監(jiān)管難題進(jìn)一步復(fù)雜了棘手的勒索軟件談判過(guò)程，同時(shí)愈加不可信的攻擊者手法帶來(lái)了新的威脅，使得受害企業(yè)面臨艱難的選擇和道德困境。

當(dāng)一個(gè)組織突然無(wú)法訪問(wèn)自身系統(tǒng)或敏感數(shù)據(jù)被盜時(shí)，這不僅是喪失訪問(wèn)權(quán)限的問(wèn)題——而是對(duì)整個(gè)運(yùn)營(yíng)的生存威脅。

應(yīng)對(duì)勒索軟件攻擊需要跨部門(mén)的應(yīng)急響應(yīng)團(tuán)隊(duì)，包括法律顧問(wèn)、網(wǎng)絡(luò)安全專家和組織領(lǐng)導(dǎo)層。

技術(shù)團(tuán)隊(duì)在勒索軟件攻擊中的職責(zé)包括保護(hù)未受影響的系統(tǒng)、識(shí)別勒索軟件類型，并在可能的情況下從備份中開(kāi)始數(shù)據(jù)恢復(fù)過(guò)程。

同時(shí)，法律團(tuán)隊(duì)評(píng)估與攻擊者接觸的法律影響，考慮短期和長(zhǎng)期的法律后果，并協(xié)調(diào)與執(zhí)法機(jī)構(gòu)、監(jiān)管部門(mén)及網(wǎng)絡(luò)保險(xiǎn)公司的溝通。

“當(dāng)勒索軟件攻擊發(fā)生時(shí)，初步反應(yīng)至關(guān)重要，”P(pán)entest People的事件響應(yīng)負(fù)責(zé)人Ian Nicholson對(duì)記者表示，“法律和技術(shù)團(tuán)隊(duì)必須評(píng)估損害，識(shí)別勒索軟件的類型、數(shù)據(jù)泄露的范圍以及對(duì)組織運(yùn)營(yíng)的潛在影響?！?/p>

跨部門(mén)響應(yīng)團(tuán)隊(duì)的一個(gè)關(guān)鍵角色在于回答這個(gè)重要問(wèn)題：是否應(yīng)該支付攻擊者的贖金要求，如果支付，談判應(yīng)如何進(jìn)行?

是否支付贖金長(zhǎng)期以來(lái)都是一個(gè)倫理問(wèn)題，因?yàn)橹Ц囤H金助長(zhǎng)了攻擊循環(huán)，但與此同時(shí)，恢復(fù)運(yùn)營(yíng)的緊迫性也需要考慮，即便這意味著向犯罪分子支付高昂的勒索費(fèi)用。

記者采訪了幾位行業(yè)專家，他們敦促受害者不要與愈發(fā)不可信的攻擊者接觸，更不要滿足其勒索要求，但也有一些事件響應(yīng)人員認(rèn)為，與網(wǎng)絡(luò)犯罪分子交談至少有一定的價(jià)值。以下是他們對(duì)勒索軟件談判的建議匯總，作為應(yīng)對(duì)勒索軟件攻擊時(shí)的道德困境和關(guān)鍵響應(yīng)實(shí)踐。

勒索軟件談判指南

在與威脅者交涉時(shí)，通常由外部公司(如事件響應(yīng)公司)的專業(yè)談判人員負(fù)責(zé)與攻擊者溝通。他們的主要目標(biāo)是收集情報(bào)、了解攻擊者的需求并協(xié)商條件。

專業(yè)談判人員往往能比企業(yè)自行談判取得更好的結(jié)果，因?yàn)樗麄冊(cè)趹?yīng)對(duì)勒索軟件團(tuán)伙方面更有經(jīng)驗(yàn)。

“參與談判可能有多個(gè)好處，”P(pán)entest People的Nicholson指出，“首先，這為企業(yè)爭(zhēng)取時(shí)間來(lái)實(shí)施其他恢復(fù)措施或收集更多關(guān)于攻擊者的信息，其次，這提供了關(guān)于攻擊者方法、意圖以及其獲取的數(shù)據(jù)的重要情報(bào)?！?/p>

在勒索軟件談判期間爭(zhēng)取到的時(shí)間，讓網(wǎng)絡(luò)安全專家有更多的空間來(lái)識(shí)別漏洞、阻止攻擊擴(kuò)散并評(píng)估備份選項(xiàng)，同時(shí)也提供了一個(gè)收集攻擊者方法和意圖情報(bào)的機(jī)會(huì)。

交涉通常是在匿名的掩護(hù)下進(jìn)行——通常會(huì)創(chuàng)建一個(gè)公司員工的假身份，并通過(guò)攻擊者指定的加密渠道進(jìn)行溝通。

