根据 Infosecurity Europe 2022 的专家小组的说法,公司需要权衡支付赎金的成本与从勒索软件攻击中恢复的成本和挑战。
支付赎金引发了道德和实际问题。支付是有成本的,无论是直接支付,还是通过公司的网络保险单支付,可能会导致法律和监管问题。在某些情况下,公司甚至会面临反洗钱法的制裁或罚款。支付赎金也可能导致名誉受损。
此外,还有恢复数据和系统的时间和成本,以及中断期间的交易损失。小型企业会发现支付赎金比尝试从备份中恢复更容易。
“我们都被告知不要付钱给敲诈者和勒索者,如果你这样做,他们会一次又一次地回来,”Guidehouse 风险合规与安全总监 Barry Coatesworth 说,“一些大型组织可以度过这个难关而不付钱。但中小企业做不到,如果不付钱,他们就会失去生意。”
企业能否恢复在很大程度上取决于其备份的质量,将这些备份存储在异地以及是否有明确的勒索软件应对策略或计划。根据空中客车集团的 CISO Kevin Jones 的说法,组织需要恢复时间目标,以及将其关键应用程序恢复到自己的硬件或云的计划。“那么如何将业务流程与 IT 系统联系起来,并确定恢复的优先级?” 他问道。
公司还需要优先考虑系统恢复,无论他们是试图从备份中恢复,还是已经支付了赎金并收到了恢复密钥。即使使用恢复密钥,恢复数据也需要时间。“你是先启用财务系统,还是先启用业务系统?” Camelot 集团首席信息安全官 David Boda 说。恢复计划还应涉及利益相关者,包括股东,还可能包括政府。
Coatesworth 说,选择支付的公司应该通过他们的网络保险公司或专业的谈判人员来协商条款。在某些情况下,执法部门也将处理这种谈判。
最重要的是,组织需要对事件保持透明,无论他们是否付费。与客户、员工和内部员工(例如与供应链打交道的客户经理)的沟通至关重要。企业应迅速采取行动,但不能仓促行事。“最糟糕的是隐藏事件或延迟披露太久,”Coatesworth 说。
进行勒索软件谈判的5种方法
NCC Group 旗下 Fox-TT 的网络安全分析师 Pepijn Hack 在 Black Hat Europe 2021 的一次会议上,概述了组织在与勒索者进行勒索软件谈判以改善结果时应采取的五种关键方法。
保持尊重 —— 虽然 Hack 承认这听起来很奇怪,因为你的公司被黑客入侵了,但他强调,在与攻击者沟通时保持礼貌和尊重更有可能带来更好的结果。“我们看到的一件事是,当受害者对对手生气或沮丧时,谈话就会中断,那时候想要拿回你的文件就得祝你好运了,”他说,“所以要把这看作是一笔商业交易。” Hack 补充道。
要求更多的时间 —— Hack 警告说,攻击者会试图迫使你做出快速决定,这更有可能给受害者带来不良后果。然而,“几乎在所有情况下,如果你还在谈判,他们都愿意延长时间。” 这可以让受害者有更多机会评估他们的选择,例如,如果他们正在等待,看看是否可以获得被盗数据的备份。
承诺现在支付少量或以后支付更多 —— Hack 再次强调,网络攻击者就像所有人一样,“不擅长延迟满足感”。此外,对手可能希望尽快结束谈判。因此,受害者在谈判中应尝试利用这种心态。例如,如果他们决定除了支付别无选择,受害者可以明确表示他们现在可以支付更低的价格,而更高的支付将会延迟。
说服对手你无法达到赎金金额 —— Hack 举了一个他在研究中分析的谈判示例,其中受害者表示他们可以支付的最高金额为 500,000 美元(来自 1300 万美元的要求)。最后,这就是他们最终支付的所有费用,这是一个低得多的成本。这种方法甚至适用于大公司,Hack 透露,一家财富 500 强公司收到了解密密钥,尽管支付的金额远低于最初要求的金额。
不要告诉任何人你有网络保险 —— “如果对手发现你有网络保险,你的谈判就会变得更加困难。”Hack 说。他展示了来自攻击者的通信内容,他们表示他们知道受害者可以支付大量费用,因为他们有网络保险。由于这些信息通常可以从被盗文件中获取,Hack 建议:“对你拥有网络保险的事实保密,让文件远离你的网络。你甚至可能想与你的保险公司达成协议,让他们也为此保密。”
最后,Hack 重申,公司在勒索软件谈判中将永远处于不利地位。尽管如此,仍然可以采取一些方法来减轻攻击所带来的损失。这取决于你在谈判期间的目标是什么,你是想在提供备份的同时拖延时间,还是已经决定支付赎金,你可以选择不同的策略。
Hack 补充道,为组织提供这些建议至关重要,因为令人遗憾的是,“勒索软件是不会消失的,因为它是一门非常有价值的生意”。
原文标题:Ransomware: Payment Decisions Finely Balanced
作者:Stephen Pritchard
原文链接:https://www.infosecurity-magazine.com/news/ransomware-payment-decisions/
