企业需要权衡支付赎金的成本与从勒索软件攻击中恢复的成本和挑战,根据InfosecurityEurope2022的一个小组的说法。支付赎金引发了道德和实际问题。付款是有成本的,无论是直接付款还是通过公司的网络保险政策,都可能导致法律和监管问题。在某些情况下,公司甚至可能根据反洗钱法面临制裁或罚款。支付赎金还可能导致声誉受损。此外,还有恢复数据和系统的时间和成本,以及中断期间的交易损失。小企业会发现支付赎金比尝试从备份恢复更容易。“我们都被告知不要付钱给勒索者和敲诈者,如果你这样做,他们会一次又一次地回来,”Guidehouse风险合规和安全主管巴里科茨沃斯说。不付钱。但中小型企业做不到,如果他们不付款,他们就会倒闭。”企业的恢复能力在很大程度上取决于备份的质量、异地存储的方式以及是否有明确的勒索软件响应策略或计划。根据空中客车集团CISOKevinJones的说法,组织需要恢复时间目标,以及将关键应用程序恢复到自己的硬件或云中的计划。“那么如何将业务流程与IT系统联系起来并确定恢复的优先级呢?”他问。公司还需要优先考虑系统恢复,无论他们是在尝试从备份中恢复,还是已经支付了赎金并收到了恢复密钥。即使使用恢复密钥,恢复数据也需要时间。“先启用财务系统,还是先启用业务系统?”CamelotGroup首席信息安全官DavidBoda说。恢复计划还应涉及利益相关者,包括股东和可能的政府。Coatesworth说,选择支付的公司应该通过他们的网络保险公司或专业谈判人员协商条款。在某些情况下,执法部门也会处理此类谈判。最重要的是,组织需要对活动保持透明,无论他们付费与否。与客户、员工和内部员工(例如处理供应链的客户经理)的沟通至关重要。企业应迅速行动,但不能草率行事。“最糟糕的事情是隐藏事件或延迟披露太久,”科茨沃斯说。谈判勒索软件的5种方法NCCGroup下属的Fox-TT网络安全分析师PepijnHack概述了组织在与勒索软件谈判时应该做的五件事,以改善2021年黑帽欧洲会议的会议结果。这是一个关键方法。保持尊重——虽然哈克承认这听起来很奇怪,因为你的公司被黑客入侵了,但他强调,在与攻击者交流时保持礼貌和尊重更有可能带来更好的结果。“我们看到的一件事是,当受害者对对手生气或感到沮丧时,谈话就会破裂,祝你好运,找回你的文件,”他说。将其视为一项商业交易,”哈克补充道。要求更多时间——哈克警告说,攻击者会试图强迫你做出快速决定,这更有可能给受害者带来不好的结果。然而,“几乎在所有情况下案件,如果你还在谈判,他们愿意延长时间。”这可以让受害者有更多机会评估他们的选择,例如,他们是否正在等待,看看他们是否可以获得被盗数据备份。承诺支付少量费用现在或以后更多——哈克再次强调,网络攻击者和其他人一样,“不擅长延迟满足”。此外,对方可能希望尽快结束谈判。因此,受害人在谈判中应尽量利用这种心理。例如,如果他们决定不得不付款,受害人可以明确表示可以现在支付较低的价格,而更高的付款将被延迟。说服你的对手你无法满足赎金金额–Hack引用了他在研究中分析的谈判示例,其中受害者表示他们可以支付的最多是500,000美元(来自1300万美元的需求)。最后,这就是他们最终支付的全部费用,成本要低得多。这种方法甚至适用于大公司,Hack透露一家财富500强公司尽管支付了费用但仍收到了解密密钥远低于最初的要求。不要告诉任何人你有网络保险——“如果你的对手发现你有网络保险,这将使你们的谈判更加困难,”哈克说。声称知道受害者的攻击者可以支付很多费用,因为他们有网络保险。由于这些信息通常可以从被盗文件中获得,哈克建议:“对您拥有网络保险的事实保密,并将文件从您的网络中取出。您甚至可能想与您的保险公司达成协议以保密也一样。””最后,哈克重申,公司在勒索软件谈判中总是处于劣势。尽管如此,还是有一些方法可以减轻攻击造成的损害。根据你在谈判中的目标,是想在提供后援的同时争取时间,还是已经决定支付赎金,你可以选择不同的策略。Hack补充说,向组织提供这些建议至关重要,因为不幸的是,“勒索软件不会消失,因为它是一项非常有价值的业务。”原标题:勒索软件:精细平衡的支付决策作者:StephenPritchard原文链接:https://www.infosecurity-magazine.com/news/ransomware-payment-decisions/
