近年來(lái)，越來(lái)越多的企業(yè)選擇支付贖金，背后有許多驅(qū)動(dòng)因素，然而，正如多位CISO所表達(dá)的那樣，這一決定背后仍然存在道德上的顧慮，同時(shí)他們也提到自己在最終的勒索軟件應(yīng)對(duì)決策中影響有限。

在Proofpoint發(fā)布的《2024年CISO聲音報(bào)告》中，勒索軟件仍然是全球CISO們最為關(guān)注的問(wèn)題之一。

更令人驚訝的是，CISO們對(duì)特定事件的應(yīng)對(duì)方式表述：62%的人表示，他們的企業(yè)可能會(huì)支付贖金以恢復(fù)系統(tǒng)訪(fǎng)問(wèn)權(quán)限。

在預(yù)期采取這一行動(dòng)的國(guó)家中，排在前三位的是沙特阿拉伯(83%)、加拿大(82%)和韓國(guó)(79%)。

這些數(shù)據(jù)可能令人震驚。企業(yè)通常對(duì)其他威脅行為者采取強(qiáng)硬態(tài)度，包括心懷不滿(mǎn)的員工、企業(yè)間諜、黑客活動(dòng)主義者和網(wǎng)絡(luò)恐怖分子。

那么，為什么這么多企業(yè)愿意與勒索軟件運(yùn)營(yíng)者談判、采購(gòu)并發(fā)送加密貨幣到指定地址，同時(shí)希望對(duì)方能夠信守承諾呢?

我們與幾位CISO探討了在做出這一關(guān)鍵決策時(shí)涉及的因素，以及CISO在決定最終方案時(shí)所擁有的影響力。

計(jì)算遭受勒索軟件攻擊的直接和間接成本

澳大利亞托管服務(wù)提供商Enablis的CISO Leonard Kleinman表示，企業(yè)通常會(huì)基于成本收益分析來(lái)做出合作的決定。

“如果我們從非?；A(chǔ)的經(jīng)濟(jì)學(xué)角度來(lái)看，這只是一個(gè)成本與收益的方程式，”他說(shuō)，“簡(jiǎn)單的分析告訴你應(yīng)該將企業(yè)的年度收入價(jià)值——無(wú)論是什么情況——與遭受勒索軟件攻擊的成本進(jìn)行比較。”

他提到了2021年5月的Colonial Pipeline事件并將其作為例子，這家美國(guó)燃料運(yùn)輸公司支付了相當(dāng)于440萬(wàn)美元的比特幣贖金，考慮到公司前一年收入達(dá)13億美元，這只是一小部分，持續(xù)的運(yùn)營(yíng)中斷將使公司損失更多。

新加坡零售商N(yùn)TUC的CISO Derek Gooh提到2021年瑞士Kaseya的勒索軟件攻擊，指出不僅有直接的業(yè)務(wù)損失，還有恢復(fù)的機(jī)會(huì)成本?！叭绻阆胂笠幌?，重新恢復(fù)所有這些東西，從頭開(kāi)始重建機(jī)器——這需要時(shí)間。”他說(shuō)。

從這個(gè)角度來(lái)看，支付贖金是一個(gè)誘人的選擇?！暗侨绻阌谢謴?fù)密鑰，如果你有解密密鑰，這可能只需3分鐘的時(shí)間，”Gooh說(shuō)，“你知道惡意軟件還在里面，但至少有了密鑰，你可以快速恢復(fù)，不需要關(guān)店。”

澳大利亞托管服務(wù)提供商MercuryIT的CISO Chris Haigh表示，關(guān)鍵行業(yè)可能有額外的動(dòng)力來(lái)避免停機(jī)。

“想想醫(yī)療服務(wù)：大型醫(yī)院服務(wù)于一個(gè)城市或單一城鎮(zhèn)中心的地區(qū)——它成為了一項(xiàng)關(guān)鍵服務(wù)，所以這可能是他們決定冒險(xiǎn)支付贖金的原因之一，因?yàn)樗麄儫o(wú)法承受所有這些服務(wù)下線(xiàn)的代價(jià)。”他說(shuō)。

