全面的安全計(jì)劃和程序必須聚焦防御，但也要回答以下關(guān)鍵問題：“企業(yè)將如何應(yīng)對(duì)勒索軟件攻擊?”以及“什么時(shí)候我們才會(huì)考慮支付贖金?”

要得出答案必須考慮哪些關(guān)鍵因素?

如果支付贖金，會(huì)牽涉哪些關(guān)鍵考慮因素

1. 變相資助網(wǎng)絡(luò)犯罪活動(dòng)

企業(yè)支付的贖金越多，網(wǎng)絡(luò)犯罪分子獲得的勒索軟件攻擊利潤就越多。此外，當(dāng)企業(yè)支付贖金時(shí)，這些信息可能會(huì)被公開，從而損害客戶的信心(因?yàn)槠髽I(yè)被視為在變相地資助網(wǎng)絡(luò)犯罪活動(dòng))。出于這個(gè)原因，付費(fèi)總是不明智的——即使有時(shí)是不可避免的。

2. 付款后很可能會(huì)遭遇二次攻擊

當(dāng)一個(gè)企業(yè)支付贖金時(shí)，這個(gè)消息會(huì)在網(wǎng)絡(luò)犯罪團(tuán)伙中傳播，這使得該企業(yè)更有可能再次受到攻擊。如果一家企業(yè)決定支付贖金，它應(yīng)該為未來更多的攻擊做好準(zhǔn)備。

3. 必須權(quán)衡哪種損失更嚴(yán)重

一些受到勒索軟件攻擊的企業(yè)完全沒有機(jī)會(huì)自行恢復(fù)數(shù)據(jù)或迅速重新上線。如果是這種情況，企業(yè)需要知道攻擊展開時(shí)的停機(jī)成本。在構(gòu)建安全程序時(shí)，企業(yè)必須了解每小時(shí)停機(jī)的成本，以及如果發(fā)生勒索軟件攻擊，他們將承受的損失(這可能與聲譽(yù)、合同義務(wù)、股價(jià)和員工生產(chǎn)力有關(guān))。如果贖金要求遠(yuǎn)遠(yuǎn)小于這些損失，支付贖金似乎是短期內(nèi)經(jīng)濟(jì)上最負(fù)責(zé)任的選擇。

4. 所有數(shù)據(jù)不太可能被全數(shù)歸還

現(xiàn)代勒索軟件團(tuán)伙并不依賴于某一種類型的勒索。除了鎖定你的數(shù)據(jù)和系統(tǒng)外，他們通常還會(huì)竊取信息，并要求你付錢，否則將把信息出售給其他人。當(dāng)攻擊者竊取敏感的客戶數(shù)據(jù)(如財(cái)務(wù)記錄或健康數(shù)據(jù))時(shí)，這種方法尤為有效。然而，支付贖金就是和犯罪分子做交易，所以如果攻擊者殘忍到以企業(yè)的數(shù)據(jù)為質(zhì)，你真的應(yīng)該相信他們會(huì)歸還數(shù)據(jù)而不使用數(shù)據(jù)嗎?

事實(shí)證明，即便支付贖金也很少有企業(yè)能夠恢復(fù)所有的數(shù)據(jù)，而且恢復(fù)過程仍需數(shù)月的時(shí)間。因此，付費(fèi)永遠(yuǎn)不應(yīng)被視為快速恢復(fù)在線狀態(tài)的保證。

如果不支付贖金，會(huì)牽涉哪些關(guān)鍵考慮因素

1. 不付錢在道德上是正確的

不支付贖金在道德上是正確的決定。在一些國家，支付贖金甚至是違法的。但僅僅因?yàn)檫@樣做是正確的，并不能說明它對(duì)企業(yè)來說就是最好的財(cái)務(wù)決策。

2. 無法自行恢復(fù)所有數(shù)據(jù)

雖然并不建議支付贖金，但攻擊造成的數(shù)據(jù)丟失可能是災(zāi)難性的。完整的數(shù)據(jù)恢復(fù)可能需要幾個(gè)月的時(shí)間，并且通常意味著需要從不同的來源提取數(shù)據(jù)來從頭進(jìn)行恢復(fù)。

雖然大多數(shù)企業(yè)都會(huì)運(yùn)行定期備份，但通常會(huì)有一段時(shí)間的數(shù)據(jù)沒有得到及時(shí)備份——這取決于業(yè)務(wù)的規(guī)模和重點(diǎn)——數(shù)據(jù)丟失可能是可控的，也可能是不可修復(fù)的。無論哪種方式，不支付贖金可能會(huì)導(dǎo)致更長(zhǎng)的恢復(fù)時(shí)間，而漫長(zhǎng)的恢復(fù)過程可能會(huì)導(dǎo)致IT團(tuán)隊(duì)精疲力竭。

3. 最糟的情況會(huì)導(dǎo)致破產(chǎn)

在最嚴(yán)重的情況下，勒索軟件最終會(huì)扼殺企業(yè)。如果他們選擇忽視需求，可能會(huì)導(dǎo)致無法彌補(bǔ)的損失，從而使企業(yè)停止運(yùn)營。因此，在決定不支付贖金之前，必須考慮攻擊的全部影響。

解決方案

公平地說，當(dāng)涉及到勒索軟件攻擊時(shí)，企業(yè)處于劣勢(shì)，處于被動(dòng)挨打的局面。無論何時(shí)何地，他們都將任由網(wǎng)絡(luò)犯罪分子擺布。

因此，最好的做法是采取“雙管齊下”的策略來應(yīng)對(duì)攻擊：保護(hù)和恢復(fù)。

保護(hù)資產(chǎn)和阻止攻擊者破壞網(wǎng)絡(luò)的防御手段是必不可少的。這包括：

• 讓員工了解勒索軟件，了解它是如何進(jìn)入系統(tǒng)的，以及用戶賬戶是如何被攻擊的;
• 運(yùn)行定期的補(bǔ)丁管理流程，并輔以積極主動(dòng)的紅隊(duì)測(cè)試;
• 計(jì)劃定期備份，并定期測(cè)試備份和數(shù)據(jù)恢復(fù)過程;
• 實(shí)現(xiàn)跨網(wǎng)絡(luò)和系統(tǒng)的分段，以阻止橫向移動(dòng)。

除此之外，當(dāng)企業(yè)在構(gòu)建安全程序時(shí)，他們必須關(guān)注如何最好地響應(yīng)攻擊，以最大限度地減少中斷。這意味著他們必須能夠了解事件的規(guī)模，以便他們能夠快速進(jìn)行取證。這有助于了解他們是否能夠在攻擊中幸存下來，或者支付贖金是否更可取。

安全程序的總體重點(diǎn)必須是彈性和靈活性：讓攻擊者更難以破壞你的系統(tǒng)，也讓你能夠更快地響應(yīng)攻擊，這樣你就可以確切地知道應(yīng)該采取哪些行動(dòng)，而不必浪費(fèi)時(shí)間考慮“支付或不支付”的問題。