴你應該將企業的年度收入價值——無論是什么情況——與遭受勒索軟件攻擊的成本進行比較。”
他提到了2021年5月的Colonial Pipeline事件并將其作為例子,這家美國燃料運輸公司支付了相當于440萬美元的比特幣贖金,考慮到公司前一年收入達13億美元,這只是一小部分,持續的運營中斷將使公司損失更多。
新加坡零售商NTUC的CISO Derek Gooh提到2021年瑞士Kaseya的勒索軟件攻擊,指出不僅有直接的業務損失,還有恢復的機會成本。“如果你想象一下,重新恢復所有這些東西,從頭開始重建機器——這需要時間。”他說。
從這個角度來看,支付贖金是一個誘人的選擇。“但是如果你有恢復密鑰,如果你有解密密鑰,這可能只需3分鐘的時間,”Gooh說,“你知道惡意軟件還在里面,但至少有了密鑰,你可以快速恢復,不需要關店。”
澳大利亞托管服務提供商MercuryIT的CISO Chris Haigh表示,關鍵行業可能有額外的動力來避免停機。
“想想醫療服務:大型醫院服務于一個城市或單一城鎮中心的地區——它成為了一項關鍵服務,所以這可能是他們決定冒險支付贖金的原因之一,因為他們無法承受所有這些服務下線的代價。”他說。
Ken Newton,美國一家風險調整解決方案提供商secondwave的CISO表示,當公司與網絡保險公司打交道時,他們希望盡快減少損失。
“他們通常會允許支付贖金,盡管他們知道‘賊中無義’,但支付贖金后能讓組織迅速恢復運營的案例有歷史依據。”他說。
Enablis的Kleinman解釋說,企業還必須考慮法律和監管責任——這些風險可能與任何財務后果交織在一起,尤其是對于大型公司。他舉了一個例子:一個勒索軟件運營者加密了一家公司的數據,并將此消息透露給公司上市的股票交易所。“‘哦,順便說一下,你知道那邊的Acme XYZ公司被加密了嗎?’”他說。
Kleinman解釋說,這是一個監管風險,因為上市公司必須進行持續披露,這對其股價有重要影響。如果勒索軟件組織將消息傳達給股票交易所,公司可能違反這一政策,從而面臨進一步的監管審查和懲罰。
支付贖金的道德問題
如果支付贖金僅涉及成本收益分析,那么企業可能會100%服從勒索要求,然而,支付贖金的道德問題更加復雜,這為企業帶來了額外的考慮因素。
secondwave的Newton表示,他的立場是不向勒索軟件運營者支付贖金。“我考慮的是這些錢最終流向哪里。我考慮的是它資助了什么。”他說。
盡管所有的勒索軟件運營者都是犯罪分子,但他們的最終目標各不相同。一些人純粹是為了利潤,而另一些人可能與朝鮮等流氓國家有關聯。
MercuryIT的Haigh指出,一些勒索軟件運營者甚至可能是被美國財政部等機構制裁的實體。
“我們已經看到,例如在英國、美國,甚至某種程度上在澳大利亞,政府已經明確表示,‘你需要意識到,如果你支付贖金而這筆錢流向了一個被制裁的實體,你可能會面臨非常嚴重的法律訴訟懲罰。’”他說。
Kleinman補充說,大多數企業希望避免與這些犯罪組織打交道,因為如果他們這么做,可能會對外界造成負面印象。“他們通常希望能夠告訴別人——無論是行業內的同行還是跨行業的其他公司——他們從道德和倫理的角度做了正確的事情。”他說。
此外,Kleinman和其他人認為,屈服于勒索要求會助長更多的惡意行為。
“不要支付贖金,因為這只會激勵他們,”他說,“不要支付贖金,因為這實際上是在獎勵和資助下一次攻擊。”
Gooh提到了2024年4月新加坡一家律師事務所支付了180萬新元贖金的例子,這導致當地政府不鼓勵支付贖金。
“這很容易理解,對吧?我的意思是,如果新加坡的公司被認為在支付贖金方面有軟肋,那么我們會受到更多的攻擊,這可以說是一個惡性循環。”Gooh說。
然而,Kleinman迅速指出,組織在決定是否遵守當局建議時,并不是陷入一個非此即彼的困境,大多數當局確實不鼓勵向勒索軟件運營者支付贖金。
“如今,人們普遍理解,如果適當地與當局合作,他們可以幫助組織至少減輕一些挑戰,比如損失和其他問題。”他說,“他們可能仍然會支付贖金,但這并不一定意味著只能選擇其中之一。”
Haigh認為,公司絕不應該向勒索軟件運營者支付贖金——而且政府應該考慮將這種行為定為非法。
