企業(yè)在遭遇勒索軟件攻擊之后決定支付贖金之前，需要考慮一些問題。

更重要的是，要確定自己的立場。

直到最近幾年，傳統(tǒng)的安全理念認(rèn)為企業(yè)永遠(yuǎn)不要支付勒索軟件罪犯所要求的贖金，因?yàn)檫@只會鼓勵他們變本加厲。

盡管有了這些警告，但大約40%的勒索軟件受害者支付了贖金。

現(xiàn)在看來，許多受到勒索軟件攻擊的公司已經(jīng)支付了贖金，而很多人可能不希望他們這樣做。

但有證據(jù)表明，很多遭遇勒索軟件攻擊的企業(yè)聲稱不用支付贖金就能幫助恢復(fù)環(huán)境，但他們通常秘密支付贖金并獲取解密密鑰。

誰在支付贖金?Mullen Coughpn公司John Mullen在其職業(yè)生涯中參與了數(shù)千次網(wǎng)絡(luò)安全的事件響應(yīng)。

該公司去年處理了1,200多個隱私數(shù)據(jù)泄露事務(wù)，而在2019年已處理1,500多個。

Mullen表示，“有人說支付贖金的比例達(dá)到了40%或50%。

我不知道這個數(shù)字來自何處，但我認(rèn)為這會更高。

大多數(shù)公司在面臨支付贖金或關(guān)閉公司的決定時通常會支付贖金。

他們因?yàn)闆]有其他選擇而支付贖金。

沒有人知道支付贖金的公司的實(shí)際比例，但這一比例肯定正在上升。

”執(zhí)法部門的報告經(jīng)常建議不管發(fā)生什么事都不要支付贖金。

Mullen說，“當(dāng)人們私下與經(jīng)驗(yàn)豐富的執(zhí)法人員交流時，他們很少這么說。

大多數(shù)人會承認(rèn)，受害者支付贖金往往情況更好。

實(shí)際上，企業(yè)之所以支付費(fèi)用，是因?yàn)樗麄儧]有更好的選擇。

”根據(jù)Mullen的說法，企業(yè)支付贖金的原因之一是網(wǎng)絡(luò)攻擊者可以很大程度地提高勒索軟件造成的損害。

他說：“如今，網(wǎng)絡(luò)攻擊者正在訪問系統(tǒng)，進(jìn)行偵察，并確定關(guān)鍵的痛點(diǎn)，以便很大程度地發(fā)揮網(wǎng)絡(luò)攻擊的影響。

這些類型的攻擊使企業(yè)數(shù)據(jù)或系統(tǒng)的修復(fù)或恢復(fù)變得更加困難。

現(xiàn)在支付贖金的企業(yè)比例更高，因?yàn)榫W(wǎng)絡(luò)攻擊者的技術(shù)越來越完善。

”最近的研究證實(shí)了Mullen的主張。

所有這些都表明，大多數(shù)企業(yè)在沒有支付贖金情況下從勒索軟件中恢復(fù)所花費(fèi)的時間、費(fèi)用和資源都遠(yuǎn)遠(yuǎn)多于從一開始就支付贖金的情況。

人們可能會認(rèn)為，是否支付贖金的決定取決于企業(yè)是否擁有經(jīng)過良好測試的備份，但不僅如此。

如何確定是否應(yīng)支付勒索軟件需求在決定是否不支付贖金就開始勒索軟件恢復(fù)之前，企業(yè)應(yīng)該考慮以下幾點(diǎn)：1.是否有勒索軟件政策?企業(yè)對于支付贖金有何政策?如果企業(yè)有反對支付贖金的一個書面政策，那么就會有答案。

如果知道盡管制定了書面政策，但高級管理人員所承受的費(fèi)用和資源將會比支付贖金高出23倍，那么需要考慮一下。

許多公司堅(jiān)持不支付贖金的承諾，將不得不忍受數(shù)周的停機(jī)時間。

但這樣可能面臨企業(yè)破產(chǎn)的危險。

2.損害有多嚴(yán)重?勒索者是得到了核心數(shù)據(jù)還是一般數(shù)據(jù)?可以防止進(jìn)一步的損害嗎?能阻止網(wǎng)絡(luò)攻擊者重新進(jìn)入嗎?企業(yè)是否需要關(guān)閉入口點(diǎn)，更改所有密碼以及對惡意軟件和惡意網(wǎng)絡(luò)連接進(jìn)行網(wǎng)絡(luò)清理?是否知道損壞程度和范圍?3.備份還原能力如何?即使企業(yè)擁有出色的備份，是否真的對所有受影響的關(guān)鍵資產(chǎn)進(jìn)行了完整的測試恢復(fù)?恢復(fù)需要多長時間?如何確保恢復(fù)中不包含讓網(wǎng)絡(luò)攻擊者重新進(jìn)入的后門?需要多長時間進(jìn)行恢復(fù)和必要的單元測試?企業(yè)所有的比較新的備份是否都在線?網(wǎng)絡(luò)攻擊者是否也可以訪問?如今，勒索軟件網(wǎng)絡(luò)犯罪分子致力于破壞企業(yè)所有在線恢復(fù)數(shù)據(jù)，從最新的在線副本到所謂的“受信任”離線副本。

