有時候，公司會遭遇網(wǎng)絡(luò)犯罪分子的贖金或勒索要求，以下內(nèi)容可以為您提供恢復(fù)數(shù)據(jù)并保持聲譽的最佳做法。

[[248732]]

無論是通過勒索軟件、數(shù)據(jù)竊取、分布式拒絕服務(wù)攻擊(DDoS)攻擊，還是基于《通用數(shù)據(jù)保護法規(guī)(GDPR)》的敲詐勒索，網(wǎng)絡(luò)犯罪分子要求組織提供資金，以恢復(fù)其數(shù)據(jù)或繼續(xù)業(yè)務(wù)運營的情況仍然頻繁發(fā)生。當(dāng)然，面對這種情況，最好的建議是不支付贖金。但是，當(dāng)沒有其他辦法可行時，一些組織可能會覺得有必要在網(wǎng)絡(luò)攻擊期間與網(wǎng)絡(luò)犯罪分子進行談判。

不得不啟動談判程序的緊迫情況可能包括備份失敗，犯罪分子握有最敏感的數(shù)據(jù)，或是受到的DDoS攻擊規(guī)模足以摧毀您的系統(tǒng)等等。來自2015年一份較早的研究估計，多達(dá)30%的安全專業(yè)人員愿意通過談判來獲取他們的數(shù)據(jù)。但問題是，究竟應(yīng)該由誰組織帶頭呢?又應(yīng)該如何進行談判呢?

Logicalis公司針對全球900名首席安全官進行的一項調(diào)查研究顯示，72%的受訪者將企業(yè)敲詐勒索和勒索軟件列為“企業(yè)面臨的最大風(fēng)險”。另外，歐洲刑警組織也在其發(fā)布的《2018網(wǎng)絡(luò)有組織犯罪威脅評估報告》中指出，網(wǎng)絡(luò)勒索活動呈現(xiàn)了明顯的增長趨勢，且預(yù)計未來這種增長趨勢還將持續(xù)。

數(shù)據(jù)有話說：支付贖金數(shù)據(jù)統(tǒng)計

美國聯(lián)邦調(diào)查局(FBI)、英國國家犯罪局(NCA)以及大多數(shù)網(wǎng)絡(luò)安全專家都建議受害企業(yè)不要支付贖金。因為支付贖金除了滿足犯罪分子的欲望外，根本沒有辦法保證犯罪分子不會再次針對貴公司實施勒索攻擊，相反地，支付贖金極有可能會變相鼓勵犯罪分子對貴公司實施進一步的敲詐勒索活動。而且，根據(jù)您的行業(yè)、所在國家地區(qū)，以及您所支付的收款方，可能還會產(chǎn)生法律和監(jiān)管方面的不利影響。

盡管如此，許多公司還是最終選擇了支付贖金。根據(jù)CyberEdge Group公司針對全球1000家企業(yè)進行的一項調(diào)查研究發(fā)現(xiàn)，在遭受勒索攻擊的企業(yè)中，大約有40%的公司支付了贖金，但結(jié)果，在這支付贖金的公司中，只有一半左右的公司最終拿回了自己的數(shù)據(jù)。而另外超過一半沒有選擇支付贖金的公司，最終也成功設(shè)法恢復(fù)了數(shù)據(jù)。

歸根到底，組織機構(gòu)應(yīng)該為此類攻擊做好防御準(zhǔn)備，而不是支付贖金。老生常談的“備份”問題仍然是遭受勒索攻擊后恢復(fù)最快、損失最少的方法;加密敏感數(shù)據(jù)可以增加犯罪分子利用這些數(shù)據(jù)的難度;DDoS保護可以緩解這些攻擊;滿足GDPR合規(guī)性可以減少犯罪分子對貴公司聲譽造成的損失;此外，圍繞“網(wǎng)絡(luò)釣魚威脅”主題的用戶安全意識培訓(xùn)項目也可以幫助進一步阻止犯罪分子進入您的網(wǎng)絡(luò)。如果您已經(jīng)盡了最大的努力，來防止贖金或其他敲詐勒索要求，但仍然宣告失敗，那么請遵循下述最佳實踐，準(zhǔn)備與犯罪分子進行談判：

1. 盡快與黑客溝通

即便您無意支付贖金，也可以通過談判協(xié)商途徑為組織獲取更多的事件，來驗證勒索通知中介紹的情況，識別泄露源，執(zhí)行分類，并嘗試從備份中解密或恢復(fù)受影響的系統(tǒng)。