Ken Newton，美國(guó)一家風(fēng)險(xiǎn)調(diào)整解決方案提供商secondwave的CISO表示，當(dāng)公司與網(wǎng)絡(luò)保險(xiǎn)公司打交道時(shí)，他們希望盡快減少損失。

“他們通常會(huì)允許支付贖金，盡管他們知道‘賊中無(wú)義’，但支付贖金后能讓組織迅速恢復(fù)運(yùn)營(yíng)的案例有歷史依據(jù)。”他說(shuō)。

Enablis的Kleinman解釋說(shuō)，企業(yè)還必須考慮法律和監(jiān)管責(zé)任——這些風(fēng)險(xiǎn)可能與任何財(cái)務(wù)后果交織在一起，尤其是對(duì)于大型公司。他舉了一個(gè)例子：一個(gè)勒索軟件運(yùn)營(yíng)者加密了一家公司的數(shù)據(jù)，并將此消息透露給公司上市的股票交易所?！啊叮槺阏f(shuō)一下，你知道那邊的Acme XYZ公司被加密了嗎?’”他說(shuō)。

Kleinman解釋說(shuō)，這是一個(gè)監(jiān)管風(fēng)險(xiǎn)，因?yàn)樯鲜泄颈仨氝M(jìn)行持續(xù)披露，這對(duì)其股價(jià)有重要影響。如果勒索軟件組織將消息傳達(dá)給股票交易所，公司可能違反這一政策，從而面臨進(jìn)一步的監(jiān)管審查和懲罰。

支付贖金的道德問(wèn)題

如果支付贖金僅涉及成本收益分析，那么企業(yè)可能會(huì)100%服從勒索要求，然而，支付贖金的道德問(wèn)題更加復(fù)雜，這為企業(yè)帶來(lái)了額外的考慮因素。

secondwave的Newton表示，他的立場(chǎng)是不向勒索軟件運(yùn)營(yíng)者支付贖金。“我考慮的是這些錢(qián)最終流向哪里。我考慮的是它資助了什么?！彼f(shuō)。

盡管所有的勒索軟件運(yùn)營(yíng)者都是犯罪分子，但他們的最終目標(biāo)各不相同。

MercuryIT的Haigh指出，一些勒索軟件運(yùn)營(yíng)者甚至可能是被美國(guó)財(cái)政部等機(jī)構(gòu)制裁的實(shí)體。

“我們已經(jīng)看到，例如在英國(guó)、美國(guó)，甚至某種程度上在澳大利亞，政府已經(jīng)明確表示，‘你需要意識(shí)到，如果你支付贖金而這筆錢(qián)流向了一個(gè)被制裁的實(shí)體，你可能會(huì)面臨非常嚴(yán)重的法律訴訟懲罰?！彼f(shuō)。

Kleinman補(bǔ)充說(shuō)，大多數(shù)企業(yè)希望避免與這些犯罪組織打交道，因?yàn)槿绻麄冞@么做，可能會(huì)對(duì)外界造成負(fù)面印象?！八麄兺ǔＯＭ軌蚋嬖V別人——無(wú)論是行業(yè)內(nèi)的同行還是跨行業(yè)的其他公司——他們從道德和倫理的角度做了正確的事情?！彼f(shuō)。

此外，Kleinman和其他人認(rèn)為，屈服于勒索要求會(huì)助長(zhǎng)更多的惡意行為。

“不要支付贖金，因?yàn)檫@只會(huì)激勵(lì)他們，”他說(shuō)，“不要支付贖金，因?yàn)檫@實(shí)際上是在獎(jiǎng)勵(lì)和資助下一次攻擊?！?/p>

Gooh提到了2024年4月新加坡一家律師事務(wù)所支付了180萬(wàn)新元贖金的例子，這導(dǎo)致當(dāng)?shù)卣还膭?lì)支付贖金。

“這很容易理解，對(duì)吧?我的意思是，如果新加坡的公司被認(rèn)為在支付贖金方面有軟肋，那么我們會(huì)受到更多的攻擊，這可以說(shuō)是一個(gè)惡性循環(huán)?！盙ooh說(shuō)。

