支付还是不支付勒索软件

陆峰梅
导读 勒索软件攻击成为头条新闻,让面临严重运营停工和公关噩梦的高管们心生恐惧。然而,太多的高管愿意支付赎金而不考虑其他途径作为恢复业务的

勒索软件攻击成为头条新闻,让面临严重运营停工和公关噩梦的高管们心生恐惧。然而,太多的高管愿意支付赎金而不考虑其他途径作为恢复业务的手段,并且过于相信保险范围和卡特尔的诚实。支付赎金并不总能带来康复。

那么,问题是假设你可以,你应该支付赎金吗?也许更重要的是,您能否向您的董事会、保险公司和执法部门证明该决定的合理性?

答案不太适合是或 否的 约定。也许最接近的答案是, 这取决于。关键是赎金支付通常是唯一的选择——但不应该是第一个选择。

网络保险和数据备份已被证明是部分解决方案。然而,大多数保险单在支付时会给保险公司造成重大损失。这意味着保费会上涨,覆盖面会下降,更多的“良好驾驶历史”类型的执法将适用。事实上,保险续保现在以月为单位,而不是天数。

在业务连续性时代设计的备份并非旨在抵御故意活动——这是勒索软件团伙的主要策略。您需要的不仅仅是“事后修复”的方法。

避免勒索软件付款要求

当被问及如何最好地避免支付赎金时,答案是在早期阶段抓住网络攻击。分子采用常见的策略、技术和程序,为安全专家提供面包屑踪迹,并且可以通过快速检测和响应在早期阶段被抓获。

您越快识别攻击的早期阶段(并且有大量指标),您就越有可能阻止您的对手建立导致普遍勒索软件爆炸的持久连接。

假设你没有在行动中抓住罪犯,那么 快速恢复比付款更可取。借助具有弹性的业务连续性实践和灾难恢复计划,您可以在减少大量服务中断的同时恢复系统。这并不意味着罪犯不会回来,但第一个分数属于你。虽然分子可以在几分钟内关闭您的业务,但您可能需要数周或数月才能恢复正常营业。

大多数支付赎金的公司认为他们已经做好了准备。他们不认为自己是目标。他们低估了风险或高估了他们挫败袭击的能力。不要让它成为你。

在您支付勒索软件之前,请做好功课

在过去几年中,勒索软件攻击和数据泄露的法律环境发生了显着变化。一旦受到律师-客户特权的保护,事件响应文件、行政决定和可能具有破坏性的预算排除可能导致昂贵的诉讼或保险索赔被拒绝。

如果您向已知的网络集团恐怖分子付款,许多政府机构正在推动一种“不付款”的精神,这种精神受到限制甚至起诉。因此,您需要在决定付款之前做好功课。

当面临这个决定时,没有人会为你做出决定。没有人会赔偿您的决定或减轻连锁责任——这仅受原告律师的创造力限制。您需要聘请可以帮助您计划和应对重大事件(例如勒索软件攻击)的专家。了解你的义务。

支付勒索软件之前:难题

我经常这样说:您需要特定信息来做出明智的决定,以尽量减少任何负面影响。

如果您面临支付赎金的站不住脚的决定,请在这样做之前问自己以下问题:

我们可以在不支付赎金的情况下恢复吗?

支付赎金会加速复苏吗?

支付赎金是唯一可行的选择吗?

我们可以支付赎金而没有受到法律处罚的风险吗?

我们是否应该联系执法部门?如果我们违反制裁,这会有所帮助吗?

我们的保险公司会支付赎金吗?

我们应该通知我们的客户、合作伙伴或员工吗?

我们是否需要通知监管机构或国家当局?

当您回答这些问题时,例如赎金支付本身的问题,这不是一个 是 或 否的练习。当然,请记住,您必须坚持自己的答案,并可能在法庭上为您的决定辩护。

防止勒索软件

在一次网络安全活动中,我有幸见到了 1980 年代布法罗比尔队的明星四分卫 Bruce Mathison。在用我的签名书交换他的新秀卡签名副本时,他给了我最好的智慧来处理你无法控制的事件。

他说:“在你做对之前,你不会练习。你练习,直到你没有弄错。” 来自烤架老手的明智建议。

那么,您如何建立检测和响应勒索软件攻击的控制和程序(实践方法)?基本的安全控制大大降低了企业破坏勒索软件攻击的风险,并提供了快速恢复方法,不依赖于为解密密钥支付勒索费用(这些密钥并不总是有效,但这是另一个话题)。

以下是您的两个主要组的基本控件:

对于员工

需要多因素身份验证才能访问业务系统。

使用虚拟专用网络(VPN) 或同等服务保护远程连接。

强制用户意识培训和测试,包括:

基于作业的网络钓鱼诱饵,而不是通用示例。

从不受信任的来源下载文件。

检查 URL 和文件扩展名以确保合法和预期的内容。

禁止免费版本的应用程序。

基于合规性的要求。

对于行政

为员工使用最低权限,并在可能的情况下删除管理权限。

不使用时禁用远程桌面协议(RDP)。

分段网络系统。

根据关键系统的优先级列表定期修补系统。

使用分段或离线设计备份所有关键文件和系统,并定期测试故障转移和恢复服务。

使用特权访问管理(PAM) 或类似系统限制对关键系统的管理访问。

在域控制器 (DC)、集中式日志记录系统和活动目录 (AD) 以及分子经常攻击的其他关键系统上部署端点检测和响应(EDR) 代理。

虽然不良行为者可能会继续利用新的勒索软件来攻击漏洞,但您可以采取一些措施来加固堡垒墙。如果这些墙被攻破,请记住在接下来的步骤中深思熟虑。

虽然支付赎金似乎是最快、最简单的前进方式,但如果不先问自己一些关键问题,就会有太多的风险。

标签:

版权声明:本文由用户上传,如有侵权请联系删除!