常見的談判方法或拖延策略包括解釋沒有可用資金，聲稱高級管理層不會批準(zhǔn)這筆贖金，或者只是假裝不懂如何購買和進行加密貨幣支付等等。

付款永遠(yuǎn)都是最后、最迫不得已的手段，但我們建議受害企業(yè)應(yīng)該立即與黑客取得聯(lián)系。

與犯罪分子溝通通常需要通過他們喜歡的媒介——通常是加密的電子郵件或加密的聊天服務(wù)等來完成，至于具體的聯(lián)系方式通常都可以從最初的“勒索通知”中獲取到。當(dāng)然，也不排除有些勒索攻擊會采取“撒網(wǎng)，然后祈禱”(spray and pray，即廣泛部署勒索攻擊，非針對性)的模式，這種攻擊類型的“勒索通知”中通常除了比特幣收款地址外，不會留下任何通信方式，但一些更復(fù)雜或有針對性的攻擊會具備通信渠道。一些勒索軟件變種甚至有客戶服務(wù)代理。

同樣重要的是要注意，除非該勒索攻擊是專門針對您的公司，否則不要輕易透露自己的身份信息，因為攻擊者很可能會進一步定位您的個人設(shè)備并實施針對您個人或家庭的勒索攻擊。

大多數(shù)時候，溝通需要跨越時區(qū)、語言障礙以及技能嫻熟程度的差距。如果事先沒有計劃好要問什么，以及如何回復(fù)可能出現(xiàn)的問題，只依靠翻譯軟件，可能很容易會丟失掉一些重要的細(xì)節(jié)信息。

2. 驗證攻擊者是否真的擁有您的數(shù)據(jù)，且有能力對其進行解密

驗證是非常重要的一步;一定要確保攻擊者確實擁有他們所說的自己已經(jīng)竊取到的數(shù)據(jù)，或者能夠解密您無法訪問的數(shù)據(jù)，這是任何談判開始的關(guān)鍵第一步。根據(jù)AlienVault發(fā)布的最新報告指出，65%的受訪者表示他們有信心能夠驗證“勒索通知”的真假。然而，25%的受訪者承認(rèn)他們對自身確認(rèn)數(shù)據(jù)是否被盜的能力沒有信心。

租用僵尸網(wǎng)絡(luò)并發(fā)動DDoS攻擊非常容易。如果勒索攻擊和盜取數(shù)據(jù)一樣，那么大多數(shù)情況下，黑客會很樂意提供樣本來證實自己確實獲取了您的數(shù)據(jù)的。如此一來，您就可以利用這些樣本，了解黑客所收集的信息，以及它所處的系統(tǒng)，從而為您提供一些重點。查看這些系統(tǒng)日志，進行深入研究，以確定是否存在任何跡象證實該勒索攻擊是真實的。

目前，許多勒索軟件變種已經(jīng)有了標(biāo)準(zhǔn)的免費解密工具。在更具針對性的攻擊中，您可以通過發(fā)送一份加密文件(最好是非機密信息的文件)，讓攻擊者返回解密文件來證實他們確實有能力幫您恢復(fù)文件。

3. 不要害怕討價還價

受害企業(yè)有時會試圖通過談判降低價格。去年，韓國網(wǎng)絡(luò)托管公司Nayana遭受網(wǎng)絡(luò)攻擊，超過153臺Linux服務(wù)器遭遇勒索軟件的重創(chuàng)，超過3400個企業(yè)用戶的網(wǎng)站服務(wù)受到影響。最初，勒索軟件背后的操縱者要求支付550比特幣(相當(dāng)于大約160萬美元)，經(jīng)過一番談判后，贖金被降到了397.6比特幣(100萬美元左右)。

值得一提的是，攻擊者最初可能會堅持初始叫價，但是經(jīng)過第二次或第三次溝通之后，他們就會松口考慮降低費用。令人驚訝的是，類似于零售或餐飲服務(wù)行業(yè)，如果您堅持不懈地磨價，甚至要求與經(jīng)理交談，您可能就會在談判中獲取更大進展。同樣的原理也適用于勒索領(lǐng)域，只要堅持一定會獲取到更低的價格并恢復(fù)所有受損數(shù)據(jù)。

