在勒索软件攻击后决定支付赎金之前,企业需要考虑一些问题。更重要的是,站稳脚跟。直到最近几年,传统的安全智慧认为企业永远不应该支付勒索软件犯罪分子所要求的赎金,因为这只会鼓励他们做更多的事情。尽管有这些警告,大约40%的勒索软件受害者还是支付了赎金。现在看来,很多被勒索软件攻击的公司都支付了赎金,很多人可能不希望他们这样做。但有证据表明,很多被勒索软件攻击的公司声称在不支付赎金的情况下帮助恢复环境,但他们往往暗中支付赎金以获得解密密钥。谁在支付赎金?MullenCoughlinJohnMullen在其整个职业生涯中参与了数千次网络安全事件响应。该公司去年处理了1200多起私人数据泄露事件,2019年处理了1500多起。“有人说40%或50%是有偿的,”马伦说。“我不知道这个数字从何而来,但我认为它更高。大多数公司在面临支付赎金或关闭公司的决定时通常会支付赎金。他们支付赎金是因为他们别无选择。没有人知道支付赎金的公司的实际百分比,但它肯定在上升。”执法报告通常建议无论发生什么情况都不要支付赎金。“当人们私下与经验丰富的执法人员交谈时,他们很少这样说,”马伦说。“大多数人会承认,受害者支付赎金通常会更好。事实上,企业支付赎金是因为他们不支付赎金。”一个更好的选择。”根据Mullen的说法,企业支付赎金的原因之一是网络攻击者可以最大限度地利用勒索软件造成的损害。“如今,网络攻击者正在访问系统、进行侦察并确定关键痛点,以便最大化网络攻击的影响。这些类型的攻击使得修复或恢复企业数据或系统变得更加困难,”他说。现在越来越多的企业支付赎金,因为网络攻击者变得越来越老练。”最近的研究支持Mullen的断言。所有这一切都表明,与支付赎金相比,大多数企业在不支付赎金的情况下从勒索软件中恢复所花费的时间、费用和资源要多得多。人们可能会认为决定是否支付赎金取决于企业是否有经过充分测试的备份,但不仅如此。如何判断勒索软件是否需要支付赎金在决定是否开始勒索软件恢复而不支付赎金之前,企业应该考虑以下几点:1.是否有勒索软件政策?企业对支付赎金的政策是什么?如果企业对支付赎金有异议,国家有书面政策,那么就会有答复。知道尽管有书面政策,但高级管理人员产生的成本和资源将比支付赎金高23倍,这是值得考虑的事情。许多公司坚持不支付赎金的承诺,并将不得不忍受数周的停机时间。但这可能面临企业破产的危险。2.损坏有多严重?勒索者获得的是核心数据还是一般数据?可以防止进一步的损害吗?能否阻止网络攻击者重新进入?网络清理的网络连接?损坏程度和范围是否已知?3、备份还原能力如何?即使企业拥有出色的备份,是否真的对所有受影响的关键资产进行了完整的测试恢复?恢复需要多长时间?您如何确保恢复不包含允许网络攻击者重新进入的后门?恢复和必要的单元测试需要多长时间?企业最近的所有备份是否都在线?网络攻击者也可以访问它们吗?如今,勒索软件网络罪犯致力于破坏企业的所有在线恢复数据,从最新的在线副本到所谓的“可信”离线副本。一些勒索软件犯罪分子在备份过程中更改了该公司用于加密其数据的合法加密密钥。每家公司都应加密所有数据备份(同样这是每项法规的合规要求)。网络攻击者在受害者不注意的情况下更改了这些备份的加密密钥。受害者将执行正常的数据备份,通常不会注意到加密密钥已被修改。几天到几个月的所有数据备份都使用错误的加密密钥进行了加密。然后就在勒索软件攻击开始之前,他们再次进行了更改。这样,即使是很久以前存储的离线数据备份也无法恢复。因此,当企业准备好进行良好的数据恢复时,必须检查所有内容。4.是否有业务连续性计划?如果企业不支付赎金,是否会制定业务连续性计划(BCP)来处理勒索软件事件?如果不是,则意味着更多的停机时间和更多的替换数据处理。企业的业务连续性计划(BCP)可以处理或涵盖多少停机时间?如果预计停机时间超过业务连续性计划(BCP)的能力,是否从一开始就支付了赎金?5.是否有高层支持?如果企业支付或不支付赎金,高级管理层和董事会是否支持该行动?如果他们因为勒索软件攻击而不得不告诉CISO,他们的数据备份和恢复计划是不可行的,可能会在几天甚至几周内被打乱,他们会有信心吗?许多公司的CISO在数据泄露后被解雇。6.你有必要的人员吗?无论企业是否支付赎金,它都需要获得所有可能的帮助才能恢复。如果企业不支付赎金,那么就需要更多的人来帮忙。像MullenCoughlin这样的公司可以帮助提供所需的支持人员和专业知识,但企业还有钱和时间吗?7.支付赎金有什么好处吗?当企业支付赎金时,勒索软件攻击者通常会向企业提供解锁系统的密钥。否则,没有人会支付赎金。但在某些情况下,支付赎金不是一种选择。也有商家支付赎金后拿到解密密钥,但恢复过程不起作用;或需要更多额外的恢复步骤,使得支付赎金毫无价值。如果可以,企业需要联系软件专家以了解其他公司向网络攻击者支付赎金的情况。虽然支付赎金是有效的,但企业可以求助于经验丰富的反勒索软件专家,并需要有关首先处理哪些恶意软件程序的专家建议。8.你有支付赎金的网络安全保险吗?如果商家真的支付赎金,网络安全保险公司如何处理?如前所述,一些网络安全保险政策不涵盖由社会工程(最流行的类型)引起的攻击,并且没有提供非常低的损失。公司应避免公开宣布他们已经拥有的网络安全保险措施,尤其是他们可能获得的数额。网络攻击者可能会将保险金作为谈判的底线。如果您的公司网络安全政策在线,则需要将其转移到安全、可快速访问的离线存储中。网络攻击者无需在发起攻击前找到它。是否支付赎金通常是一项艰难的商业决策,许多公司都没有为此做好准备。支付赎金似乎是大多数企业更简单、更快捷的选择,但企业可以根据自身情况选择更好的路径。
