近年來，越來越多的企業(yè)選擇支付贖金，背后有許多驅(qū)動因素，然而，正如多位CISO所表達(dá)的那樣，這一決定背后仍然存在道德上的顧慮，同時他們也提到自己在最終的勒索軟件應(yīng)對決策中影響有限。

在Proofpoint發(fā)布的《2024年CISO聲音報告》中，勒索軟件仍然是全球CISO們最為關(guān)注的問題之一。

更令人驚訝的是，CISO們對特定事件的應(yīng)對方式表述：62%的人表示，他們的企業(yè)可能會支付贖金以恢復(fù)系統(tǒng)訪問權(quán)限。

在預(yù)期采取這一行動的國家中，排在前三位的是沙特阿拉伯(83%)、加拿大(82%)和韓國(79%)。

這些數(shù)據(jù)可能令人震驚。企業(yè)通常對其他威脅行為者采取強(qiáng)硬態(tài)度，包括心懷不滿的員工、企業(yè)間諜、黑客活動主義者和網(wǎng)絡(luò)恐怖分子。

那么，為什么這么多企業(yè)愿意與勒索軟件運(yùn)營者談判、采購并發(fā)送加密貨幣到指定地址，同時希望對方能夠信守承諾呢?

我們與幾位CISO探討了在做出這一關(guān)鍵決策時涉及的因素，以及CISO在決定最終方案時所擁有的影響力。

計算遭受勒索軟件攻擊的直接和間接成本

澳大利亞托管服務(wù)提供商Enablis的CISO Leonard Kleinman表示，企業(yè)通常會基于成本收益分析來做出合作的決定。

“如果我們從非?；A(chǔ)的經(jīng)濟(jì)學(xué)角度來看，這只是一個成本與收益的方程式，”他說，“簡單的分析告訴你應(yīng)該將企業(yè)的年度收入價值——無論是什么情況——與遭受勒索軟件攻擊的成本進(jìn)行比較?！?/p>

他提到了2021年5月的Colonial Pipeline事件并將其作為例子，這家美國燃料運(yùn)輸公司支付了相當(dāng)于440萬美元的比特幣贖金，考慮到公司前一年收入達(dá)13億美元，這只是一小部分，持續(xù)的運(yùn)營中斷將使公司損失更多。

新加坡零售商N(yùn)TUC的CISO Derek Gooh提到2021年瑞士Kaseya的勒索軟件攻擊，指出不僅有直接的業(yè)務(wù)損失，還有恢復(fù)的機(jī)會成本?！叭绻阆胂笠幌拢匦禄謴?fù)所有這些東西，從頭開始重建機(jī)器——這需要時間?！彼f。

從這個角度來看，支付贖金是一個誘人的選擇?！暗侨绻阌谢謴?fù)密鑰，如果你有解密密鑰，這可能只需3分鐘的時間，”Gooh說，“你知道惡意軟件還在里面，但至少有了密鑰，你可以快速恢復(fù)，不需要關(guān)店。”

澳大利亞托管服務(wù)提供商MercuryIT的CISO Chris Haigh表示，關(guān)鍵行業(yè)可能有額外的動力來避免停機(jī)。

“想想醫(yī)療服務(wù)：大型醫(yī)院服務(wù)于一個城市或單一城鎮(zhèn)中心的地區(qū)——它成為了一項關(guān)鍵服務(wù)，所以這可能是他們決定冒險支付贖金的原因之一，因為他們無法承受所有這些服務(wù)下線的代價?！彼f。

Ken Newton，美國一家風(fēng)險調(diào)整解決方案提供商secondwave的CISO表示，當(dāng)公司與網(wǎng)絡(luò)保險公司打交道時，他們希望盡快減少損失。

“他們通常會允許支付贖金，盡管他們知道‘賊中無義’，但支付贖金后能讓組織迅速恢復(fù)運(yùn)營的案例有歷史依據(jù)。”他說。

Enablis的Kleinman解釋說，企業(yè)還必須考慮法律和監(jiān)管責(zé)任——這些風(fēng)險可能與任何財務(wù)后果交織在一起，尤其是對于大型公司。他舉了一個例子：一個勒索軟件運(yùn)營者加密了一家公司的數(shù)據(jù)，并將此消息透露給公司上市的股票交易所?！啊?，順便說一下，你知道那邊的Acme XYZ公司被加密了嗎?’”他說。

