有时候,公司会遭遇网络犯罪分子的赎金或勒索要求,以下内容可以为您提供恢复数据并保持声誉的最佳做法。
无论是通过勒索软件、数据窃取、分布式拒绝服务攻击(DDoS)攻击,还是基于《通用数据保护法规(GDPR)》的敲诈勒索,网络犯罪分子要求组织提供资金,以恢复其数据或继续业务运营的情况仍然频繁发生。当然,面对这种情况,最好的建议是不支付赎金。但是,当没有其他办法可行时,一些组织可能会觉得有必要在网络攻击期间与网络犯罪分子进行谈判。
不得不启动谈判程序的紧迫情况可能包括备份失败,犯罪分子握有最敏感的数据,或是受到的DDoS攻击规模足以摧毁您的系统等等。来自2015年一份较早的研究估计,多达30%的安全专业人员愿意通过谈判来获取他们的数据。但问题是,究竟应该由谁组织带头呢?又应该如何进行谈判呢?
Logicalis公司针对全球900名首席安全官进行的一项调查研究显示,72%的受访者将企业敲诈勒索和勒索软件列为“企业面临的最大风险”。另外,欧洲刑警组织也在其发布的《2018网络有组织犯罪威胁评估报告》中指出,网络勒索活动呈现了明显的增长趋势,且预计未来这种增长趋势还将持续。
数据有话说:支付赎金数据统计
美国联邦调查局(FBI)、英国国家犯罪局(NCA)以及大多数网络安全专家都建议受害企业不要支付赎金。因为支付赎金除了满足犯罪分子的欲望外,根本没有办法保证犯罪分子不会再次针对贵公司实施勒索攻击,相反地,支付赎金极有可能会变相鼓励犯罪分子对贵公司实施进一步的敲诈勒索活动。而且,根据您的行业、所在国家地区,以及您所支付的收款方,可能还会产生法律和监管方面的不利影响。
尽管如此,许多公司还是最终选择了支付赎金。根据CyberEdge Group公司针对全球1000家企业进行的一项调查研究发现,在遭受勒索攻击的企业中,大约有40%的公司支付了赎金,但结果,在这支付赎金的公司中,只有一半左右的公司最终拿回了自己的数据。而另外超过一半没有选择支付赎金的公司,最终也成功设法恢复了数据。
归根到底,组织机构应该为此类攻击做好防御准备,而不是支付赎金。老生常谈的“备份”问题仍然是遭受勒索攻击后恢复最快、损失最少的方法;加密敏感数据可以增加犯罪分子利用这些数据的难度;DDoS保护可以缓解这些攻击;满足GDPR合规性可以减少犯罪分子对贵公司声誉造成的损失;此外,围绕“网络钓鱼威胁”主题的用户安全意识培训项目也可以帮助进一步阻止犯罪分子进入您的网络。如果您已经尽了最大的努力,来防止赎金或其他敲诈勒索要求,但仍然宣告失败,那么请遵循下述最佳实践,准备与犯罪分子进行谈判:
1. 尽快与黑客沟通
即便您无意支付赎金,也可以通过谈判协商途径为组织获取更多的事件,来验证勒索通知中介绍的情况,识别泄露源,执行分类,并尝试从备份中解密或恢复受影响的系统。
常见的谈判方法或拖延策略包括解释没有可用资金,声称高级管理层不会批准这笔赎金,或者只是假装不懂如何购买和进行加密货币支付等等。
付款永远都是最后、最迫不得已的手段,但我们建议受害企业应该立即与黑客取得联系。
与犯罪分子沟通通常需要通过他们喜欢的媒介——通常是加密的电子邮件或加密的聊天服务等来完成,至于具体的联系方式通常都可以从最初的“勒索通知”中获取到。当然,也不排除有些勒索攻击会采取“撒网,然后祈祷”(spray and pray,即广泛部署勒索攻击,非针对性)的模式,这种攻击类型的“勒索通知”中通常除了比特币收款地址外,不会留下任何通信方式,但一些更复杂或有针对性的攻击会具备通信渠道。一些勒索软件变种甚至有客户服务代理。
同样重要的是要注意,除非该勒索攻击是专门针对您的公司,否则不要轻易透露自己的身份信息,因为攻击者很可能会进一步定位您的个人设备并实施针对您个人或家庭的勒索攻击。
大多数时候,沟通需要跨越时区、语言障碍以及技能娴熟程度的差距。如果事先没有计划好要问什么,以及如何回复可能出现的问题,只依靠翻译软件,可能很容易会丢失掉一些重要的细节信息。