有的勒索軟件犯罪分子在備份過程中更改了該公司用來加密其數(shù)據(jù)的合法加密密鑰。

每個公司都應(yīng)加密所有數(shù)據(jù)備份(同樣這是每個法規(guī)的合規(guī)性要求)。

網(wǎng)絡(luò)攻擊者將加密密鑰更改為這些備份，而受害者沒有注意到。

受害人會執(zhí)行正常的數(shù)據(jù)備份，卻通常不會注意到加密密鑰已被修改。

數(shù)天至數(shù)月的所有數(shù)據(jù)備份都使用錯誤的加密密鑰進(jìn)行加密。

然后就在勒索軟件攻擊開始之前，他們再次進(jìn)行更改。

這樣，即使很久以前存儲的脫機(jī)數(shù)據(jù)備份也無法恢復(fù)。

因此，當(dāng)企業(yè)準(zhǔn)備好進(jìn)行良好的數(shù)據(jù)還原時，必須檢查所有內(nèi)容。

4.是否制定了業(yè)務(wù)連續(xù)性計(jì)劃?如果企業(yè)不支付贖金，那么制定業(yè)務(wù)連續(xù)性計(jì)劃(BCP)是否可以處理勒索軟件事件?如果不是這樣，則意味著更多的停機(jī)時間和更多的替代數(shù)據(jù)處理。

企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃(BCP)可以處理或覆蓋多少停機(jī)時間?如果預(yù)計(jì)的停機(jī)時間超出了業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的能力，是否從一開始就支付贖金?5.是否獲得高級管理人員支持?如果企業(yè)支付或不支付贖金，是否有高級管理層和董事會支持該行動?由于勒索軟件的攻擊，如果不得不告訴首席信息安全官，他們的數(shù)據(jù)備份和恢復(fù)方案并不可行，并且可能會中斷幾天甚至幾周的時間，他們是否會對此充滿信心?很多企業(yè)的首席信息安全官在數(shù)據(jù)泄露事件發(fā)生之后被解雇。

6.有必要的人員嗎?無論企業(yè)是否支付贖金，都將需要獲得一切幫助來恢復(fù)。

如果企業(yè)不支付贖金，那么將需要更多人員的幫助。

像Mullen Coughpn這樣的公司可以幫助提供所需的輔助人員和專業(yè)知識，但是企業(yè)還有足夠的資金和時間嗎?7.支付贖金有好處嗎?當(dāng)企業(yè)支付贖金時，勒索軟件攻擊者通常會向企業(yè)提供用于解鎖系統(tǒng)的密鑰。

否則，沒人會支付贖金。

但是在某些情況下，支付贖金是行不通的。

也有一些情況，企業(yè)在支付贖金之后獲得了解密密鑰，但是恢復(fù)過程不起作用;或者需要采取更多額外的恢復(fù)措施，這使得支付贖金變得沒有價值。

如果可以，企業(yè)需要勒索聯(lián)系軟件專家，以了解向網(wǎng)絡(luò)攻擊者支付贖金的其他公司的情況。

在支付贖金有效期，企業(yè)可以求助經(jīng)驗(yàn)豐富的反勒索軟件專家，需要獲得有關(guān)首先要處理的惡意軟件程序的專家意見。

8.是否擁有支付贖金的網(wǎng)絡(luò)安全保險?如果企業(yè)確實(shí)支付了贖金，那么網(wǎng)絡(luò)安全保險公司如何處理?正如之前介紹的那樣，某些網(wǎng)絡(luò)安全保險政策并未涵蓋由社會工程學(xué)(最受歡迎的類型)引起的行為，也沒有提供非常低的損害賠償金。

企業(yè)不要公開宣布已經(jīng)擁有的網(wǎng)絡(luò)安全保險措施，尤其是可能會獲得多少保險金。

網(wǎng)絡(luò)攻擊者可能會將保險金作為談判的底線。

如果企業(yè)的網(wǎng)絡(luò)安全保險單是在線的，需要將其移動到安全、可快速訪問的離線存儲設(shè)備。

不需要讓網(wǎng)絡(luò)攻擊者在發(fā)動攻擊前找到它。

是否支付贖金通常是一個艱難的業(yè)務(wù)決策，很多企業(yè)并沒有為此做好準(zhǔn)備，而支付贖金似乎是大多數(shù)企業(yè)較簡單、較快的選擇，但企業(yè)可以根據(jù)自身情況選擇比較好的途徑。