“如果公司停止支付,短期內將會很痛苦。不幸的是,一些企業可能會倒閉……這是一個可怕的局面,”他說,“但這是唯一能夠真正停止這種情況的方式。如果沒有人支付贖金,那么為什么還要進行勒索軟件攻擊呢?實際上根本沒有理由去做了。”
CISO是關鍵影響者
由于CISO的任務是確保組織的安全,人們可能會認為這位領導者在勒索軟件攻擊中是否支付贖金上擁有最終決定權。
“有趣的是:CISO并沒有決定權,”Kleinman說道,他從同行那里了解到CISO在勒索軟件攻擊中的角色。
“我實際上是在與其他CISO討論時學到的。我回答說,‘我不會支付。’然后,我非常尊敬的兩位同行,一位是CISO,另一位是安全主管,他們都說,‘這不是我的決定。’”Kleinman說。
盡管CISO可能不是決策者,但他們仍然是對CEO或董事會具有重要影響力的人。在這個角色中,Kleinman表示,他會基于對生產、法律和監管責任以及收入損失的風險來建議不支付贖金。“我會討論這四個風險,并盡量將它們與聲譽風險聯系起來。”他說。
Kleinman承認,他在這方面面臨一場艱難的戰斗。盡管遵守勒索軟件運營者的要求曾經會帶來負面的公眾形象,但他認為這種情況不再如此。他表示,網絡保險公司已經使贖金支付常態化。
“我認為,因為聯邦機構甚至會提供幫助……確實有一些公司專門從事贖金談判。這是他們唯一的任務,這就是為什么現在支付贖金帶來的聲譽損害不再像過去那么嚴重。”他補充道。
盡管如此,贖金支付的公開性可能會對此產生挑戰。
另一個挑戰是,CISO可能會在公司高管層中面臨直接的反對意見。Haigh提到了2020年Toll Group的勒索軟件攻擊事件。
“他們遇到的最大問題是無法支付員工工資,幾乎是每周或每兩周一次。如果你不支付司機的工資,業務就會停擺,對吧?”Haigh說。“壓力最大的人是CFO。他看到了公司陷入破產的可能性……我記得他們好像只能撐一個月。”
當一個組織面臨破產風險時,大多數高管層成員都會傾向于支付贖金,以便能夠繼續運營。
“因為現在你談論的是對公司而言本質上的生存威脅,而確保這種情況不發生是CEO、CFO和董事會的責任,所以這幾乎形成了一種對立的局面。為了更大的利益,你不應該支付贖金,但從保持公司生存的直接角度來看,你應該支付,這是一個艱難的抉擇。”他說。
利用第三方專家爭取時間
為了做出最佳決策,企業應檢查其數據是否可以從備份中恢復,以及網絡保險是否涵蓋在業務長期中斷情況下的運營費用,這兩點都可以為企業提供避免支付贖金的籌碼。
隨著勒索軟件變得“更快、更聰明、更惡毒”,一些勒索軟件運營者越來越多地威脅泄露數據,這可能促使企業采取額外的行動。“你需要使用第三方來搜尋暗網,找到數據,并能夠要么取回它,要么將其刪除。在這種情況下,這是你能做到的最好的應對措施。”他說。
這就是現代勒索軟件的貓捉老鼠游戲。勒索軟件運營者不斷創新新的技術,以進一步加大對高管層和董事會支付贖金的壓力。Kleinman表示,一些勒索軟件運營者正瞄準那些可能對公司核心更有影響的信息。
“勒索軟件運營者非常有創意。他們開始對許多高管、董事會高級成員進行網絡暴力(doxing),這意味著他們會公開個人敏感數據——比如董事長或其他類似的高管,甚至他們的家人——以進一步激勵支付贖金。”他說。
Kleinman指出,這一趨勢與非加密勒索軟件的興起是一致的,這種威脅圍繞數據泄露展開。
假設一家公司決定屈服于壓力。在這種情況下,Gooh建議,他們應該考慮引入第三方專家與勒索軟件運營者交涉,更重要的是,為尋找解密密鑰(一些勒索軟件變種的解密密鑰是可用的)、與當局協調以及談判更低的贖金爭取時間。
Gooh表示,每家企業的事件響應計劃都應包括這種專業幫助。“知道該做什么以及知道在這種情況下可以聯系誰,肯定是公司需要為此做好準備的事情之一。”他說。
Newton表示,最終是否支付贖金的決定不由他作為CISO來承擔,這讓他感到松了一口氣,但他仍然會強烈主張不支付贖金。
“如果有人問我是否會支付贖金,我會談到其倫理問題。”他說,“而且有時候,遵循倫理是痛苦的,遵循道德是痛苦的。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號