2. 验证攻击者是否真的拥有您的数据,且有能力对其进行解密
验证是非常重要的一步;一定要确保攻击者确实拥有他们所说的自己已经窃取到的数据,或者能够解密您无法访问的数据,这是任何谈判开始的关键第一步。根据AlienVault发布的最新报告指出,65%的受访者表示他们有信心能够验证“勒索通知”的真假。然而,25%的受访者承认他们对自身确认数据是否被盗的能力没有信心。
租用僵尸网络并发动DDoS攻击非常容易。如果勒索攻击和盗取数据一样,那么大多数情况下,黑客会很乐意提供样本来证实自己确实获取了您的数据的。如此一来,您就可以利用这些样本,了解黑客所收集的信息,以及它所处的系统,从而为您提供一些重点。查看这些系统日志,进行深入研究,以确定是否存在任何迹象证实该勒索攻击是真实的。
目前,许多勒索软件变种已经有了标准的免费解密工具。在更具针对性的攻击中,您可以通过发送一份加密文件(最好是非机密信息的文件),让攻击者返回解密文件来证实他们确实有能力帮您恢复文件。
3. 不要害怕讨价还价
受害企业有时会试图通过谈判降低价格。去年,韩国网络托管公司Nayana遭受网络攻击,超过153台Linux服务器遭遇勒索软件的重创,超过3400个企业用户的网站服务受到影响。最初,勒索软件背后的操纵者要求支付550比特币(相当于大约160万美元),经过一番谈判后,赎金被降到了397.6比特币(100万美元左右)。
值得一提的是,攻击者最初可能会坚持初始叫价,但是经过第二次或第三次沟通之后,他们就会松口考虑降低费用。令人惊讶的是,类似于零售或餐饮服务行业,如果您坚持不懈地磨价,甚至要求与经理交谈,您可能就会在谈判中获取更大进展。同样的原理也适用于勒索领域,只要坚持一定会获取到更低的价格并恢复所有受损数据。
4. 确定谈判负责人
根据AlienVault报告指出,企业首席信息安全官(CISO)是最适合与犯罪分子进行谈判的人,其次是IT部分负责人(排名第二),以及执行人员(排名第三)。
然而,尽管CISO可能希望从技术角度出发解决问题,但在这种情况下,与组织的关键成员采取协作方式非常重要。没有任何一个人能够在不经集体智慧的支持下凭空做出合适的决定。CISO了解数据的价值,CFO了解停机时间的财务影响和赎金的成本(通常只是停机成本的一小部分),CEO了解两者如何影响公司内部和外部的可操作性。
CSO/CISO应该先从调查入手,这是因为作为安全专业人员,他们最有可能真正地确定“勒索通知”内容的真实性。这是一个巨大的挑战,任何人都可以去到任何一家公司声称,“我已经攻击了你,我马上就会把你们的信息公布出去”。对于大多数公司来说,这将是一个非常混乱动荡的时期,作为CSO/CISO,他们必须尝试从调查角度入手来验证这些说法的真实性。
然而,当涉及到与犯罪分子进行实际谈判时,这项任务可能更适合那些在该领域相当专业的人——他们能够为组织尽量拖延住时间,并了解攻击背后的心理和动机。未经训练的人可能会使情况变得更糟,并且IT经理可能不是具备该特定技能的人选。
此外,你可能还必须要发挥创造性。你可以邀请金融部门的人员,或是并购/兼并/收购部门的人(如果是大型企业的话),亦或是法律顾问和执法部门参与进来,尽量不要试图单枪匹马地进行任何谈判。
如今,许多咨询公司、网络保险提供商和事件响应公司都会提供谈判服务,作为其勒索软件保护产品的一部分。他们可以提供专门的谈判者,对攻击者所使用的勒索软件类型进行分类(以及查看是否可以轻松解密),或是作为最后的手段与犯罪分子进行谈判促成赎金支付。除了具备谈判所需的专业技能之外,聘请外部人员与犯罪分子进行交谈,也可以让他们跳出公司环境,以局外人的角度中立的进行案件讨论。
最后需要提醒的是,在任何谈判活动中,您都必须做到平易近人、耐心、冷静,你还需要理性化而不能情绪化,成为实用主义者而不是理想主义者。
5. 制定计划与所有内部和外部利益相关者打交道
有时候谈判陷入僵局,你可能会被迫支付赎金。但需要注意的是:即便是选择付款来获取数据或防止出现其他意外情况,也同样存在弊端。
