安全動(dòng)態(tài)

支付勒索軟件前需要回答的8個(gè)問(wèn)題
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-11-01    瀏覽次數(shù):
 

信息來(lái)源:企業(yè)網(wǎng)D1Net

企業(yè)在遭遇勒索軟件攻擊之后決定支付贖金之前,需要考慮一些問(wèn)題。更重要的是,要確定自己的立場(chǎng)。

直到最近幾年,傳統(tǒng)的安全理念認(rèn)為企業(yè)永遠(yuǎn)不要支付勒索軟件罪犯所要求的贖金,因?yàn)檫@只會(huì)鼓勵(lì)他們變本加厲。盡管有了這些警告,但大約40%的勒索軟件受害者支付了贖金。
現(xiàn)在看來(lái),許多受到勒索軟件攻擊的公司已經(jīng)支付了贖金,而很多人可能不希望他們這樣做。但有證據(jù)表明,很多遭遇勒索軟件攻擊的企業(yè)聲稱(chēng)不用支付贖金就能幫助恢復(fù)環(huán)境,但他們通常秘密支付贖金并獲取解密密鑰。

誰(shuí)在支付贖金?

      Mullen Coughlin公司John Mullen在其職業(yè)生涯中參與了數(shù)千次網(wǎng)絡(luò)安全的事件響應(yīng)。該公司去年處理了1,200多個(gè)隱私數(shù)據(jù)泄露事務(wù),而在2019年已處理1,500多個(gè)。
      Mullen表示,“有人說(shuō)支付贖金的比例達(dá)到了40%或50%。我不知道這個(gè)數(shù)字來(lái)自何處,但我認(rèn)為這會(huì)更高。大多數(shù)公司在面臨支付贖金或關(guān)閉公司的決定時(shí)通常會(huì)支付贖金。他們因?yàn)闆](méi)有其他選擇而支付贖金。沒(méi)有人知道支付贖金的公司的實(shí)際比例,但這一比例肯定正在上升?!?
      執(zhí)法部門(mén)的報(bào)告經(jīng)常建議不管發(fā)生什么事都不要支付贖金。Mullen說(shuō),“當(dāng)人們私下與經(jīng)驗(yàn)豐富的執(zhí)法人員交流時(shí),他們很少這么說(shuō)。大多數(shù)人會(huì)承認(rèn),受害者支付贖金往往情況更好。實(shí)際上,企業(yè)之所以支付費(fèi)用,是因?yàn)樗麄儧](méi)有更好的選擇?!?
      根據(jù)Mullen的說(shuō)法,企業(yè)支付贖金的原因之一是網(wǎng)絡(luò)攻擊者可以最大程度地提高勒索軟件造成的損害。他說(shuō):“如今,網(wǎng)絡(luò)攻擊者正在訪(fǎng)問(wèn)系統(tǒng),進(jìn)行偵察,并確定關(guān)鍵的痛點(diǎn),以便最大程度地發(fā)揮網(wǎng)絡(luò)攻擊的影響。這些類(lèi)型的攻擊使企業(yè)數(shù)據(jù)或系統(tǒng)的修復(fù)或恢復(fù)變得更加困難?,F(xiàn)在支付贖金的企業(yè)比例更高,因?yàn)榫W(wǎng)絡(luò)攻擊者的技術(shù)越來(lái)越完善?!?
      最近的研究證實(shí)了Mullen的主張。所有這些都表明,大多數(shù)企業(yè)在沒(méi)有支付贖金情況下從勒索軟件中恢復(fù)所花費(fèi)的時(shí)間、費(fèi)用和資源都遠(yuǎn)遠(yuǎn)多于從一開(kāi)始就支付贖金的情況。
人們可能會(huì)認(rèn)為,是否支付贖金的決定取決于企業(yè)是否擁有經(jīng)過(guò)良好測(cè)試的備份,但不僅如此。

何確定是否應(yīng)支付勒索軟件需求

      在決定是否不支付贖金就開(kāi)始勒索軟件恢復(fù)之前,企業(yè)應(yīng)該考慮以下幾點(diǎn):

      1.是否有勒索軟件政策?

