網絡安全保險?看看它對企業到底能起到什么作用
威脅不會消亡,只會不斷加劇
- 2019年4月份,Brookside耳鼻喉和聽力中心遭遇勒索軟件攻擊,導致患者記錄、預約時間表和支付信息均無法訪問,最終永久關閉。
- 2019年10月,營銷公司Heritage服務器遭到勒索軟件攻擊,給公司造成了數十萬美元的損失,該公司暫時停止了運營。據悉,該公司最終向攻擊者支付了贖金,但IT團隊仍在恢復系統過程中遇到困難,該公司的300多名員工可能因此失業。
- 2019年11月,西班牙兩家大型公司在同一天內受到勒索軟件打擊,其中一家是Everis,它是NTT Data Group旗下的IT咨詢公司;第二個是西班牙最大的無線電網絡公司Cadena SER。據悉,這兩次勒索軟件感染對西班牙當地的商業環境產生了重大影響,因為許多當地公司使用Everis軟件進行日常活動,有人擔心自己被感染,選擇關閉程序來檢查系統。
- 2019年年底,廣播公司Entercom遭到一次新的勒索軟件攻擊,使得該公司的電子郵件通訊、數字平臺的文件和內容均無法訪問,某些電臺被迫播放錄制的節目。這是Entercom在2019年遭到的第二次網絡攻擊,上一次攻擊者向Entercom勒索50萬美元,至于該公司是否支付贖金尚未可知。
- 2020年2月,美國國土安全部網絡安全和基礎設施安全署的公告顯示,有一家未公開名字的天然氣公司在感染勒索軟件后關閉設施兩天。感染發生在該公司的天然氣壓縮設施,攻擊始于釣魚郵件內的惡意鏈接。
一個有目共睹的事實是,無論網絡安全環境如何發展演變,威脅從來都不會消亡,只會愈演愈烈。而當企業成為勒索軟件事件的受害者時,他們很可能會選擇支付贖金的方式來獲取繼續運營的能力。但是,如果該企業組織擁有網絡安全保險保單,那么保險公司就會為他們分析其他因素來權衡利弊,以確定接下來的相關事宜。網絡安全保險公司會從各個角度審視情況,以了解哪種方案對于企業而言更可承受:支付勒索軟件贖金或是支付轉換為手動操作和備份數據的費用。
具體的分析和響應,是基于目標公司的保險條款明確承保的內容所定。假設該企業擁有針對勒索軟件事件的保單,那么網絡風險保險公司就會對每種選項進行成本分析。
選項1:支付贖金
勒索軟件攻擊者在確定索要多少贖金方面表現得十分精明。如果贖金太高,網絡安全保險保單的賠償限額將無法支持。贖金太低的話,網絡攻擊又顯得得不償失。贖金的具體數量通常需要考慮如下因素:1)企業因業務中斷所造成的損失;2)企業通過勞動效率有限的手動操作所付出的成本。
網絡安全保險通常會承保企業業務中斷的成本,時間就從勒索軟件對數據進行加密的那一刻算起。
目標企業組織和網絡安全保險公司在做出決定之前還需要探討的一些重要問題:
1. 支付贖金會導致數據幸存嗎?
正所謂“盜亦有道”,誠信對于什么行業而言都是至關重要的。攻擊者清楚地知道,如果他們在支付贖金后沒有及時提供解密算法,那么他們下次再發動攻擊時可能就不會收到任何贖金。因此,他們通常會選擇信守承諾。
2. 目標公司的被盜數據是否存在很大的暴露風險?
通常情況下,勒索軟件攻擊者不會選擇在暗網上公開被盜數據,但也并不排除這種可能性。網絡攻擊發生后,網絡保險公司經常會與計算機取證小組合作,以確定是否丟失了任何數據或讓系統對這種可能性有所了解。如果有任何個人身份信息(PII)數據被解密,則被保險公司必須根據某些規定(例如GDPR)通知當局。他們可能還會被要求將相關攻擊信息告知擁有這些PII數據的受害者。一些目標公司甚至可能會受到數據隱私法規的罰款,并且還要向數據泄露的受害者賠償相關費用。而這兩項費用也都可以由保險單賠付。
3. 支付贖金是否會鼓勵攻擊者再次發動網絡攻擊?
不幸的是,勒索軟件攻擊者難以捕獲。他們非常擅長掩蓋自己的網絡蹤跡,并使用加密貨幣來隱藏任何金錢蹤跡。支付贖金的行為會刺激一些激進的攻擊者更加大膽地策劃更多攻擊活動,甚至是可能對貴企業進行反復攻擊。
選項2:拒絕支付并切換到備份數據
確定切換到備份數據的成本涉及許多因素。如果投保公司每天備份其數據,那么成本和中斷都可以忽略不計。但是,如果數據差異太大,且無法涵蓋某些日常運營,那么業務損失和生產力中斷可能會很嚴重。另一個問題是切換到備份數據所需的時間。對于網絡保險公司來說,運營虧損成為了首要決定因素。
如果目標公司拒絕支付贖金,也有可能再次受到網絡攻擊。事實上,這種情況在任何一種情況下都是可能的。當原始數據和系統被加密后,很難進行全面的計算機取證調查,以了解攻擊者是如何滲透進了您的系統之中。即使受害者在切換到備份數據時升級并強化了其網絡安全措施,已經成功滲透到目標公司系統的攻擊者也可能找到其他方式進入。
在許多情況下,攻擊者都會進行偵察研究,從而確定多種危害公司的方法。他們可能會將重點放在可以用于重新進入目標公司系統的任何第三方漏洞之上。
盡管我們不希望看到惡意行為者們獲取勝利,但是不可否認,支付贖金可能是恢復正常運營的最便宜和最快捷的方法。為了降低風險,對于那些跨國型的大企業來說,首先也是尤為重要的是要投資網絡安全和風險評估措施。此外,實時地、更清楚地了解黑客對貴企業的了解程度只是一個開始。從黑客的角度來看待貴公司潛在的網絡風險態勢可能會令你大開眼界,這是許多網絡保險公司在分析客戶的風險狀況時所采取的觀點。
網絡保險公司不僅需要衡量客戶的網絡衛生狀況,而且還需要衡量與第三方供應商和合作伙伴相關的任何風險。他們通常會對目標公司的網絡風險態勢進行分析,以了解哪些漏洞可能會導致攻擊發生,并提出需要改進的建議。
為勒索軟件場景做好準備的最佳方法是了解在貴組織遭受網絡攻擊時會產生的財務影響。