Kleinman解釋說，這是一個監(jiān)管風(fēng)險，因為上市公司必須進(jìn)行持續(xù)披露，這對其股價有重要影響。如果勒索軟件組織將消息傳達(dá)給股票交易所，公司可能違反這一政策，從而面臨進(jìn)一步的監(jiān)管審查和懲罰。

支付贖金的道德問題

如果支付贖金僅涉及成本收益分析，那么企業(yè)可能會100%服從勒索要求，然而，支付贖金的道德問題更加復(fù)雜，這為企業(yè)帶來了額外的考慮因素。

secondwave的Newton表示，他的立場是不向勒索軟件運(yùn)營者支付贖金?！拔铱紤]的是這些錢最終流向哪里。我考慮的是它資助了什么。”他說。

盡管所有的勒索軟件運(yùn)營者都是犯罪分子，但他們的最終目標(biāo)各不相同。

MercuryIT的Haigh指出，一些勒索軟件運(yùn)營者甚至可能是被美國財政部等機(jī)構(gòu)制裁的實體。

“我們已經(jīng)看到，例如在英國、美國，甚至某種程度上在澳大利亞，政府已經(jīng)明確表示，‘你需要意識到，如果你支付贖金而這筆錢流向了一個被制裁的實體，你可能會面臨非常嚴(yán)重的法律訴訟懲罰?！彼f。

Kleinman補(bǔ)充說，大多數(shù)企業(yè)希望避免與這些犯罪組織打交道，因為如果他們這么做，可能會對外界造成負(fù)面印象?！八麄兺ǔＯＭ軌蚋嬖V別人——無論是行業(yè)內(nèi)的同行還是跨行業(yè)的其他公司——他們從道德和倫理的角度做了正確的事情?！彼f。

此外，Kleinman和其他人認(rèn)為，屈服于勒索要求會助長更多的惡意行為。

“不要支付贖金，因為這只會激勵他們，”他說，“不要支付贖金，因為這實際上是在獎勵和資助下一次攻擊?！?/p>

Gooh提到了2024年4月新加坡一家律師事務(wù)所支付了180萬新元贖金的例子，這導(dǎo)致當(dāng)?shù)卣还膭钪Ц囤H金。

“這很容易理解，對吧?我的意思是，如果新加坡的公司被認(rèn)為在支付贖金方面有軟肋，那么我們會受到更多的攻擊，這可以說是一個惡性循環(huán)?！盙ooh說。

然而，Kleinman迅速指出，組織在決定是否遵守當(dāng)局建議時，并不是陷入一個非此即彼的困境，大多數(shù)當(dāng)局確實不鼓勵向勒索軟件運(yùn)營者支付贖金。

“如今，人們普遍理解，如果適當(dāng)?shù)嘏c當(dāng)局合作，他們可以幫助組織至少減輕一些挑戰(zhàn)，比如損失和其他問題?！彼f，“他們可能仍然會支付贖金，但這并不一定意味著只能選擇其中之一?！?/p>

Haigh認(rèn)為，公司絕不應(yīng)該向勒索軟件運(yùn)營者支付贖金——而且政府應(yīng)該考慮將這種行為定為非法。

“如果公司停止支付，短期內(nèi)將會很痛苦。不幸的是，一些企業(yè)可能會倒閉……這是一個可怕的局面，”他說，“但這是唯一能夠真正停止這種情況的方式。如果沒有人支付贖金，那么為什么還要進(jìn)行勒索軟件攻擊呢?實際上根本沒有理由去做了?！?/p>

CISO是關(guān)鍵影響者

由于CISO的任務(wù)是確保組織的安全，人們可能會認(rèn)為這位領(lǐng)導(dǎo)者在勒索軟件攻擊中是否支付贖金上擁有最終決定權(quán)。

“有趣的是：CISO并沒有決定權(quán)，”Kleinman說道，他從同行那里了解到CISO在勒索軟件攻擊中的角色。

“我實際上是在與其他CISO討論時學(xué)到的。我回答說，‘我不會支付?！缓?，我非常尊敬的兩位同行，一位是CISO，另一位是安全主管，他們都說，‘這不是我的決定?！盞leinman說。

盡管CISO可能不是決策者，但他們?nèi)匀皇菍EO或董事會具有重要影響力的人。在這個角色中，Kleinman表示，他會基于對生產(chǎn)、法律和監(jiān)管責(zé)任以及收入損失的風(fēng)險來建議不支付贖金。“我會討論這四個風(fēng)險，并盡量將它們與聲譽(yù)風(fēng)險聯(lián)系起來?！彼f。