      企業(yè)對(duì)于支付贖金有何政策?如果企業(yè)有反對(duì)支付贖金的一個(gè)書(shū)面政策,那么就會(huì)有答案。如果知道盡管制定了書(shū)面政策,但高級(jí)管理人員所承受的費(fèi)用和資源將會(huì)比支付贖金高出23倍,那么需要考慮一下。許多公司堅(jiān)持不支付贖金的承諾,將不得不忍受數(shù)周的停機(jī)時(shí)間。但這樣可能面臨企業(yè)破產(chǎn)的危險(xiǎn)。

      2.損害有多嚴(yán)重?

      勒索者是得到了核心數(shù)據(jù)還是一般數(shù)據(jù)?可以防止進(jìn)一步的損害嗎?能阻止網(wǎng)絡(luò)攻擊者重新進(jìn)入嗎?企業(yè)是否需要關(guān)閉入口點(diǎn),更改所有密碼以及對(duì)惡意軟件和惡意網(wǎng)絡(luò)連接進(jìn)行網(wǎng)絡(luò)清理?是否知道損壞程度和范圍?

       3.備份還原能力如何?

       即使企業(yè)擁有出色的備份,是否真的對(duì)所有受影響的關(guān)鍵資產(chǎn)進(jìn)行了完整的測(cè)試恢復(fù)?恢復(fù)需要多長(zhǎng)時(shí)間?如何確保恢復(fù)中不包含讓網(wǎng)絡(luò)攻擊者重新進(jìn)入的后門(mén)?需要多長(zhǎng)時(shí)間進(jìn)行恢復(fù)和必要的單元測(cè)試?企業(yè)所有的最新備份是否都在線(xiàn)?網(wǎng)絡(luò)攻擊者是否也可以訪(fǎng)問(wèn)?
       如今,勒索軟件網(wǎng)絡(luò)犯罪分子致力于破壞企業(yè)所有在線(xiàn)恢復(fù)數(shù)據(jù),從最新的在線(xiàn)副本到所謂的“受信任”離線(xiàn)副本。有的勒索軟件犯罪分子在備份過(guò)程中更改了該公司用來(lái)加密其數(shù)據(jù)的合法加密密鑰。
      每個(gè)公司都應(yīng)加密所有數(shù)據(jù)備份(同樣這是每個(gè)法規(guī)的合規(guī)性要求)。網(wǎng)絡(luò)攻擊者將加密密鑰更改為這些備份,而受害者沒(méi)有注意到。受害人會(huì)執(zhí)行正常的數(shù)據(jù)備份,卻通常不會(huì)注意到加密密鑰已被修改。數(shù)天至數(shù)月的所有數(shù)據(jù)備份都使用錯(cuò)誤的加密密鑰進(jìn)行加密。然后就在勒索軟件攻擊開(kāi)始之前,他們?cè)俅芜M(jìn)行更改。這樣,即使很久以前存儲(chǔ)的脫機(jī)數(shù)據(jù)備份也無(wú)法恢復(fù)。
       因此,當(dāng)企業(yè)準(zhǔn)備好進(jìn)行良好的數(shù)據(jù)還原時(shí),必須檢查所有內(nèi)容。

       4.是否制定了業(yè)務(wù)連續(xù)性計(jì)劃?

       如果企業(yè)不支付贖金,那么制定業(yè)務(wù)連續(xù)性計(jì)劃(BCP)是否可以處理勒索軟件事件?如果不是這樣,則意味著更多的停機(jī)時(shí)間和更多的替代數(shù)據(jù)處理。企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃(BCP)可以處理或覆蓋多少停機(jī)時(shí)間?如果預(yù)計(jì)的停機(jī)時(shí)間超出了業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的能力,是否從一開(kāi)始就支付贖金?

