根據(jù) Infosecurity Europe 2022 的專家小組的說(shuō)法，公司需要權(quán)衡支付贖金的成本與從勒索軟件攻擊中恢復(fù)的成本和挑戰(zhàn)。

支付贖金引發(fā)了道德和實(shí)際問(wèn)題。支付是有成本的，無(wú)論是直接支付，還是通過(guò)公司的網(wǎng)絡(luò)保險(xiǎn)單支付，可能會(huì)導(dǎo)致法律和監(jiān)管問(wèn)題。在某些情況下，公司甚至?xí)媾R反洗錢法的制裁或罰款。支付贖金也可能導(dǎo)致名譽(yù)受損。

此外，還有恢復(fù)數(shù)據(jù)和系統(tǒng)的時(shí)間和成本，以及中斷期間的交易損失。小型企業(yè)會(huì)發(fā)現(xiàn)支付贖金比嘗試從備份中恢復(fù)更容易。

“我們都被告知不要付錢給敲詐者和勒索者，如果你這樣做，他們會(huì)一次又一次地回來(lái)，”Guidehouse 風(fēng)險(xiǎn)合規(guī)與安全總監(jiān) Barry Coatesworth 說(shuō)，“一些大型組織可以度過(guò)這個(gè)難關(guān)而不付錢。但中小企業(yè)做不到，如果不付錢，他們就會(huì)失去生意?！?/p>

企業(yè)能否恢復(fù)在很大程度上取決于其備份的質(zhì)量，將這些備份存儲(chǔ)在異地以及是否有明確的勒索軟件應(yīng)對(duì)策略或計(jì)劃。根據(jù)空中客車集團(tuán)的 CISO Kevin Jones 的說(shuō)法，組織需要恢復(fù)時(shí)間目標(biāo)，以及將其關(guān)鍵應(yīng)用程序恢復(fù)到自己的硬件或云的計(jì)劃。“那么如何將業(yè)務(wù)流程與 IT 系統(tǒng)聯(lián)系起來(lái)，并確定恢復(fù)的優(yōu)先級(jí)？” 他問(wèn)道。

公司還需要優(yōu)先考慮系統(tǒng)恢復(fù)，無(wú)論他們是試圖從備份中恢復(fù)，還是已經(jīng)支付了贖金并收到了恢復(fù)密鑰。即使使用恢復(fù)密鑰，恢復(fù)數(shù)據(jù)也需要時(shí)間。“你是先啟用財(cái)務(wù)系統(tǒng)，還是先啟用業(yè)務(wù)系統(tǒng)？” Camelot 集團(tuán)首席信息安全官 David Boda 說(shuō)?；謴?fù)計(jì)劃還應(yīng)涉及利益相關(guān)者，包括股東，還可能包括政府。

Coatesworth 說(shuō)，選擇支付的公司應(yīng)該通過(guò)他們的網(wǎng)絡(luò)保險(xiǎn)公司或?qū)I(yè)的談判人員來(lái)協(xié)商條款。在某些情況下，執(zhí)法部門也將處理這種談判。

最重要的是，組織需要對(duì)事件保持透明，無(wú)論他們是否付費(fèi)。與客戶、員工和內(nèi)部員工（例如與供應(yīng)鏈打交道的客戶經(jīng)理）的溝通至關(guān)重要。企業(yè)應(yīng)迅速采取行動(dòng)，但不能倉(cāng)促行事。“最糟糕的是隱藏事件或延遲披露太久，”Coatesworth 說(shuō)。

進(jìn)行勒索軟件談判的5種方法

NCC Group 旗下 Fox-TT 的網(wǎng)絡(luò)安全分析師 Pepijn Hack 在 Black Hat Europe 2021 的一次會(huì)議上，概述了組織在與勒索者進(jìn)行勒索軟件談判以改善結(jié)果時(shí)應(yīng)采取的五種關(guān)鍵方法。