Kleinman承認(rèn)，他在這方面面臨一場艱難的戰(zhàn)斗。盡管遵守勒索軟件運(yùn)營者的要求曾經(jīng)會帶來負(fù)面的公眾形象，但他認(rèn)為這種情況不再如此。他表示，網(wǎng)絡(luò)保險公司已經(jīng)使贖金支付常態(tài)化。

“我認(rèn)為，因為聯(lián)邦機(jī)構(gòu)甚至?xí)峁椭_實有一些公司專門從事贖金談判。這是他們唯一的任務(wù)，這就是為什么現(xiàn)在支付贖金帶來的聲譽(yù)損害不再像過去那么嚴(yán)重?！彼a(bǔ)充道。

盡管如此，贖金支付的公開性可能會對此產(chǎn)生挑戰(zhàn)。

另一個挑戰(zhàn)是，CISO可能會在公司高管層中面臨直接的反對意見。Haigh提到了2020年Toll Group的勒索軟件攻擊事件。

“他們遇到的最大問題是無法支付員工工資，幾乎是每周或每兩周一次。如果你不支付司機(jī)的工資，業(yè)務(wù)就會停擺，對吧?”Haigh說?！皦毫ψ畲蟮娜耸荂FO。他看到了公司陷入破產(chǎn)的可能性……我記得他們好像只能撐一個月?！?/p>

當(dāng)一個組織面臨破產(chǎn)風(fēng)險時，大多數(shù)高管層成員都會傾向于支付贖金，以便能夠繼續(xù)運(yùn)營。

“因為現(xiàn)在你談?wù)摰氖菍径员举|(zhì)上的生存威脅，而確保這種情況不發(fā)生是CEO、CFO和董事會的責(zé)任，所以這幾乎形成了一種對立的局面。為了更大的利益，你不應(yīng)該支付贖金，但從保持公司生存的直接角度來看，你應(yīng)該支付，這是一個艱難的抉擇。”他說。

利用第三方專家爭取時間

為了做出最佳決策，企業(yè)應(yīng)檢查其數(shù)據(jù)是否可以從備份中恢復(fù)，以及網(wǎng)絡(luò)保險是否涵蓋在業(yè)務(wù)長期中斷情況下的運(yùn)營費用，這兩點都可以為企業(yè)提供避免支付贖金的籌碼。

隨著勒索軟件變得“更快、更聰明、更惡毒”，一些勒索軟件運(yùn)營者越來越多地威脅泄露數(shù)據(jù)，這可能促使企業(yè)采取額外的行動?！澳阈枰褂玫谌絹硭褜ぐ稻W(wǎng)，找到數(shù)據(jù)，并能夠要么取回它，要么將其刪除。在這種情況下，這是你能做到的最好的應(yīng)對措施?！彼f。

這就是現(xiàn)代勒索軟件的貓捉老鼠游戲。勒索軟件運(yùn)營者不斷創(chuàng)新新的技術(shù)，以進(jìn)一步加大對高管層和董事會支付贖金的壓力。Kleinman表示，一些勒索軟件運(yùn)營者正瞄準(zhǔn)那些可能對公司核心更有影響的信息。

“勒索軟件運(yùn)營者非常有創(chuàng)意。他們開始對許多高管、董事會高級成員進(jìn)行網(wǎng)絡(luò)暴力(doxing)，這意味著他們會公開個人敏感數(shù)據(jù)——比如董事長或其他類似的高管，甚至他們的家人——以進(jìn)一步激勵支付贖金。”他說。

Kleinman指出，這一趨勢與非加密勒索軟件的興起是一致的，這種威脅圍繞數(shù)據(jù)泄露展開。

假設(shè)一家公司決定屈服于壓力。在這種情況下，Gooh建議，他們應(yīng)該考慮引入第三方專家與勒索軟件運(yùn)營者交涉，更重要的是，為尋找解密密鑰(一些勒索軟件變種的解密密鑰是可用的)、與當(dāng)局協(xié)調(diào)以及談判更低的贖金爭取時間。

Gooh表示，每家企業(yè)的事件響應(yīng)計劃都應(yīng)包括這種專業(yè)幫助。“知道該做什么以及知道在這種情況下可以聯(lián)系誰，肯定是公司需要為此做好準(zhǔn)備的事情之一?！彼f。

Newton表示，最終是否支付贖金的決定不由他作為CISO來承擔(dān)，這讓他感到松了一口氣，但他仍然會強(qiáng)烈主張不支付贖金。

“如果有人問我是否會支付贖金，我會談到其倫理問題?！彼f，“而且有時候，遵循倫理是痛苦的，遵循道德是痛苦的。”