       5.是否獲得高級(jí)管理人員支持?

       如果企業(yè)支付或不支付贖金,是否有高級(jí)管理層和董事會(huì)支持該行動(dòng)?由于勒索軟件的攻擊,如果不得不告訴首席信息安全官,他們的數(shù)據(jù)備份和恢復(fù)方案并不可行,并且可能會(huì)中斷幾天甚至幾周的時(shí)間,他們是否會(huì)對(duì)此充滿(mǎn)信心?很多企業(yè)的首席信息安全官在數(shù)據(jù)泄露事件發(fā)生之后被解雇。

       6.有必要的人員嗎?

       無(wú)論企業(yè)是否支付贖金,都將需要獲得一切幫助來(lái)恢復(fù)。如果企業(yè)不支付贖金,那么將需要更多人員的幫助。像Mullen Coughlin這樣的公司可以幫助提供所需的輔助人員和專(zhuān)業(yè)知識(shí),但是企業(yè)還有足夠的資金和時(shí)間嗎?

       7.支付贖金有好處嗎?

       當(dāng)企業(yè)支付贖金時(shí),勒索軟件攻擊者通常會(huì)向企業(yè)提供用于解鎖系統(tǒng)的密鑰。否則,沒(méi)人會(huì)支付贖金。
       但是在某些情況下,支付贖金是行不通的。也有一些情況,企業(yè)在支付贖金之后獲得了解密密鑰,但是恢復(fù)過(guò)程不起作用;或者需要采取更多額外的恢復(fù)措施,這使得支付贖金變得沒(méi)有價(jià)值。
       如果可以,企業(yè)需要勒索聯(lián)系軟件專(zhuān)家,以了解向網(wǎng)絡(luò)攻擊者支付贖金的其他公司的情況。在支付贖金有效期,企業(yè)可以求助經(jīng)驗(yàn)豐富的反勒索軟件專(zhuān)家,需要獲得有關(guān)首先要處理的惡意軟件程序的專(zhuān)家意見(jiàn)。

       8.是否擁有支付贖金的網(wǎng)絡(luò)安全保險(xiǎn)?

       如果企業(yè)確實(shí)支付了贖金,那么網(wǎng)絡(luò)安全保險(xiǎn)公司如何處理?正如之前介紹的那樣,某些網(wǎng)絡(luò)安全保險(xiǎn)政策并未涵蓋由社會(huì)工程學(xué)(最受歡迎的類(lèi)型)引起的行為,也沒(méi)有提供非常低的損害賠償金。
       企業(yè)不要公開(kāi)宣布已經(jīng)擁有的網(wǎng)絡(luò)安全保險(xiǎn)措施,尤其是可能會(huì)獲得多少保險(xiǎn)金。網(wǎng)絡(luò)攻擊者可能會(huì)將保險(xiǎn)金作為談判的底線(xiàn)。如果企業(yè)的網(wǎng)絡(luò)安全保險(xiǎn)單是在線(xiàn)的,需要將其移動(dòng)到安全、可快速訪(fǎng)問(wèn)的離線(xiàn)存儲(chǔ)設(shè)備。不需要讓網(wǎng)絡(luò)攻擊者在發(fā)動(dòng)攻擊前找到它。
       是否支付贖金通常是一個(gè)艱難的業(yè)務(wù)決策,很多企業(yè)并沒(méi)有為此做好準(zhǔn)備,而支付贖金似乎是大多數(shù)企業(yè)最簡(jiǎn)單、最快的選擇,但企業(yè)可以根據(jù)自身情況選擇最好的途徑。
 
 

上一篇:海量大數(shù)據(jù)是城市安全治理關(guān)鍵

下一篇:網(wǎng)絡(luò)戰(zhàn)完全指南