保持尊重 —— 雖然 Hack 承認(rèn)這聽(tīng)起來(lái)很奇怪，因?yàn)槟愕墓颈缓诳腿肭至耍麖?qiáng)調(diào)，在與攻擊者溝通時(shí)保持禮貌和尊重更有可能帶來(lái)更好的結(jié)果?！拔覀兛吹降囊患率?，當(dāng)受害者對(duì)對(duì)手生氣或沮喪時(shí)，談話就會(huì)中斷，那時(shí)候想要拿回你的文件就得祝你好運(yùn)了，”他說(shuō)，“所以要把這看作是一筆商業(yè)交易?！?nbsp;Hack 補(bǔ)充道。

要求更多的時(shí)間 —— Hack 警告說(shuō)，攻擊者會(huì)試圖迫使你做出快速?zèng)Q定，這更有可能給受害者帶來(lái)不良后果。然而，“幾乎在所有情況下，如果你還在談判，他們都愿意延長(zhǎng)時(shí)間?！?nbsp;這可以讓受害者有更多機(jī)會(huì)評(píng)估他們的選擇，例如，如果他們正在等待，看看是否可以獲得被盜數(shù)據(jù)的備份。

承諾現(xiàn)在支付少量或以后支付更多 —— Hack 再次強(qiáng)調(diào)，網(wǎng)絡(luò)攻擊者就像所有人一樣，“不擅長(zhǎng)延遲滿足感”。此外，對(duì)手可能希望盡快結(jié)束談判。因此，受害者在談判中應(yīng)嘗試?yán)眠@種心態(tài)。例如，如果他們決定除了支付別無(wú)選擇，受害者可以明確表示他們現(xiàn)在可以支付更低的價(jià)格，而更高的支付將會(huì)延遲。

說(shuō)服對(duì)手你無(wú)法達(dá)到贖金金額 —— Hack 舉了一個(gè)他在研究中分析的談判示例，其中受害者表示他們可以支付的最高金額為 500,000 美元（來(lái)自 1300 萬(wàn)美元的要求）。最后，這就是他們最終支付的所有費(fèi)用，這是一個(gè)低得多的成本。這種方法甚至適用于大公司，Hack 透露，一家財(cái)富 500 強(qiáng)公司收到了解密密鑰，盡管支付的金額遠(yuǎn)低于最初要求的金額。

不要告訴任何人你有網(wǎng)絡(luò)保險(xiǎn) —— “如果對(duì)手發(fā)現(xiàn)你有網(wǎng)絡(luò)保險(xiǎn)，你的談判就會(huì)變得更加困難?！盚ack 說(shuō)。他展示了來(lái)自攻擊者的通信內(nèi)容，他們表示他們知道受害者可以支付大量費(fèi)用，因?yàn)樗麄冇芯W(wǎng)絡(luò)保險(xiǎn)。由于這些信息通?？梢詮谋槐I文件中獲取，Hack 建議：“對(duì)你擁有網(wǎng)絡(luò)保險(xiǎn)的事實(shí)保密，讓文件遠(yuǎn)離你的網(wǎng)絡(luò)。你甚至可能想與你的保險(xiǎn)公司達(dá)成協(xié)議，讓他們也為此保密。”

最后，Hack 重申，公司在勒索軟件談判中將永遠(yuǎn)處于不利地位。盡管如此，仍然可以采取一些方法來(lái)減輕攻擊所帶來(lái)的損失。這取決于你在談判期間的目標(biāo)是什么，你是想在提供備份的同時(shí)拖延時(shí)間，還是已經(jīng)決定支付贖金，你可以選擇不同的策略。

Hack 補(bǔ)充道，為組織提供這些建議至關(guān)重要，因?yàn)榱钊诉z憾的是，“勒索軟件是不會(huì)消失的，因?yàn)樗且婚T非常有價(jià)值的生意”。

原文標(biāo)題：Ransomware: Payment Decisions Finely Balanced

作者：Stephen Pritchard

原文鏈接：https://www.infosecurity-magazine.com/news/ransomware-payment-decisions/