當一個組織突然無法訪問自身系統或敏感數據被盜時,這不僅是喪失訪問權限的問題——而是對整個運營的生存威脅。
應對勒索軟件攻擊需要跨部門的應急響應團隊,包括法律顧問、網絡安全專家和組織領導層。
技術團隊在勒索軟件攻擊中的職責包括保護未受影響的系統、識別勒索軟件類型,并在可能的情況下從備份中開始數據恢復過程。
同時,法律團隊評估與攻擊者接觸的法律影響,考慮短期和長期的法律后果,并協調與執法機構、監管部門及網絡保險公司的溝通。
“當勒索軟件攻擊發生時,初步反應至關重要,”Pentest People的事件響應負責人Ian Nicholson對記者表示,“法律和技術團隊必須評估損害,識別勒索軟件的類型、數據泄露的范圍以及對組織運營的潛在影響。”
跨部門響應團隊的一個關鍵角色在于回答這個重要問題:是否應該支付攻擊者的贖金要求,如果支付,談判應如何進行?
是否支付贖金長期以來都是一個倫理問題,因為支付贖金助長了攻擊循環,但與此同時,恢復運營的緊迫性也需要考慮,即便這意味著向犯罪分子支付高昂的勒索費用。
記者采訪了幾位行業專家,他們敦促受害者不要與愈發不可信的攻擊者接觸,更不要滿足其勒索要求,但也有一些事件響應人員認為,與網絡犯罪分子交談至少有一定的價值。以下是他們對勒索軟件談判的建議匯總,作為應對勒索軟件攻擊時的道德困境和關鍵響應實踐。
勒索軟件談判指南
在與威脅者交涉時,通常由外部公司(如事件響應公司)的專業談判人員負責與攻擊者溝通。他們的主要目標是收集情報、了解攻擊者的需求并協商條件。
專業談判人員往往能比企業自行談判取得更好的結果,因為他們在應對勒索軟件團伙方面更有經驗。
“參與談判可能有多個好處,”Pentest People的Nicholson指出,“首先,這為企業爭取時間來實施其他恢復措施或收集更多關于攻擊者的信息,其次,這提供了關于攻擊者方法、意圖以及其獲取的數據的重要情報。”
在勒索軟件談判期間爭取到的時間,讓網絡安全專家有更多的空間來識別漏洞、阻止攻擊擴散并評估備份選項,同時也提供了一個收集攻擊者方法和意圖情報的機會。
交涉通常是在匿名的掩護下進行——通常會創建一個公司員工的假身份,并通過攻擊者指定的加密渠道進行溝通。
“有時,在這些交流過程中,攻擊者無意中透露的信息可以幫助安全團隊了解數據泄露的范圍或訪問的數據類型,”庭審律師Ramzy Ladah告訴記者,“這對管理當前危機和未來的防范都非常寶貴。”
經驗豐富的談判人員能夠降低贖金要求,并在達成協議前驗證解密密鑰的有效性。
事件響應公司GuidePoint Security追蹤了約70個勒索軟件團伙,其中大多數來自東歐,但也有來自伊朗、朝鮮和中國的團伙。GuidePoint Security的Mark Lance表示,有些團伙愿意接受原始要求的50%作為結算金額,而其他團伙較為固執,只提供最多20%的折扣。
Lance指出,威脅者需要維持其信譽,確保受害者支付贖金后兌現承諾——即便在團伙頻繁關閉并重組的環境中,這一要求依然很重要。
數據泄露威脅
勒索軟件談判的另一個方面是應對數據泄露的威脅。攻擊者常常以此為籌碼,威脅如果要求不被滿足將公開或出售敏感信息。
許多勒索軟件團伙現在采用“雙重勒索”手法,威脅如果不滿足其要求就泄露被盜數據。Nicholson指出:“這給受害者帶來了巨大的壓力,迫使其屈服于攻擊者的要求。”
Pentest People注意到更多攻擊者轉向純粹竊取數據進行勒索,而不是部署勒索軟件。
Ladah律師表示:“企業必須考慮到私人數據泄露的潛在后果。”這可能意味著違反合規要求、損害聲譽,以及對第三方(其數據可能已被泄露)的責任。
最近,一些數據泄露威脅變得更加個人化。
Tenable的EMEA技術總監和安全戰略家Bernard Montel告訴記者:“黑客不僅竊取公司數據,還針對VIP個體,竊取特定信息,如郵件、個人數據和財務信息等,試圖對他們個人及公司施加壓力。”
