威脅不會(huì)消亡，只會(huì)不斷加劇

• 2019年4月份，Brookside耳鼻喉和聽(tīng)力中心遭遇勒索軟件攻擊，導(dǎo)致患者記錄、預(yù)約時(shí)間表和支付信息均無(wú)法訪問(wèn)，最終永久關(guān)閉。
• 2019年10月，營(yíng)銷(xiāo)公司Heritage服務(wù)器遭到勒索軟件攻擊，給公司造成了數(shù)十萬(wàn)美元的損失，該公司暫時(shí)停止了運(yùn)營(yíng)。據(jù)悉，該公司最終向攻擊者支付了贖金，但I(xiàn)T團(tuán)隊(duì)仍在恢復(fù)系統(tǒng)過(guò)程中遇到困難，該公司的300多名員工可能因此失業(yè)。
• 2019年11月，西班牙兩家大型公司在同一天內(nèi)受到勒索軟件打擊，其中一家是Everis，它是NTT Data Group旗下的IT咨詢公司;第二個(gè)是西班牙最大的無(wú)線電網(wǎng)絡(luò)公司Cadena SER。據(jù)悉，這兩次勒索軟件感染對(duì)西班牙當(dāng)?shù)氐纳虡I(yè)環(huán)境產(chǎn)生了重大影響，因?yàn)樵S多當(dāng)?shù)毓臼褂肊veris軟件進(jìn)行日?；顒?dòng)，有人擔(dān)心自己被感染，選擇關(guān)閉程序來(lái)檢查系統(tǒng)。
• 2019年年底，廣播公司Entercom遭到一次新的勒索軟件攻擊，使得該公司的電子郵件通訊、數(shù)字平臺(tái)的文件和內(nèi)容均無(wú)法訪問(wèn)，某些電臺(tái)被迫播放錄制的節(jié)目。這是Entercom在2019年遭到的第二次網(wǎng)絡(luò)攻擊，上一次攻擊者向Entercom勒索50萬(wàn)美元，至于該公司是否支付贖金尚未可知。
• 2020年2月，美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全署的公告顯示，有一家未公開(kāi)名字的天然氣公司在感染勒索軟件后關(guān)閉設(shè)施兩天。感染發(fā)生在該公司的天然氣壓縮設(shè)施，攻擊始于釣魚(yú)郵件內(nèi)的惡意鏈接。

[[318163]]

一個(gè)有目共睹的事實(shí)是，無(wú)論網(wǎng)絡(luò)安全環(huán)境如何發(fā)展演變，威脅從來(lái)都不會(huì)消亡，只會(huì)愈演愈烈。而當(dāng)企業(yè)成為勒索軟件事件的受害者時(shí)，他們很可能會(huì)選擇支付贖金的方式來(lái)獲取繼續(xù)運(yùn)營(yíng)的能力。但是，如果該企業(yè)組織擁有網(wǎng)絡(luò)安全保險(xiǎn)保單，那么保險(xiǎn)公司就會(huì)為他們分析其他因素來(lái)權(quán)衡利弊，以確定接下來(lái)的相關(guān)事宜。網(wǎng)絡(luò)安全保險(xiǎn)公司會(huì)從各個(gè)角度審視情況，以了解哪種方案對(duì)于企業(yè)而言更可承受：支付勒索軟件贖金或是支付轉(zhuǎn)換為手動(dòng)操作和備份數(shù)據(jù)的費(fèi)用。

具體的分析和響應(yīng)，是基于目標(biāo)公司的保險(xiǎn)條款明確承保的內(nèi)容所定。假設(shè)該企業(yè)擁有針對(duì)勒索軟件事件的保單，那么網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)公司就會(huì)對(duì)每種選項(xiàng)進(jìn)行成本分析。

選項(xiàng)1：支付贖金

勒索軟件攻擊者在確定索要多少贖金方面表現(xiàn)得十分精明。如果贖金太高，網(wǎng)絡(luò)安全保險(xiǎn)保單的賠償限額將無(wú)法支持。贖金太低的話，網(wǎng)絡(luò)攻擊又顯得得不償失。贖金的具體數(shù)量通常需要考慮如下因素：1)企業(yè)因業(yè)務(wù)中斷所造成的損失;2)企業(yè)通過(guò)勞動(dòng)效率有限的手動(dòng)操作所付出的成本。

網(wǎng)絡(luò)安全保險(xiǎn)通常會(huì)承保企業(yè)業(yè)務(wù)中斷的成本，時(shí)間就從勒索軟件對(duì)數(shù)據(jù)進(jìn)行加密的那一刻算起。

目標(biāo)企業(yè)組織和網(wǎng)絡(luò)安全保險(xiǎn)公司在做出決定之前還需要探討的一些重要問(wèn)題：

1. 支付贖金會(huì)導(dǎo)致數(shù)據(jù)幸存嗎?

正所謂“盜亦有道”，誠(chéng)信對(duì)于什么行業(yè)而言都是至關(guān)重要的。攻擊者清楚地知道，如果他們?cè)谥Ц囤H金后沒(méi)有及時(shí)提供解密算法，那么他們下次再發(fā)動(dòng)攻擊時(shí)可能就不會(huì)收到任何贖金。因此，他們通常會(huì)選擇信守承諾。

2. 目標(biāo)公司的被盜數(shù)據(jù)是否存在很大的暴露風(fēng)險(xiǎn)?