4. 確定談判負(fù)責(zé)人

根據(jù)AlienVault報告指出，企業(yè)首席信息安全官(CISO)是最適合與犯罪分子進行談判的人，其次是IT部分負(fù)責(zé)人(排名第二)，以及執(zhí)行人員(排名第三)。

然而，盡管CISO可能希望從技術(shù)角度出發(fā)解決問題，但在這種情況下，與組織的關(guān)鍵成員采取協(xié)作方式非常重要。沒有任何一個人能夠在不經(jīng)集體智慧的支持下憑空做出合適的決定。CISO了解數(shù)據(jù)的價值，CFO了解停機時間的財務(wù)影響和贖金的成本(通常只是停機成本的一小部分)，CEO了解兩者如何影響公司內(nèi)部和外部的可操作性。

CSO/CISO應(yīng)該先從調(diào)查入手，這是因為作為安全專業(yè)人員，他們最有可能真正地確定“勒索通知”內(nèi)容的真實性。這是一個巨大的挑戰(zhàn)，任何人都可以去到任何一家公司聲稱，“我已經(jīng)攻擊了你，我馬上就會把你們的信息公布出去”。對于大多數(shù)公司來說，這將是一個非常混亂動蕩的時期，作為CSO/CISO，他們必須嘗試從調(diào)查角度入手來驗證這些說法的真實性。

然而，當(dāng)涉及到與犯罪分子進行實際談判時，這項任務(wù)可能更適合那些在該領(lǐng)域相當(dāng)專業(yè)的人——他們能夠為組織盡量拖延住時間，并了解攻擊背后的心理和動機。未經(jīng)訓(xùn)練的人可能會使情況變得更糟，并且IT經(jīng)理可能不是具備該特定技能的人選。

此外，你可能還必須要發(fā)揮創(chuàng)造性。你可以邀請金融部門的人員，或是并購/兼并/收購部門的人(如果是大型企業(yè)的話)，亦或是法律顧問和執(zhí)法部門參與進來，盡量不要試圖單槍匹馬地進行任何談判。

如今，許多咨詢公司、網(wǎng)絡(luò)保險提供商和事件響應(yīng)公司都會提供談判服務(wù)，作為其勒索軟件保護產(chǎn)品的一部分。他們可以提供專門的談判者，對攻擊者所使用的勒索軟件類型進行分類(以及查看是否可以輕松解密)，或是作為最后的手段與犯罪分子進行談判促成贖金支付。除了具備談判所需的專業(yè)技能之外，聘請外部人員與犯罪分子進行交談，也可以讓他們跳出公司環(huán)境，以局外人的角度中立的進行案件討論。

最后需要提醒的是，在任何談判活動中，您都必須做到平易近人、耐心、冷靜，你還需要理性化而不能情緒化，成為實用主義者而不是理想主義者。

5. 制定計劃與所有內(nèi)部和外部利益相關(guān)者打交道

有時候談判陷入僵局，你可能會被迫支付贖金。但需要注意的是：即便是選擇付款來獲取數(shù)據(jù)或防止出現(xiàn)其他意外情況，也同樣存在弊端。

2017年，Uber(優(yōu)步)公司承認(rèn)，曾于2016年向黑客支付了10萬美元“封口費”，要他們?yōu)橐黄鸫笠?guī)模數(shù)據(jù)泄露事件保密，而在這起事件中，約有5700萬個優(yōu)步賬戶的數(shù)據(jù)泄露，但優(yōu)步并沒有向受影響的客戶和當(dāng)局透露這一消息。結(jié)果該事件被外媒踢爆后，優(yōu)步一度陷入負(fù)面新聞中，時任優(yōu)步CSO的Joe Sullivan也在承認(rèn)違規(guī)行為后不久就離開了公司，此外，違約還導(dǎo)致聯(lián)邦貿(mào)易委員會對Uber欺騙其消費者的指控進行了調(diào)查。

所以說，如果你感覺談判無法進行下去，一定要提前與公司內(nèi)外部的利益相關(guān)者溝通。至少你需要主動發(fā)布聲明來說清楚狀況，并且實施相關(guān)控制措施抑制事態(tài)進一步嚴(yán)重化，這樣你才能夠獲取主動權(quán)并控制住整體局面，不至讓客戶/股東/當(dāng)局通過第三方媒體獲知此事，引發(fā)不必要的混亂局面和負(fù)面影響。