然而，Kleinman迅速指出，組織在決定是否遵守當(dāng)局建議時(shí)，并不是陷入一個(gè)非此即彼的困境，大多數(shù)當(dāng)局確實(shí)不鼓勵(lì)向勒索軟件運(yùn)營(yíng)者支付贖金。

“如今，人們普遍理解，如果適當(dāng)?shù)嘏c當(dāng)局合作，他們可以幫助組織至少減輕一些挑戰(zhàn)，比如損失和其他問(wèn)題?！彼f(shuō)，“他們可能仍然會(huì)支付贖金，但這并不一定意味著只能選擇其中之一?！?/p>

Haigh認(rèn)為，公司絕不應(yīng)該向勒索軟件運(yùn)營(yíng)者支付贖金——而且政府應(yīng)該考慮將這種行為定為非法。

“如果公司停止支付，短期內(nèi)將會(huì)很痛苦。不幸的是，一些企業(yè)可能會(huì)倒閉……這是一個(gè)可怕的局面，”他說(shuō)，“但這是唯一能夠真正停止這種情況的方式。如果沒(méi)有人支付贖金，那么為什么還要進(jìn)行勒索軟件攻擊呢?實(shí)際上根本沒(méi)有理由去做了?！?/p>

CISO是關(guān)鍵影響者

由于CISO的任務(wù)是確保組織的安全，人們可能會(huì)認(rèn)為這位領(lǐng)導(dǎo)者在勒索軟件攻擊中是否支付贖金上擁有最終決定權(quán)。

“有趣的是：CISO并沒(méi)有決定權(quán)，”Kleinman說(shuō)道，他從同行那里了解到CISO在勒索軟件攻擊中的角色。

“我實(shí)際上是在與其他CISO討論時(shí)學(xué)到的。我回答說(shuō)，‘我不會(huì)支付?！缓螅曳浅Ｗ鹁吹膬晌煌?，一位是CISO，另一位是安全主管，他們都說(shuō)，‘這不是我的決定?！盞leinman說(shuō)。

盡管CISO可能不是決策者，但他們?nèi)匀皇菍?duì)CEO或董事會(huì)具有重要影響力的人。在這個(gè)角色中，Kleinman表示，他會(huì)基于對(duì)生產(chǎn)、法律和監(jiān)管責(zé)任以及收入損失的風(fēng)險(xiǎn)來(lái)建議不支付贖金?！拔視?huì)討論這四個(gè)風(fēng)險(xiǎn)，并盡量將它們與聲譽(yù)風(fēng)險(xiǎn)聯(lián)系起來(lái)?！彼f(shuō)。

Kleinman承認(rèn)，他在這方面面臨一場(chǎng)艱難的戰(zhàn)斗。盡管遵守勒索軟件運(yùn)營(yíng)者的要求曾經(jīng)會(huì)帶來(lái)負(fù)面的公眾形象，但他認(rèn)為這種情況不再如此。他表示，網(wǎng)絡(luò)保險(xiǎn)公司已經(jīng)使贖金支付常態(tài)化。

“我認(rèn)為，因?yàn)槁?lián)邦機(jī)構(gòu)甚至?xí)峁椭_實(shí)有一些公司專(zhuān)門(mén)從事贖金談判。這是他們唯一的任務(wù)，這就是為什么現(xiàn)在支付贖金帶來(lái)的聲譽(yù)損害不再像過(guò)去那么嚴(yán)重?！彼a(bǔ)充道。

盡管如此，贖金支付的公開(kāi)性可能會(huì)對(duì)此產(chǎn)生挑戰(zhàn)。

另一個(gè)挑戰(zhàn)是，CISO可能會(huì)在公司高管層中面臨直接的反對(duì)意見(jiàn)。Haigh提到了2020年Toll Group的勒索軟件攻擊事件。

“他們遇到的最大問(wèn)題是無(wú)法支付員工工資，幾乎是每周或每?jī)芍芤淮?。如果你不支付司機(jī)的工資，業(yè)務(wù)就會(huì)停擺，對(duì)吧?”Haigh說(shuō)?！皦毫ψ畲蟮娜耸荂FO。他看到了公司陷入破產(chǎn)的可能性……我記得他們好像只能撐一個(gè)月?！?/p>