“有時(shí)，在這些交流過(guò)程中，攻擊者無(wú)意中透露的信息可以幫助安全團(tuán)隊(duì)了解數(shù)據(jù)泄露的范圍或訪問(wèn)的數(shù)據(jù)類型，”庭審律師Ramzy Ladah告訴記者，“這對(duì)管理當(dāng)前危機(jī)和未來(lái)的防范都非常寶貴。”

經(jīng)驗(yàn)豐富的談判人員能夠降低贖金要求，并在達(dá)成協(xié)議前驗(yàn)證解密密鑰的有效性。

事件響應(yīng)公司GuidePoint Security追蹤了約70個(gè)勒索軟件團(tuán)伙，其中大多數(shù)來(lái)自東歐，但也有來(lái)自伊朗、朝鮮和中國(guó)的團(tuán)伙。GuidePoint Security的Mark Lance表示，有些團(tuán)伙愿意接受原始要求的50%作為結(jié)算金額，而其他團(tuán)伙較為固執(zhí)，只提供最多20%的折扣。

Lance指出，威脅者需要維持其信譽(yù)，確保受害者支付贖金后兌現(xiàn)承諾——即便在團(tuán)伙頻繁關(guān)閉并重組的環(huán)境中，這一要求依然很重要。

數(shù)據(jù)泄露威脅

勒索軟件談判的另一個(gè)方面是應(yīng)對(duì)數(shù)據(jù)泄露的威脅。攻擊者常常以此為籌碼，威脅如果要求不被滿足將公開(kāi)或出售敏感信息。

許多勒索軟件團(tuán)伙現(xiàn)在采用“雙重勒索”手法，威脅如果不滿足其要求就泄露被盜數(shù)據(jù)。Nicholson指出：“這給受害者帶來(lái)了巨大的壓力，迫使其屈服于攻擊者的要求?！?/p>

Pentest People注意到更多攻擊者轉(zhuǎn)向純粹竊取數(shù)據(jù)進(jìn)行勒索，而不是部署勒索軟件。

Ladah律師表示：“企業(yè)必須考慮到私人數(shù)據(jù)泄露的潛在后果?！边@可能意味著違反合規(guī)要求、損害聲譽(yù)，以及對(duì)第三方(其數(shù)據(jù)可能已被泄露)的責(zé)任。

最近，一些數(shù)據(jù)泄露威脅變得更加個(gè)人化。

Tenable的EMEA技術(shù)總監(jiān)和安全戰(zhàn)略家Bernard Montel告訴記者：“黑客不僅竊取公司數(shù)據(jù)，還針對(duì)VIP個(gè)體，竊取特定信息，如郵件、個(gè)人數(shù)據(jù)和財(cái)務(wù)信息等，試圖對(duì)他們個(gè)人及公司施加壓力。”

Montel指出，這種通過(guò)增加個(gè)人壓力的談判策略在越來(lái)越多的勒索軟件攻擊中出現(xiàn)，攻擊者還采用數(shù)據(jù)擦除而非加密的方式來(lái)增加威脅。

制裁風(fēng)險(xiǎn)

在整個(gè)談判過(guò)程中，法律團(tuán)隊(duì)確保所有行動(dòng)符合法律和相關(guān)規(guī)定，特別是當(dāng)攻擊者與受制裁的實(shí)體相關(guān)聯(lián)時(shí)。

最近，政府對(duì)支付贖金的審查越來(lái)越嚴(yán)格，尤其是在攻擊者與受制裁實(shí)體有聯(lián)系的情況下。

例如，美國(guó)財(cái)政部外國(guó)資產(chǎn)控制辦公室(OFAC)已發(fā)布警告，指出向受制裁的個(gè)人或團(tuán)體支付贖金可能導(dǎo)致嚴(yán)重的法律后果，包括巨額罰款和潛在的刑事指控。

據(jù)記者采訪的行業(yè)專家表示，目前尚未有此類指控發(fā)生，但風(fēng)險(xiǎn)確實(shí)存在。

Ladah指出：“如果受害企業(yè)最終與政府機(jī)構(gòu)標(biāo)記的團(tuán)體進(jìn)行談判，就可能面臨罰款和法律行動(dòng)的風(fēng)險(xiǎn)。在這種情況下，企業(yè)的法律團(tuán)隊(duì)必須立即與執(zhí)法部門(mén)聯(lián)系?！?/p>

Ladah補(bǔ)充道：“這樣做有時(shí)可以提供一定程度的法律保護(hù)，或者至少能形成文件記錄，表明企業(yè)是在善意和法律建議下行事，這并非免除責(zé)任的保證，但可以在一定程度上減少法律風(fēng)險(xiǎn)?！?/p>

澳大利亞的《網(wǎng)絡(luò)安全(勒索軟件支付)條例2023》要求贖金支付在72小時(shí)內(nèi)報(bào)告給當(dāng)局。歐洲也可能會(huì)出臺(tái)類似規(guī)定，越來(lái)越多的歐洲當(dāng)局對(duì)支付贖金持負(fù)面態(tài)度。

