勒索软件是企业当前面临的最重大数字威胁之一,这事儿还需要进一步的证据证明吗?如果需要的话,最近Colonial Pipeline、华盛顿特区警察局、苹果公司、爱尔兰国民医疗服务遭遇的攻击足以说明问题。
Sophos最近的一项调查研究表明,51%的受访企业在过去一年中遭遇过勒索软件攻击;而且,通过勒索软件即服务(RaaS)展开的攻击越来越无耻,即使近年来政府加大RaaS基础设施打击力度,这股趋势也还在持续。
勒索软件攻击是一种机会均等的攻击,任何企业都可能成为攻击目标。因此,每家公司都应为勒索软件攻击做好准备,不仅仅是在恶意软件检测、网络流量分析、数据泄露预防和数据备份方面,还需要估计遭遇攻击时自己预期支付的费用。
大多数勒索软件攻击案例中,企业并未真正意识到自己在勒索软件攻击过程中可能招致的所有潜在成本。
下面我们列出公司在遭到攻击之前需要做好预算的几项成本:
1. 网络保险
网络保险可以是遭遇破坏性勒索软件攻击时为公司兜底的救世主,但只有在遭攻击前购置到位,网络保险才会有所帮助。根据保单,保险可能会提供许多服务(未必都需要花钱购买)。
最好搞清楚你的免赔额是多少。虽然免赔额不是直接成本,但仍然会让你损失金钱。
2. 事件响应
勒索软件不会突然出现在公司网络中。你需要找出根源,知道攻击者在你网络里都干了什么,拿走了哪些数据。你的网络中可能仍然存在未受到勒索软件影响的被黑用户账户或带后门的系统。只要没找出这些漏洞,攻击还会在未来几周里卷土重来。
事件响应(IR)攻击可以帮助你搞定这些。他们会进驻你的公司,调查攻击事件,然后为你提供所需的帮助,从而遏制、根除事件并恢复正常状态。
小提示:如果公司没有设置内部事件响应团队,那就设置一份事件响应预付金。这笔钱可以供你在遭遇事件时召唤随叫随到的帮手。
3. 法律咨询
在处理勒索软件事件时,咨询法律顾问是必选项。法律顾问可以告诉你如何趟过报告义务的雷区,确保你的通信是保密的,以便在万一遭起诉时避免被对方律师抓住小辫子,还能在是否支付赎金的问题上提供建议。
你应该还想要确保自家内部法律团队知道如何处理网络事件,或者合作的外部法律顾问具备这方面经验。咨询外部法律顾问的费用在每小时250美元到700美元之间,对大多数企业而言,总费用很容易就累积到7.5万美元了(如果攻击事件没走上法庭的话)。
4. 危机沟通
企业或许有沟通团队,但团队是否具备危机应对经验?你会通告你的客户吗?说些什么呢?用哪种方式表达?怎么对员工解释?如何控制信息流?
如果你的团队从未处理过此类危机,那就需要请有资质的危机沟通公司来告诉你该做什么,该怎么做。
5. IT支持
没错,企业设置有IT部门,而且IT部门是勒索软件响应计划的重要部分。然而,即便如此,你也没法及时响应周末的勒索软件攻击(如果你遵守《劳动法》的话)。从勒索软件攻击恢复到正常运营是一项需要持续一段时间的全天候任务,如果员工被要求连续数天/数周/数月长时间工作,那精疲力竭到崩溃是迟早的事。为了快速而恰当地恢复正常运营,企业可能需要引入额外的帮助和专业知识。
取决于所需专业知识的类型,引入IT支持的成本在每小时200美元到500美元之间。
6. 赎金支付
遭受勒索软件攻击的企业都必须做出是否支付赎金的决策。有时候,支付赎金是拿回数据或防止高度敏感的数据被泄的唯一途径。不推荐支付赎金,但到底支付还是不支付赎金的决策权并没有掌握在事件响应者手中,这是公司高层需要考虑的事。
无论如何,赎金可以从几千美元到200万到500万美元不等。希望哪家企业都不用支付赎金,但如果确实不得不支付赎金,那你应该再引入勒索软件谈判专家。
7. 勒索软件谈判专家
勒索软件谈判专家专精于帮助减少赎金数额、辅助购买加密货币,并确保删除你的数据(尽管攻击者通常不会完全删除你的数据)。你需要这样的专家团队吗?未必。但有这样的人物坐镇,可以帮助节省大笔资金。
遗憾的是,与勒索软件攻击相关联的其他成本还有很多,例如硬件修复和软件恢复成本、新增防护措施、生产力损失、诉讼、客户丢失,以及持续的监测。好消息是,很多此类开支都可以通过恰当的规划和准备予以削减或消除。