通常情況下，勒索軟件攻擊者不會(huì)選擇在暗網(wǎng)上公開(kāi)被盜數(shù)據(jù)，但也并不排除這種可能性。網(wǎng)絡(luò)攻擊發(fā)生后，網(wǎng)絡(luò)保險(xiǎn)公司經(jīng)常會(huì)與計(jì)算機(jī)取證小組合作，以確定是否丟失了任何數(shù)據(jù)或讓系統(tǒng)對(duì)這種可能性有所了解。如果有任何個(gè)人身份信息(PII)數(shù)據(jù)被解密，則被保險(xiǎn)公司必須根據(jù)某些規(guī)定(例如GDPR)通知當(dāng)局。他們可能還會(huì)被要求將相關(guān)攻擊信息告知擁有這些PII數(shù)據(jù)的受害者。一些目標(biāo)公司甚至可能會(huì)受到數(shù)據(jù)隱私法規(guī)的罰款，并且還要向數(shù)據(jù)泄露的受害者賠償相關(guān)費(fèi)用。而這兩項(xiàng)費(fèi)用也都可以由保險(xiǎn)單賠付。

3. 支付贖金是否會(huì)鼓勵(lì)攻擊者再次發(fā)動(dòng)網(wǎng)絡(luò)攻擊?

不幸的是，勒索軟件攻擊者難以捕獲。他們非常擅長(zhǎng)掩蓋自己的網(wǎng)絡(luò)蹤跡，并使用加密貨幣來(lái)隱藏任何金錢(qián)蹤跡。支付贖金的行為會(huì)刺激一些激進(jìn)的攻擊者更加大膽地策劃更多攻擊活動(dòng)，甚至是可能對(duì)貴企業(yè)進(jìn)行反復(fù)攻擊。

選項(xiàng)2：拒絕支付并切換到備份數(shù)據(jù)

確定切換到備份數(shù)據(jù)的成本涉及許多因素。如果投保公司每天備份其數(shù)據(jù)，那么成本和中斷都可以忽略不計(jì)。但是，如果數(shù)據(jù)差異太大，且無(wú)法涵蓋某些日常運(yùn)營(yíng)，那么業(yè)務(wù)損失和生產(chǎn)力中斷可能會(huì)很?chē)?yán)重。另一個(gè)問(wèn)題是切換到備份數(shù)據(jù)所需的時(shí)間。對(duì)于網(wǎng)絡(luò)保險(xiǎn)公司來(lái)說(shuō)，運(yùn)營(yíng)虧損成為了首要決定因素。

如果目標(biāo)公司拒絕支付贖金，也有可能再次受到網(wǎng)絡(luò)攻擊。事實(shí)上，這種情況在任何一種情況下都是可能的。當(dāng)原始數(shù)據(jù)和系統(tǒng)被加密后，很難進(jìn)行全面的計(jì)算機(jī)取證調(diào)查，以了解攻擊者是如何滲透進(jìn)了您的系統(tǒng)之中。即使受害者在切換到備份數(shù)據(jù)時(shí)升級(jí)并強(qiáng)化了其網(wǎng)絡(luò)安全措施，已經(jīng)成功滲透到目標(biāo)公司系統(tǒng)的攻擊者也可能找到其他方式進(jìn)入。

在許多情況下，攻擊者都會(huì)進(jìn)行偵察研究，從而確定多種危害公司的方法。他們可能會(huì)將重點(diǎn)放在可以用于重新進(jìn)入目標(biāo)公司系統(tǒng)的任何第三方漏洞之上。

盡管我們不希望看到惡意行為者們獲取勝利，但是不可否認(rèn)，支付贖金可能是恢復(fù)正常運(yùn)營(yíng)的最便宜和最快捷的方法。為了降低風(fēng)險(xiǎn)，對(duì)于那些跨國(guó)型的大企業(yè)來(lái)說(shuō)，首先也是尤為重要的是要投資網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)評(píng)估措施。此外，實(shí)時(shí)地、更清楚地了解黑客對(duì)貴企業(yè)的了解程度只是一個(gè)開(kāi)始。從黑客的角度來(lái)看待貴公司潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)可能會(huì)令你大開(kāi)眼界，這是許多網(wǎng)絡(luò)保險(xiǎn)公司在分析客戶的風(fēng)險(xiǎn)狀況時(shí)所采取的觀點(diǎn)。

網(wǎng)絡(luò)保險(xiǎn)公司不僅需要衡量客戶的網(wǎng)絡(luò)衛(wèi)生狀況，而且還需要衡量與第三方供應(yīng)商和合作伙伴相關(guān)的任何風(fēng)險(xiǎn)。他們通常會(huì)對(duì)目標(biāo)公司的網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)進(jìn)行分析，以了解哪些漏洞可能會(huì)導(dǎo)致攻擊發(fā)生，并提出需要改進(jìn)的建議。

為勒索軟件場(chǎng)景做好準(zhǔn)備的最佳方法是了解在貴組織遭受網(wǎng)絡(luò)攻擊時(shí)會(huì)產(chǎn)生的財(cái)務(wù)影響。