2017年,Uber(优步)公司承认,曾于2016年向黑客支付了10万美元“封口费”,要他们为一起大规模数据泄露事件保密,而在这起事件中,约有5700万个优步账户的数据泄露,但优步并没有向受影响的客户和当局透露这一消息。结果该事件被外媒踢爆后,优步一度陷入负面新闻中,时任优步CSO的Joe Sullivan也在承认违规行为后不久就离开了公司,此外,违约还导致联邦贸易委员会对Uber欺骗其消费者的指控进行了调查。
所以说,如果你感觉谈判无法进行下去,一定要提前与公司内外部的利益相关者沟通。至少你需要主动发布声明来说清楚状况,并且实施相关控制措施抑制事态进一步严重化,这样你才能够获取主动权并控制住整体局面,不至让客户/股东/当局通过第三方媒体获知此事,引发不必要的混乱局面和负面影响。
如今,数据泄露已经算不上什么大事件,并不会真的引发群众恐慌情绪,人们更重视的是当事企业对事件做出的反应。因为这更能说明一个企业对待其客户的态度。要知道,对用户来说,最重要的从来都不是“这家公司是否遭受到数据泄露事件”,毕竟试想一下,谷歌、百度、苹果……有多少企业没有经历过违规行为。
最后,准备工作中最重要的事情就是制定业务连续性计划——准备计划好谁应该参与此次谈判事件,以及具体由谁负责哪些事情等等。务必确保安全、财务以及法律团队的成员参与,并为谈判工作做好充分准备——了解首先应该采取什么行动,以及需要采取什么行动来履行合规性,当需要发布公开声明时还需要制定沟通策略。
6. 明确法律法规
无论您是否进行谈判,付款都是不明智的选择。在遭遇攻击后应该立即通知执法部门,并记住有关报告此类事件的合规要求。除了前面提及的道德论点以及支付赎金却没有返回数据的风险之外,当事企业可能还需要面临潜在的法律后果。因为如果攻击者被列为恐怖分子,那么向其支付赎金将可能属于违法行为。美国财政部海外资产控制办公室(OFAC)就曾发布过一份受制裁者名单,并禁止任何人/组织向其付款。
7. 加强安全投资而不是提前存储比特币
网络勒索活动几乎都是要求通过加密货币进行支付,通常是比特币或更具隐私性的替代品,如门罗币(Monero)等。由互联网协会组织的在线信任联盟(The Online Trust Alliance,简称OTA)建议组织设立一个比特币钱包,为不得已的赎金支付做准备。如今,越来越多的公司似乎正在采取这种方式。但是,大多数安全专家并不建议公司这样做。
安全专家警告称,存储比特币的公司可能更多地表明该公司对其安全部门缺乏信心。因为这笔钱本可以更好地用于构建网络弹性,投资更强大的控制措施以及现场备份等等。
2017年,Citrix公司的一项调查发现,42%的英国企业在遭受勒索软件攻击时拥有加密货币库存,而这一比例在2016年为33%。此外,Code42公司最新发布的一项研究还发现,73%的首席信息安全官和60%的首席执行官正在囤积加密货币,并且在这些存储加密货币的人中,有大约4/5的人选择向勒索者支付了赎金。
其实,很容易理解公司为什么要这么做——囤积加密货币就允许他们可以迅速完成赎金支付任务,以加速恢复被攻击者锁定的数据。因为该行为与勒索软件攻击的准备工作有关,所以关于存储的决定是由安全团队倡议的,但进行存储活动却是整个组织成员共同的责任——例如,财务团队要负责采购和做报表,安全团队则需要从安全角度对其进行保护。
虽然提前购买加密货币可以加快支付速度,并减少因市场价格波动而受到影响的可能性,但用于购买这笔加密货币的资金本可以更好地用于预防措施。此外,持有大笔加密货币还会大大增加企业风险,因为寻求难以追踪现金堆的黑客会由此将你视为高优先级目标。而且,如果这笔加密货币价格飙升,它可能还会成为公开交易公司必须报告的重要资产——这也会吸引攻击者目光,将企业置于高风险境地。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】