我們應(yīng)該談判嗎?我們應(yīng)該支付贖金嗎?當(dāng)網(wǎng)絡(luò)犯罪分子鎖定了企業(yè)的數(shù)據(jù)時，這些都是每個企業(yè)所面臨的問題。一旦攻擊者加密了你的系統(tǒng)，重點就會從預(yù)防轉(zhuǎn)向應(yīng)對，這時不再追究它是如何發(fā)生的，而是要考慮你接下來愿意做什么。

勒索軟件團伙正變得更有組織和攻擊性，其中許多團伙現(xiàn)在像企業(yè)一樣運營。他們有客戶服務(wù)、支付門戶和談判劇本。沒有任何組織能夠幸免，醫(yī)院、學(xué)校、關(guān)鍵基礎(chǔ)設(shè)施和全球公司都遭受過攻擊。

Zscaler的一份報告顯示，向“暗黑天使”(Dark Angels)團伙支付的高達7500萬美元的贖金，可能鼓勵了其他勒索軟件運營商尋求更高的贖金。

但好在有一個積極的趨勢，根據(jù)Chainalysis的最新報告，越來越多的受害者拒絕支付贖金。

這一轉(zhuǎn)變可能部分歸因于最近全球執(zhí)法部門的行動，這些行動對勒索軟件團伙造成了重大打擊，這包括拆解LockBit的基礎(chǔ)設(shè)施、起訴“冥界”(Phobos)勒索軟件的管理員、瓦解Radar/Dispossessor團伙，以及關(guān)閉ALPHV/BlackCat的泄露網(wǎng)站。

這是一場犯罪分子與執(zhí)法部門之間不斷上演的貓捉老鼠的游戲。

為什么公司會選擇參與勒索軟件的談判?

這個問題沒有簡單的答案，政府和執(zhí)法部門通常建議不要支付贖金，他們認(rèn)為這樣做不僅強化了網(wǎng)絡(luò)犯罪的循環(huán)，還為有組織犯罪提供了資金，甚至可能支持國家贊助的網(wǎng)絡(luò)行動。

但另一些人認(rèn)為，首要責(zé)任是保護組織和其利益相關(guān)者。在那一刻，這更多關(guān)乎生存，而非道德。

對許多人來說，支付贖金似乎是恢復(fù)在線狀態(tài)的最快方式，系統(tǒng)停機的時間越長，成本就越高。

在某些情況下，支付贖金可能是唯一的選擇。如果備份數(shù)據(jù)被破壞或無法使用，公司可能別無選擇，只能通過談判來重新獲得數(shù)據(jù)的訪問權(quán)限。

醫(yī)院又該如何?如果它們無法訪問患者記錄，或者公用事業(yè)單位無法恢復(fù)供電，生命將危在旦夕。在這些情況下，幾乎沒有妥協(xié)的余地，然而，正如Change Healthcare數(shù)據(jù)泄露案所示，支付贖金并不能保證關(guān)鍵數(shù)據(jù)的恢復(fù)。

2021年5月，美國主要燃料供應(yīng)商Colonial Pipeline遭到DarkSide勒索軟件團伙的攻擊。為了恢復(fù)運營并最大限度地減少燃料供應(yīng)中斷，該公司支付了500萬美元的贖金，司法部通過協(xié)調(diào)調(diào)查行動成功追回了230萬美元的贖金。

Tanium的首席安全顧問蒂姆·莫里斯(Tim Morris)說：“如果這只是一個法律和道德考量，從原則上講，你不應(yīng)該支付贖金，執(zhí)法部門也會同意這種做法，但話說回來，有時支付勒索軟件贖金關(guān)乎商業(yè)決策，而非道德問題，講道德可能會付出比支付勒索軟件贖金更高的代價。”

專業(yè)人員如何處理這一過程

當(dāng)公司決定進行談判時，專業(yè)人員會介入以管理這種情況。事件響應(yīng)團隊通常會帶頭，與法律、信息技術(shù)和通信團隊一起控制局面。

通常會引進第三方談判人員。他們是知道如何與攻擊者談判的專家，而不會輕易讓步。他們讓談判保持專業(yè)水準(zhǔn)，并試圖降低贖金要求，同時不增加數(shù)據(jù)丟失的風(fēng)險。

“一個第三方高度專業(yè)的事件響應(yīng)團隊可以為企業(yè)提供一站式服務(wù)的各種專業(yè)知識，而這些可能是傳統(tǒng)內(nèi)部安全團隊所缺乏的，”Sygnia英國和北歐地區(qū)董事阿澤姆·阿利姆(Azeem Aleem)說。

