?如果企業(yè)別無選擇，只能付錢給網(wǎng)絡(luò)攻擊者以取回關(guān)鍵數(shù)據(jù)，這些優(yōu)秀實踐可以讓其處于從勒索軟件攻擊中恢復到最佳位置。

Fox-IT（NCC集團的子公司）的網(wǎng)絡(luò)安全和威脅分析師對勒索軟件談判的機制進行了闡述，以幫助企業(yè)在遭受網(wǎng)絡(luò)攻擊之后進行改進。PepijnHack和Zong-YuWu在BlackHatEurope2021會議上提出了產(chǎn)教學法概念，并在不久之后在NCC集團網(wǎng)站的一篇博客文章中進行了詳細闡述。

這些數(shù)據(jù)來自對2019年至2020年期間對700多次攻擊者與受害者談判進行的研究，以及一篇探討三個主要主題的論文。這些是：

• 網(wǎng)絡(luò)攻擊者如何使用經(jīng)濟模型來最大化他們的利潤
• 表明受害者在談判階段的立場
• 勒索軟件受害者可以利用的策略甚至是競爭環(huán)境

研究人員寫道：“這項研究表明，勒索軟件的生態(tài)系統(tǒng)已經(jīng)發(fā)展成為一項復雜的業(yè)務(wù)。每個勒索軟件團伙都制定了自己的談判和定價策略，以實現(xiàn)利潤最大化?！?/p>

勒索軟件企業(yè)處于談判的主導地位

這一數(shù)據(jù)集主要關(guān)注兩種不同的勒索軟件。第一次是在2019年收集的，當時的勒索攻擊者經(jīng)驗相對缺乏，贖金要求較低。它包括受害者和勒索集團之間681次談判。第二個是在2020年底和2021年初收集的，有30個談判組成，網(wǎng)絡(luò)攻擊當時已經(jīng)成為全球公司的主要威脅。

分析表明，勒索軟件操作的成熟度有所提高。網(wǎng)絡(luò)攻擊企業(yè)正在根據(jù)受害者的多個變量（包括受感染設(shè)備/服務(wù)器的數(shù)量、員工、估計收入和媒體曝光的潛在影響）計算攻擊成本，并實施贖金定價策略。通過這樣做，網(wǎng)絡(luò)攻擊者甚至可以在受害者進行談判之前準確地預(yù)測他們可能支付的金額。一旦他們這樣做，受害方就會很被動。博客文章寫道，“在通常情況下，在談判中，每個玩家都拿著自己的底牌。勒索軟件攻擊者知道他們的業(yè)務(wù)成本以及他們需要獲得多少收入才能收支平衡。與同時，受害者會估算補救成本?！?/p>

但這造成了一種情況，受害者必須開展這樣的“不公平談判游戲”，在受害者不知情的情況下引導他們達到預(yù)設(shè)但合理的贖金范圍。這是一場被操縱的游戲，由于勒索軟件企業(yè)獲得主動地位，這最終助長了勒索軟件生態(tài)系統(tǒng)快速發(fā)展?！?/p>

研究中一個有趣的觀察結(jié)果是，從每年收入的角度來看，規(guī)模較小的公司通常支付更多的贖金。這意味著他們支付的金額較少，但占其收入的百分比較高。相比之下，在數(shù)據(jù)集中的最高贖金（1400萬美元）是由財富500強公司支付的。因此可以理解，具有經(jīng)濟動機的勒索軟件攻擊者可以精心挑選有價值的目標，并從大筆贖金中獲利，而不是攻擊中小公司。這種情況導致一些勒索軟件企業(yè)確實決定只針對大型盈利企業(yè)進行攻擊。

勒索軟件攻擊前需要采取的四個準備步驟　

該研究列出了可以幫助受害者有利的談判平衡的最佳實踐和方法，從談判開始之前的準備開始。企業(yè)必須：

(1) 教導的員工不要打開贖金通知單，并點擊其中的鏈接。這通常會在需要付款時開始倒計時。不打開贖金通知單可以爭取時間來確定基礎(chǔ)設(shè)施的哪些部分受到攻擊，遭遇的攻擊會產(chǎn)生什么后果，以及可能涉及的成本。

(2) 確定談判目標，考慮備份和最佳和最壞的支付贖金方案。

(3) 建立清晰的內(nèi)部和外部溝通渠道，涉及危機管理團隊、董事會、法律顧問和溝通部門。

(4) 了解勒方向盤攻擊者以了解他們的策略，并查看是否有可用的解密密鑰?！?/p>

勒索軟件談判的五種方法　

有了這種準備，如果企業(yè)決定這樣做的話，它們將更好地參與勒索軟件談判。從這一點來看，建議他們采用五種旨在減輕損害的方法。

(1) 在談判中保持尊重并使用專業(yè)語言，不要將情緒帶到談判中。

(2) 受害者應(yīng)該愿意向勒索軟件攻擊者要求更多的時間，這可以讓他們探索所有恢復的可能性。一種策略是解釋需要額外的時間來籌集所需的加密貨幣資金。

(3) 企業(yè)可以提議提前支付少量費用，而不是在以后支付大量費用，眾所周知，勒索軟件攻擊者會接受大幅折扣以支持快速獲利，并轉(zhuǎn)向另一個目標。

(4) 最有效的策略之一是企業(yè)說服勒索軟件攻擊者相信其沒有能力支付最初要求的金額，這甚至可以證明對于勒索軟件攻擊者知道擁有巨額資金的大型企業(yè)是有效的。研究指出，并不是每個企業(yè)都擁有數(shù)百萬美元的加密貨幣。

(5) 避免告訴勒索軟件攻擊者有網(wǎng)絡(luò)保險政策。他們不應(yīng)將網(wǎng)絡(luò)保險文件保存在任何可訪問的服務(wù)器上。網(wǎng)絡(luò)保險的存在可能使攻擊者不太可能靈活地進行談判，因為大多數(shù)網(wǎng)絡(luò)保險都涵蓋了成本。

該研究還引用了一些簡單實用的建議來補充上述談判過程。這些包括要求解密測試文件、如果企業(yè)最終支付贖金，要證明文件是如何被刪除的，以及對勒索軟件攻擊者如何入侵的解釋。企業(yè)還應(yīng)該做好更壞的準備，因為即使支付贖金也會其數(shù)據(jù)泄露或?qū)ν獬鍪鄣那闆r。?