如今，數(shù)據(jù)泄露已經(jīng)算不上什么大事件，并不會真的引發(fā)群眾恐慌情緒，人們更重視的是當(dāng)事企業(yè)對事件做出的反應(yīng)。因為這更能說明一個企業(yè)對待其客戶的態(tài)度。要知道，對用戶來說，最重要的從來都不是“這家公司是否遭受到數(shù)據(jù)泄露事件”，畢竟試想一下，谷歌、百度、蘋果……有多少企業(yè)沒有經(jīng)歷過違規(guī)行為。

最后，準(zhǔn)備工作中最重要的事情就是制定業(yè)務(wù)連續(xù)性計劃——準(zhǔn)備計劃好誰應(yīng)該參與此次談判事件，以及具體由誰負(fù)責(zé)哪些事情等等。務(wù)必確保安全、財務(wù)以及法律團隊的成員參與，并為談判工作做好充分準(zhǔn)備——了解首先應(yīng)該采取什么行動，以及需要采取什么行動來履行合規(guī)性，當(dāng)需要發(fā)布公開聲明時還需要制定溝通策略。

6. 明確法律法規(guī)

無論您是否進行談判，付款都是不明智的選擇。在遭遇攻擊后應(yīng)該立即通知執(zhí)法部門，并記住有關(guān)報告此類事件的合規(guī)要求。除了前面提及的道德論點以及支付贖金卻沒有返回數(shù)據(jù)的風(fēng)險之外，當(dāng)事企業(yè)可能還需要面臨潛在的法律后果。因為如果攻擊者被列為恐怖分子，那么向其支付贖金將可能屬于違法行為。美國財政部海外資產(chǎn)控制辦公室(OFAC)就曾發(fā)布過一份受制裁者名單，并禁止任何人/組織向其付款。

7. 加強安全投資而不是提前存儲比特幣

網(wǎng)絡(luò)勒索活動幾乎都是要求通過加密貨幣進行支付，通常是比特幣或更具隱私性的替代品，如門羅幣(Monero)等。由互聯(lián)網(wǎng)協(xié)會組織的在線信任聯(lián)盟(The Online Trust Alliance，簡稱OTA)建議組織設(shè)立一個比特幣錢包，為不得已的贖金支付做準(zhǔn)備。如今，越來越多的公司似乎正在采取這種方式。但是，大多數(shù)安全專家并不建議公司這樣做。

安全專家警告稱，存儲比特幣的公司可能更多地表明該公司對其安全部門缺乏信心。因為這筆錢本可以更好地用于構(gòu)建網(wǎng)絡(luò)彈性，投資更強大的控制措施以及現(xiàn)場備份等等。

2017年，Citrix公司的一項調(diào)查發(fā)現(xiàn)，42%的英國企業(yè)在遭受勒索軟件攻擊時擁有加密貨幣庫存，而這一比例在2016年為33%。此外，Code42公司最新發(fā)布的一項研究還發(fā)現(xiàn)，73%的首席信息安全官和60%的首席執(zhí)行官正在囤積加密貨幣，并且在這些存儲加密貨幣的人中，有大約4/5的人選擇向勒索者支付了贖金。

其實，很容易理解公司為什么要這么做——囤積加密貨幣就允許他們可以迅速完成贖金支付任務(wù)，以加速恢復(fù)被攻擊者鎖定的數(shù)據(jù)。因為該行為與勒索軟件攻擊的準(zhǔn)備工作有關(guān)，所以關(guān)于存儲的決定是由安全團隊倡議的，但進行存儲活動卻是整個組織成員共同的責(zé)任——例如，財務(wù)團隊要負(fù)責(zé)采購和做報表，安全團隊則需要從安全角度對其進行保護。

雖然提前購買加密貨幣可以加快支付速度，并減少因市場價格波動而受到影響的可能性，但用于購買這筆加密貨幣的資金本可以更好地用于預(yù)防措施。此外，持有大筆加密貨幣還會大大增加企業(yè)風(fēng)險，因為尋求難以追蹤現(xiàn)金堆的黑客會由此將你視為高優(yōu)先級目標(biāo)。而且，如果這筆加密貨幣價格飆升，它可能還會成為公開交易公司必須報告的重要資產(chǎn)——這也會吸引攻擊者目光，將企業(yè)置于高風(fēng)險境地。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文