攻擊者通常會遵循一個劇本。一些攻擊者一開始表現(xiàn)得很兇悍，然后在談判開始后轉(zhuǎn)而表現(xiàn)得樂于助人。他們利用壓力和恐懼來快速獲得贖金。他們可能會威脅泄露數(shù)據(jù)、提高贖金或設(shè)定虛假的最后期限。優(yōu)秀的談判人員知道不要驚慌。

拖延是一種常見的策略，因為時間對你有利。延長對話時間為團隊提供了恢復(fù)備份、評估法律風(fēng)險或聯(lián)系執(zhí)法部門的時間。

第一次的勒索要求絕不是最終要求。熟練的談判人員會提出更低的金額，要求折扣，或要求更多時間，而不會激怒攻擊者。

在支付任何贖金之前，談判人員會要求攻擊者解鎖一個樣本文件。如果攻擊者做不到這一點，整個談判可能會破裂。

在勒索軟件攻擊中涉及執(zhí)法部門是一個關(guān)鍵步驟，但時機至關(guān)重要。當(dāng)局越早得到通知，他們就越有可能調(diào)查這次攻擊、識別罪犯并防止未來的攻擊。執(zhí)法部門通常不與攻擊者談判，但他們可以幫助指導(dǎo)公司完成整個過程。

公司還應(yīng)檢查其網(wǎng)絡(luò)保險政策是否要求通知執(zhí)法部門。許多保險政策將這一點作為索賠流程的一部分。

構(gòu)建勒索軟件攻擊響應(yīng)計劃

準(zhǔn)備

組織需要一個勒索軟件應(yīng)急預(yù)案。該計劃應(yīng)列出處理攻擊的步驟，包括如何決定談判。一個預(yù)定義的框架有助于團隊在危機期間快速而自信地行動。

桌面演練

模擬勒索軟件攻擊或桌面演練，可以讓團隊為真實事件做好準(zhǔn)備。這些模擬演習(xí)有助于識別薄弱環(huán)節(jié)并改善決策，它們還讓關(guān)鍵人員有機會練習(xí)處理高壓情況。

“企業(yè)應(yīng)確保其事件響應(yīng)計劃解決數(shù)據(jù)盜竊帶來的獨特挑戰(zhàn)。這包括為潛在的雙重勒索場景做好準(zhǔn)備，并做好管理與客戶和其他利益相關(guān)者之間后果的準(zhǔn)備，”WithSecure的威脅情報和宣傳主管蒂姆·韋斯特(Tim West)指出。

當(dāng)勒索談判失敗時

以下步驟概述了組織在勒索軟件攻擊中可以采取的應(yīng)對措施，以最大限度地減少其影響：

評估情況：確定哪些系統(tǒng)受到影響，以及是否有可用的備份。

尋求專家協(xié)助：讓網(wǎng)絡(luò)安全專業(yè)人員分析此次泄露并協(xié)助恢復(fù)工作。

隔離系統(tǒng)：將受損設(shè)備從網(wǎng)絡(luò)中斷開，以防止攻擊進一步蔓延。

通知當(dāng)局：按要求向執(zhí)法部門和相關(guān)監(jiān)管機構(gòu)報告此次事件。

透明溝通：向利益相關(guān)者通報此次泄露以及正在采取的應(yīng)對措施。

恢復(fù)數(shù)據(jù)：利用干凈的備份來恢復(fù)系統(tǒng)和數(shù)據(jù)，確保清除所有惡意軟件。

加強防御：更新安全措施，修補漏洞，并培訓(xùn)員工，以防止未來發(fā)生類似事件。

回顧與學(xué)習(xí)：進行事后分析，以確定薄弱環(huán)節(jié)并改進響應(yīng)策略。

當(dāng)每個選擇都有害時

正如我們所見，在這些談判中沒有規(guī)則，因為賊之間沒有榮譽可言。這些團伙曾經(jīng)遵循的模式正在隨著他們改進戰(zhàn)術(shù)而發(fā)生變化。沒有人想處于首席信息安全官或這些情境中的組織的立場。

心理壓力可能是巨大的，因為你無法預(yù)測結(jié)果，而且兩種解決方案都不理想。如果你支付贖金，公司會損失金錢。如果你不支付，你不僅會面臨數(shù)據(jù)丟失的風(fēng)險，還會失去客戶的信任，這對公司未來的打擊可能更為致命。