Montel指出,這種通過增加個人壓力的談判策略在越來越多的勒索軟件攻擊中出現,攻擊者還采用數據擦除而非加密的方式來增加威脅。
制裁風險
在整個談判過程中,法律團隊確保所有行動符合法律和相關規定,特別是當攻擊者與受制裁的實體相關聯時。
最近,政府對支付贖金的審查越來越嚴格,尤其是在攻擊者與受制裁實體有聯系的情況下。
例如,美國財政部外國資產控制辦公室(OFAC)已發布警告,指出向受制裁的個人或團體支付贖金可能導致嚴重的法律后果,包括巨額罰款和潛在的刑事指控。
據記者采訪的行業專家表示,目前尚未有此類指控發生,但風險確實存在。
Ladah指出:“如果受害企業最終與政府機構標記的團體進行談判,就可能面臨罰款和法律行動的風險。在這種情況下,企業的法律團隊必須立即與執法部門聯系。”
Ladah補充道:“這樣做有時可以提供一定程度的法律保護,或者至少能形成文件記錄,表明企業是在善意和法律建議下行事,這并非免除責任的保證,但可以在一定程度上減少法律風險。”
澳大利亞的《網絡安全(勒索軟件支付)條例2023》要求贖金支付在72小時內報告給當局。歐洲也可能會出臺類似規定,越來越多的歐洲當局對支付贖金持負面態度。
國際律師事務所Hunton Andrews Kurth的合伙人Sarah Pearce警告道:“一般而言,英國和歐盟的執法部門不鼓勵支付贖金,英國國家網絡安全中心(NCSC)的網站上就列出了主要風險。”
英國NCSC警告稱,支付解密密鑰“很難立即恢復正常業務,尤其是對于大型組織而言”。
英國政府的網絡保障機構補充道:“在復雜的網絡上運行解密密鑰需要時間。如果受害組織有備份和解密器,使用備份可能會更快。”
Pearce指出,英國新政府提議的《網絡安全和韌性法案》據說包含強制性事件報告規定,以便政府更好地掌握網絡攻擊的數據,包括公司遭到勒索的情況。
歐洲已經對勒索軟件事件引入了強制報告義務,至少在大型組織或關鍵服務提供商的情況下。例如,歐盟的《網絡與信息安全指令》(現為NIS2)要求及時向監管機構報告網絡事件,包括勒索軟件攻擊。
勒索軟件談判形勢的演變
Fox-IT(隸屬于NCC Group)的威脅分析師在2021年黑帽歐洲大會上展示了勒索軟件談判的實際運作方式。
全球網絡安全公司NCC Group的數字取證與事件響應全球負責人Alejandro Rivas-Vásquez告訴記者,自那次展示以來,勒索軟件談判策略在這三年中發生了重大變化,對受害企業不利。
Rivas-Vásquez表示:“自2021年以來,勒索軟件談判發生了顯著變化。全球對限制贖金支付和增加網絡事件報告的努力,限制了受害企業的談判權力。”
“雙重勒索(加密和數據泄漏威脅)”和“三重勒索(包括潛在的DDoS攻擊)”策略的興起使談判過程更加復雜。
攻擊者不僅加密數據,還威脅泄露敏感信息或向第三方施壓,迫使企業在聲譽風險和運營中斷之間權衡利弊。
Rivas-Vásquez告訴記者:“談判中的信任正在流失。針對主要勒索軟件即服務(RaaS)操作的執法行動揭示了,許多攻擊者在收取贖金后并未刪除被盜數據。”
許多國家正推動國際合作和情報共享,并對第三方加密貨幣支付代理進行嚴格審查。
“隨著政府對支付的打擊力度加大,對攻擊者承諾的不信任感上升,以及企業響應能力的增強,支付贖金對許多企業來說已成為一種風險更大、可行性更低的選擇。”Rivas-Vásquez總結道。
簡單而言:支付贖金可能會鼓勵進一步的攻擊,并且無法保證數據恢復。
像No-More-Ransom這樣的網站為遭受勒索軟件攻擊的企業提供了幫助,但在事前進行預防和加固系統及流程總是優于應對潛在入侵帶來的高度風險。
Pentest People的Nicholson表示:“事件響應和準備工作在從勒索軟件攻擊等事件中恢復方面起到了關鍵作用。通過詳細制定并測試響應措施,企業可以更好地理解自身的薄弱點并填補安全漏洞,以降低風險。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號