全面的安全計劃和程序必須聚焦防御，但也要回答以下關(guān)鍵問題：“企業(yè)將如何應(yīng)對勒索軟件攻擊?”以及“什么時候我們才會考慮支付贖金?”

要得出答案必須考慮哪些關(guān)鍵因素?

如果支付贖金，會牽涉哪些關(guān)鍵考慮因素

1. 變相資助網(wǎng)絡(luò)犯罪活動

企業(yè)支付的贖金越多，網(wǎng)絡(luò)犯罪分子獲得的勒索軟件攻擊利潤就越多。此外，當(dāng)企業(yè)支付贖金時，這些信息可能會被公開，從而損害客戶的信心(因為企業(yè)被視為在變相地資助網(wǎng)絡(luò)犯罪活動)。出于這個原因，付費總是不明智的——即使有時是不可避免的。

2. 付款后很可能會遭遇二次攻擊

當(dāng)一個企業(yè)支付贖金時，這個消息會在網(wǎng)絡(luò)犯罪團伙中傳播，這使得該企業(yè)更有可能再次受到攻擊。如果一家企業(yè)決定支付贖金，它應(yīng)該為未來更多的攻擊做好準備。

3. 必須權(quán)衡哪種損失更嚴重

一些受到勒索軟件攻擊的企業(yè)完全沒有機會自行恢復(fù)數(shù)據(jù)或迅速重新上線。如果是這種情況，企業(yè)需要知道攻擊展開時的停機成本。在構(gòu)建安全程序時，企業(yè)必須了解每小時停機的成本，以及如果發(fā)生勒索軟件攻擊，他們將承受的損失(這可能與聲譽、合同義務(wù)、股價和員工生產(chǎn)力有關(guān))。如果贖金要求遠遠小于這些損失，支付贖金似乎是短期內(nèi)經(jīng)濟上最負責(zé)任的選擇。

4. 所有數(shù)據(jù)不太可能被全數(shù)歸還

現(xiàn)代勒索軟件團伙并不依賴于某一種類型的勒索。除了鎖定你的數(shù)據(jù)和系統(tǒng)外，他們通常還會竊取信息，并要求你付錢，否則將把信息出售給其他人。當(dāng)攻擊者竊取敏感的客戶數(shù)據(jù)(如財務(wù)記錄或健康數(shù)據(jù))時，這種方法尤為有效。然而，支付贖金就是和犯罪分子做交易，所以如果攻擊者殘忍到以企業(yè)的數(shù)據(jù)為質(zhì)，你真的應(yīng)該相信他們會歸還數(shù)據(jù)而不使用數(shù)據(jù)嗎?

事實證明，即便支付贖金也很少有企業(yè)能夠恢復(fù)所有的數(shù)據(jù)，而且恢復(fù)過程仍需數(shù)月的時間。因此，付費永遠不應(yīng)被視為快速恢復(fù)在線狀態(tài)的保證。

如果不支付贖金，會牽涉哪些關(guān)鍵考慮因素

1. 不付錢在道德上是正確的

不支付贖金在道德上是正確的決定。在一些國家，支付贖金甚至是違法的。但僅僅因為這樣做是正確的，并不能說明它對企業(yè)來說就是最好的財務(wù)決策。

2. 無法自行恢復(fù)所有數(shù)據(jù)

雖然并不建議支付贖金，但攻擊造成的數(shù)據(jù)丟失可能是災(zāi)難性的。完整的數(shù)據(jù)恢復(fù)可能需要幾個月的時間，并且通常意味著需要從不同的來源提取數(shù)據(jù)來從頭進行恢復(fù)。

雖然大多數(shù)企業(yè)都會運行定期備份，但通常會有一段時間的數(shù)據(jù)沒有得到及時備份——這取決于業(yè)務(wù)的規(guī)模和重點——數(shù)據(jù)丟失可能是可控的，也可能是不可修復(fù)的。無論哪種方式，不支付贖金可能會導(dǎo)致更長的恢復(fù)時間，而漫長的恢復(fù)過程可能會導(dǎo)致IT團隊精疲力竭。

3. 最糟的情況會導(dǎo)致破產(chǎn)

在最嚴重的情況下，勒索軟件最終會扼殺企業(yè)。如果他們選擇忽視需求，可能會導(dǎo)致無法彌補的損失，從而使企業(yè)停止運營。因此，在決定不支付贖金之前，必須考慮攻擊的全部影響。

解決方案

公平地說，當(dāng)涉及到勒索軟件攻擊時，企業(yè)處于劣勢，處于被動挨打的局面。無論何時何地，他們都將任由網(wǎng)絡(luò)犯罪分子擺布。

因此，最好的做法是采取“雙管齊下”的策略來應(yīng)對攻擊：保護和恢復(fù)。

保護資產(chǎn)和阻止攻擊者破壞網(wǎng)絡(luò)的防御手段是必不可少的。這包括：

• 讓員工了解勒索軟件，了解它是如何進入系統(tǒng)的，以及用戶賬戶是如何被攻擊的;
• 運行定期的補丁管理流程，并輔以積極主動的紅隊測試;
• 計劃定期備份，并定期測試備份和數(shù)據(jù)恢復(fù)過程;
• 實現(xiàn)跨網(wǎng)絡(luò)和系統(tǒng)的分段，以阻止橫向移動。

除此之外，當(dāng)企業(yè)在構(gòu)建安全程序時，他們必須關(guān)注如何最好地響應(yīng)攻擊，以最大限度地減少中斷。這意味著他們必須能夠了解事件的規(guī)模，以便他們能夠快速進行取證。這有助于了解他們是否能夠在攻擊中幸存下來，或者支付贖金是否更可取。

安全程序的總體重點必須是彈性和靈活性：讓攻擊者更難以破壞你的系統(tǒng)，也讓你能夠更快地響應(yīng)攻擊，這樣你就可以確切地知道應(yīng)該采取哪些行動，而不必浪費時間考慮“支付或不支付”的問題。