如果企业别无选择,只能向网络攻击者支付费用以取回关键数据,这些最佳实践使其处于从勒索软件攻击中恢复的最佳位置。Fox-IT(NCC集团的子公司)的网络安全和威胁分析师阐明了勒索软件谈判的机制,以帮助企业在网络攻击后进行改进。PepijnHack和Zong-YuWu在BlackHatEurope2021会议上介绍了生产教育概念,并在不久后在NCC集团网站上的博客文章中对其进行了详细阐述。这些数据来自对2019年至2020年间700多次攻击者与受害者谈判的研究,以及一篇探讨三个主要主题的论文。它们是:网络攻击者如何使用经济模型来最大化他们的利润表明受害者在谈判阶段的立场战略甚至勒索软件受害者可以利用的竞争环境生态系统已经发展成为一个复杂的业务。每个勒索软件团伙都制定了自己的谈判和定价策略,以实现利润最大化。”勒索软件企业在谈判中处于主导地位。该数据集侧重于两种不同的勒索软件。第一次收集是在2019年,当时勒索软件攻击者的经验相对不足,赎金要求也较低。其中包括受害者与敲诈勒索团伙之间的681次谈判。第二次是在2020年底和2021年初收集的,包括30次谈判,当时网络攻击已成为全球公司的主要威胁。分析表明,勒索软件操作的成熟度有所提高。网络攻击企业正在计算攻击成本并根据受害者的多个变量实施赎金定价策略,包括受感染设备/服务器的数量、员工、估计收入以及媒体曝光的潜在影响。通过这样做,网络攻击者甚至可以在受害者进行谈判之前准确预测受害者可能支付的金额。一旦他们这样做了,受害者就会非常被动。“在正常情况下,在谈判中,每个玩家都拿着自己的牌,”博文中写道。将估算修复成本。”但这造成了一种情况,即受害者不得不玩这种“不公平的谈判游戏”,导致他们在受害者不知情的情况下进入预设但合理的赎金范围。这是一个被操纵的游戏,随着勒索软件企业占据上风,这最终推动了勒索软件生态系统的快速增长。该研究中一个有趣的观察结果是,较小的公司通常在年收入方面支付更多的赎金。这意味着他们支付的金额较少,但占收入的百分比较高。相比之下,数据集中最高的赎金(1400万美元)是由一家财富500强公司支付的。因此可以理解,出于经济动机的勒索软件攻击者可以精心挑选有价值的目标并从大笔赎金中获利,而不是攻击中小型公司。这种情况导致一些勒索软件企业确实决定只针对大型、有利可图的企业。勒索软件攻击前要采取的四个准备步骤 本研究列出了最佳实践和方法,可以帮助达成对受害者有利的谈判平衡,从谈判开始前的准备开始。企业必须:(1)教导员工不要打开赎金票据并点击其中的链接。这通常会在付款到期时开始倒计时。不打开赎金票据可以争取时间来确定基础设施的哪些部分受到损害、攻击的后果是什么以及可能涉及的成本。(2)确定谈判目标,考虑备用方案以及最佳和最差赎金支付方案。(3)建立清晰的内部和外部沟通渠道,涉及危机管理团队、董事会、法律顾问和沟通部门。(4)了解LE攻击者以了解他们的策略并查看是否有可用的解密密钥。 谈判勒索软件的五种方法 有了这种准备,如果企业决定这样做,他们将更有能力谈判勒索软件。从这一点来看,建议他们采用五种方法来减轻损害。(1)谈判中要尊重对方,使用专业语言,不要把情绪带入谈判。(2)受害者应该愿意向勒索软件攻击者要求更多时间,这使他们能够探索所有恢复的可能性。一种策略是解释筹集所需的加密货币资金所需的额外时间。(3)企业可以预先支付少量费用而不是以后支付大笔费用,众所周知,勒索软件攻击者会接受大幅折扣以快速获利并转移到另一个目标。(4)最有效的策略之一是让企业说服勒索软件攻击者它无力支付最初要求的金额,这甚至对勒索软件攻击者知道自己拥有巨额资金的大型企业也有效。研究指出,并非每个企业都拥有数百万美元的加密货币。(5)避免告诉勒索软件攻击者有网络保险政策。他们不应将网络保险文件保存在任何可访问的服务器上。网络保险的存在可能会降低攻击者灵活谈判的可能性,因为大多数网络保险都涵盖了成本。该研究还引用了一些简单实用的建议来补充上述谈判过程。其中包括解密测试文件的请求,如果企业最终支付赎金,文件如何被删除的证明,以及勒索软件攻击者如何进入的解释。企业也应该做好最坏的打算,即使他们支付了赎金,他们的数据可能会泄露或出售。
