对勒索软件支付的态度正在发生变化,但不一定会变得更好。勒索软件攻击和防御是上周2020RSA大会上讨论的主要话题。大部分讨论都集中在不断演变的威胁上,特别是攻击者威胁要泄露受害者的数据以迫使他们支付赎金。其他讨论涉及勒索软件的经济学,包括围绕支付赎金的道德规范,几位专家表示,近年来企业对支付赎金的态度发生了巨大变化。“支付赎金的意愿有所上升,”德勤网络战略、防御和响应主管安德鲁莫里森说。“两年前,甚至18个月前,普遍的看法是‘我们不与恐怖分子谈判,我们不支付赎金。’这是FBI的建议,也是我们的建议——每个人的建议是不要支付赎金。”赎金,因为这只会让事情变得更糟,而且你不能保证能取回你的数据。”据莫里森说,这个概念已经发生了巨大变化。“现在,几乎每个企业都将其视为一项商业决策,他们会像其他任何财务决策一样权衡支付赎金的决定。”付出的代价值得吗?”MalwarebytesLabs主管AdamKujawa谈到这种态度变化时说。这是勒索软件攻击演变的直接结果,随着攻击者将目光投向更大的企业目标,勒索软件攻击的破坏性越来越大。Kujawa说,最初几年,勒索软件主要针对消费者,行业标准建议是不要支付赎金。他说:“不要向这些人支付赎金,也不要鼓励他们,支付赎金只会让更糟。FBI也建议这样做。但现在情况不同了,勒索软件比以往任何时候都更加严重。有针对性的。现在勒索软件专门针对更大的网络,在感染整个网络时造成尽可能多的破坏,正如我们在Emotet和TrickBot等木马中看到的那样,它们横向移动并能够破坏整个网络,然后在之后启动勒索软件每个端点都被感染。”支付赎金的风险即使是执法机构和政府官员似乎也在软化他们对拒绝支付赎金的立场。在RSA会议期间,FBI监督特工JoelDeCapua强调了支付勒索软件的风险赎金并建议不要这样做,但承认一些企业可能别无选择。“我们不主张支付赎金,”DeCapua说。我们已经看到人们支付赎金,然后却无法取回他们的数据。“很多时候,当你支付赎金时,攻击者实际上在系统上有一堆其他后门,”DeCapua说。你不会得到你想要的;结果也不会很好。我们鼓励人们不要支付赎金,但我们明白,当人们处于这种可怕的境地时,他们必须做出艰难的选择。在RSA会议的另一场关于勒索软件的会议上,美国司法部计算机犯罪和知识产权部门的高级律师WilliamHall谈到了SamSam勒索软件。在会议期间,霍尔犹豫是否加入关于是否支付赎金的辩论,但他指出了双方的积极态度。霍尔说:“很多执法人员认为,如果受害者停止支付赎金,Minimal勒索软件对犯罪分子来说并不是一个非常有效的工具,他们可能会停止。我不打算在这里谈论这个非常困难的问题领域今天。然而,受害者为SamSam勒索软件支付赎金是“重要证据”,可以帮助执法部门识别攻击者,他说。信息安全社区中的一些人表示担心,人们对勒索软件支付的态度转变将导致更多的企业受到威胁。向攻击者支付赎金,他们担心这会导致更多攻击。RiskBasedSecurity的首席执行官兼首席信息安全官JakeKouns同意,支付赎金的趋势有所增加,尤其是在安全预算较小且可能未做好充分准备的中小企业中他说:“这是一个艰难的局面,因为你不想助长更多的攻击。”但与此同时,如果不支付赎金,企业就会会面临倒闭的风险,他们真的愿意为了更大的利益而选择倒闭吗?”Morrison说,德勤针对遭受严重勒索软件攻击的制药客户的事件响应(IR),攻击者加密了该公司对即将推出的可以挽救生命的药物的研究。“对他们来说,他们肯定必须支付赎金,因为这不仅仅是收入损失,还关系到生命,”他说。莫里森说,有些攻击没有达到那种程度,但客户仍然选择支付赎金。“有时他们选择支付赎金,他们说如果我激活我的[IR]持有人,它的成本将超过赎金。这是最初的心态。他们不一定理解的是这个决定充满了风险.你没有得到一个神奇的钥匙,你把它插上,一切又回来了。“勒索软件攻击呈上升趋势勒索软件支付增加背后的另一个因素是攻击次数的增加。随着攻击在受害者的IT环境中变得更加严重和脆弱,”思科TalosIntelligenceGroup外联总监MattValites说.因此,普遍而言,支付赎金的决定不仅仅是一种纯粹的财务权衡。“现在有很多勒索软件,我们的IR团队不断看到勒索软件,”他说。是否支付赎金是企业自己的决定,这取决于很多事情,比如你的预算是多少。而且,即使你付出了代价,你也无法摆脱这种情况,攻击者可以立即从头再来。尽管事件响应专家发出警告,但专家表示勒索软件趋势正朝着错误的方向发展。莫里森说,最大的问题是勒索软件攻击很成功,企业正在努力阻止感染和对环境的破坏。莫里森说:“网络安全一直是一场猫捉老鼠的游戏,比较谁拥有更好的武器和更好的防御。这一直是平衡的,但现在我认为我们正在失去这种平衡。这种趋势一直持续到平衡恢复,直到有更好的防御措施来打击勒索软件。”