國(guó)際律師事務(wù)所Hunton Andrews Kurth的合伙人Sarah Pearce警告道：“一般而言，英國(guó)和歐盟的執(zhí)法部門(mén)不鼓勵(lì)支付贖金，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)的網(wǎng)站上就列出了主要風(fēng)險(xiǎn)。”

英國(guó)NCSC警告稱，支付解密密鑰“很難立即恢復(fù)正常業(yè)務(wù)，尤其是對(duì)于大型組織而言”。

英國(guó)政府的網(wǎng)絡(luò)保障機(jī)構(gòu)補(bǔ)充道：“在復(fù)雜的網(wǎng)絡(luò)上運(yùn)行解密密鑰需要時(shí)間。如果受害組織有備份和解密器，使用備份可能會(huì)更快?！?/p>

Pearce指出，英國(guó)新政府提議的《網(wǎng)絡(luò)安全和韌性法案》據(jù)說(shuō)包含強(qiáng)制性事件報(bào)告規(guī)定，以便政府更好地掌握網(wǎng)絡(luò)攻擊的數(shù)據(jù)，包括公司遭到勒索的情況。

歐洲已經(jīng)對(duì)勒索軟件事件引入了強(qiáng)制報(bào)告義務(wù)，至少在大型組織或關(guān)鍵服務(wù)提供商的情況下。例如，歐盟的《網(wǎng)絡(luò)與信息安全指令》(現(xiàn)為NIS2)要求及時(shí)向監(jiān)管機(jī)構(gòu)報(bào)告網(wǎng)絡(luò)事件，包括勒索軟件攻擊。

勒索軟件談判形勢(shì)的演變

Fox-IT(隸屬于NCC Group)的威脅分析師在2021年黑帽歐洲大會(huì)上展示了勒索軟件談判的實(shí)際運(yùn)作方式。

全球網(wǎng)絡(luò)安全公司NCC Group的數(shù)字取證與事件響應(yīng)全球負(fù)責(zé)人Alejandro Rivas-Vásquez告訴記者，自那次展示以來(lái)，勒索軟件談判策略在這三年中發(fā)生了重大變化，對(duì)受害企業(yè)不利。

Rivas-Vásquez表示：“自2021年以來(lái)，勒索軟件談判發(fā)生了顯著變化。全球?qū)ο拗期H金支付和增加網(wǎng)絡(luò)事件報(bào)告的努力，限制了受害企業(yè)的談判權(quán)力。”

“雙重勒索(加密和數(shù)據(jù)泄漏威脅)”和“三重勒索(包括潛在的DDoS攻擊)”策略的興起使談判過(guò)程更加復(fù)雜。

攻擊者不僅加密數(shù)據(jù)，還威脅泄露敏感信息或向第三方施壓，迫使企業(yè)在聲譽(yù)風(fēng)險(xiǎn)和運(yùn)營(yíng)中斷之間權(quán)衡利弊。

Rivas-Vásquez告訴記者：“談判中的信任正在流失。針對(duì)主要勒索軟件即服務(wù)(RaaS)操作的執(zhí)法行動(dòng)揭示了，許多攻擊者在收取贖金后并未刪除被盜數(shù)據(jù)。”

許多國(guó)家正推動(dòng)國(guó)際合作和情報(bào)共享，并對(duì)第三方加密貨幣支付代理進(jìn)行嚴(yán)格審查。

“隨著政府對(duì)支付的打擊力度加大，對(duì)攻擊者承諾的不信任感上升，以及企業(yè)響應(yīng)能力的增強(qiáng)，支付贖金對(duì)許多企業(yè)來(lái)說(shuō)已成為一種風(fēng)險(xiǎn)更大、可行性更低的選擇?！盧ivas-Vásquez總結(jié)道。

簡(jiǎn)單而言：支付贖金可能會(huì)鼓勵(lì)進(jìn)一步的攻擊，并且無(wú)法保證數(shù)據(jù)恢復(fù)。

像No-More-Ransom這樣的網(wǎng)站為遭受勒索軟件攻擊的企業(yè)提供了幫助，但在事前進(jìn)行預(yù)防和加固系統(tǒng)及流程總是優(yōu)于應(yīng)對(duì)潛在入侵帶來(lái)的高度風(fēng)險(xiǎn)。

Pentest People的Nicholson表示：“事件響應(yīng)和準(zhǔn)備工作在從勒索軟件攻擊等事件中恢復(fù)方面起到了關(guān)鍵作用。通過(guò)詳細(xì)制定并測(cè)試響應(yīng)措施，企業(yè)可以更好地理解自身的薄弱點(diǎn)并填補(bǔ)安全漏洞，以降低風(fēng)險(xiǎn)?！?/p>