當(dāng)一個(gè)組織面臨破產(chǎn)風(fēng)險(xiǎn)時(shí)，大多數(shù)高管層成員都會(huì)傾向于支付贖金，以便能夠繼續(xù)運(yùn)營(yíng)。

“因?yàn)楝F(xiàn)在你談?wù)摰氖菍?duì)公司而言本質(zhì)上的生存威脅，而確保這種情況不發(fā)生是CEO、CFO和董事會(huì)的責(zé)任，所以這幾乎形成了一種對(duì)立的局面。為了更大的利益，你不應(yīng)該支付贖金，但從保持公司生存的直接角度來(lái)看，你應(yīng)該支付，這是一個(gè)艱難的抉擇?！彼f(shuō)。

利用第三方專(zhuān)家爭(zhēng)取時(shí)間

為了做出最佳決策，企業(yè)應(yīng)檢查其數(shù)據(jù)是否可以從備份中恢復(fù)，以及網(wǎng)絡(luò)保險(xiǎn)是否涵蓋在業(yè)務(wù)長(zhǎng)期中斷情況下的運(yùn)營(yíng)費(fèi)用，這兩點(diǎn)都可以為企業(yè)提供避免支付贖金的籌碼。

隨著勒索軟件變得“更快、更聰明、更惡毒”，一些勒索軟件運(yùn)營(yíng)者越來(lái)越多地威脅泄露數(shù)據(jù)，這可能促使企業(yè)采取額外的行動(dòng)?！澳阈枰褂玫谌絹?lái)搜尋暗網(wǎng)，找到數(shù)據(jù)，并能夠要么取回它，要么將其刪除。在這種情況下，這是你能做到的最好的應(yīng)對(duì)措施。”他說(shuō)。

這就是現(xiàn)代勒索軟件的貓捉老鼠游戲。勒索軟件運(yùn)營(yíng)者不斷創(chuàng)新新的技術(shù)，以進(jìn)一步加大對(duì)高管層和董事會(huì)支付贖金的壓力。Kleinman表示，一些勒索軟件運(yùn)營(yíng)者正瞄準(zhǔn)那些可能對(duì)公司核心更有影響的信息。

“勒索軟件運(yùn)營(yíng)者非常有創(chuàng)意。他們開(kāi)始對(duì)許多高管、董事會(huì)高級(jí)成員進(jìn)行網(wǎng)絡(luò)暴力(doxing)，這意味著他們會(huì)公開(kāi)個(gè)人敏感數(shù)據(jù)——比如董事長(zhǎng)或其他類(lèi)似的高管，甚至他們的家人——以進(jìn)一步激勵(lì)支付贖金?！彼f(shuō)。

Kleinman指出，這一趨勢(shì)與非加密勒索軟件的興起是一致的，這種威脅圍繞數(shù)據(jù)泄露展開(kāi)。

假設(shè)一家公司決定屈服于壓力。在這種情況下，Gooh建議，他們應(yīng)該考慮引入第三方專(zhuān)家與勒索軟件運(yùn)營(yíng)者交涉，更重要的是，為尋找解密密鑰(一些勒索軟件變種的解密密鑰是可用的)、與當(dāng)局協(xié)調(diào)以及談判更低的贖金爭(zhēng)取時(shí)間。

Gooh表示，每家企業(yè)的事件響應(yīng)計(jì)劃都應(yīng)包括這種專(zhuān)業(yè)幫助。“知道該做什么以及知道在這種情況下可以聯(lián)系誰(shuí)，肯定是公司需要為此做好準(zhǔn)備的事情之一。”他說(shuō)。

Newton表示，最終是否支付贖金的決定不由他作為CISO來(lái)承擔(dān)，這讓他感到松了一口氣，但他仍然會(huì)強(qiáng)烈主張不支付贖金。

“如果有人問(wèn)我是否會(huì)支付贖金，我會(huì)談到其倫理問(wèn)題?！彼f(shuō)，“而且有時(shí)候，遵循倫理是痛苦的，遵循道德是痛苦的。”