本文来自 企业网D1net公众号
本文介绍了企业如何应对勒索软件攻击,以及企业遭遇勒索软件攻击后,在确定是否支付赎金时需要考虑哪些关键因素。
全面的安全计划和程序必须聚焦防御,但也要回答以下关键问题:“企业将如何应对勒索软件攻击?”以及“什么时候我们才会考虑支付赎金?”
要得出答案必须考虑哪些关键因素?
如果支付赎金,会牵涉哪些关键考虑因素
1. 变相资助网络犯罪活动
企业支付的赎金越多,网络犯罪分子获得的勒索软件攻击利润就越多。此外,当企业支付赎金时,这些信息可能会被公开,从而损害客户的信心(因为企业被视为在变相地资助网络犯罪活动)。出于这个原因,付费总是不明智的——即使有时是不可避免的。
2. 付款后很可能会遭遇二次攻击
当一个企业支付赎金时,这个消息会在网络犯罪团伙中传播,这使得该企业更有可能再次受到攻击。如果一家企业决定支付赎金,它应该为未来更多的攻击做好准备。
3. 必须权衡哪种损失更严重
一些受到勒索软件攻击的企业完全没有机会自行恢复数据或迅速重新上线。如果是这种情况,企业需要知道攻击展开时的停机成本。在构建安全程序时,企业必须了解每小时停机的成本,以及如果发生勒索软件攻击,他们将承受的损失(这可能与声誉、合同义务、股价和员工生产力有关)。如果赎金要求远远小于这些损失,支付赎金似乎是短期内经济上最负责任的选择。
4. 所有数据不太可能被全数归还
现代勒索软件团伙并不依赖于某一种类型的勒索。除了锁定你的数据和系统外,他们通常还会窃取信息,并要求你付钱,否则将把信息出售给其他人。当攻击者窃取敏感的客户数据(如财务记录或健康数据)时,这种方法尤为有效。然而,支付赎金就是和犯罪分子做交易,所以如果攻击者残忍到以企业的数据为质,你真的应该相信他们会归还数据而不使用数据吗?
事实证明,即便支付赎金也很少有企业能够恢复所有的数据,而且恢复过程仍需数月的时间。因此,付费永远不应被视为快速恢复在线状态的保证。
如果不支付赎金,会牵涉哪些关键考虑因素
1. 不付钱在道德上是正确的
不支付赎金在道德上是正确的决定。在一些国家,支付赎金甚至是违法的。但仅仅因为这样做是正确的,并不能说明它对企业来说就是最好的财务决策。
2. 无法自行恢复所有数据
虽然并不建议支付赎金,但攻击造成的数据丢失可能是灾难性的。完整的数据恢复可能需要几个月的时间,并且通常意味着需要从不同的来源提取数据来从头进行恢复。
虽然大多数企业都会运行定期备份,但通常会有一段时间的数据没有得到及时备份——这取决于业务的规模和重点——数据丢失可能是可控的,也可能是不可修复的。无论哪种方式,不支付赎金可能会导致更长的恢复时间,而漫长的恢复过程可能会导致IT团队精疲力竭。
3. 最糟的情况会导致破产
在最严重的情况下,勒索软件最终会扼杀企业。如果他们选择忽视需求,可能会导致无法弥补的损失,从而使企业停止运营。因此,在决定不支付赎金之前,必须考虑攻击的全部影响。
解决方案
公平地说,当涉及到勒索软件攻击时,企业处于劣势,处于被动挨打的局面。无论何时何地,他们都将任由网络犯罪分子摆布。
因此,最好的做法是采取“双管齐下”的策略来应对攻击:保护和恢复。
保护资产和阻止攻击者破坏网络的防御手段是必不可少的。这包括:
- 让员工了解勒索软件,了解它是如何进入系统的,以及用户账户是如何被攻击的;
- 运行定期的补丁管理流程,并辅以积极主动的红队测试;
- 计划定期备份,并定期测试备份和数据恢复过程;
- 实现跨网络和系统的分段,以阻止横向移动。
除此之外,当企业在构建安全程序时,他们必须关注如何最好地响应攻击,以最大限度地减少中断。这意味着他们必须能够了解事件的规模,以便他们能够快速进行取证。这有助于了解他们是否能够在攻击中幸存下来,或者支付赎金是否更可取。
安全程序的总体重点必须是弹性和灵活性:让攻击者更难以破坏你的系统,也让你能够更快地响应攻击,这样你就可以确切地知道应该采取哪些行动,而不必浪费时间考虑“支付或不支付”的问题。