虽然支付赎金通常被视为最终措施,但在数据隐私管理平台BigID的调查中90%的受访者表示,如果这意味着他们可以恢复数据和业务流程,或者更快地恢复,他们的公司会考虑支付赎金。
在接受行业媒体的采访中,网络安全服务商Sygnia公司英国和北欧地区的Azeem Aleem博士揭示了勒索软件谈判的复杂性,并强调了企业可以采取哪些措施来保护自己免受网络威胁。
典型的勒索软件谈判过程是什么样的?专业人士可以采用什么谈判策略来降低勒索赎金?
Aleem:如果企业遭到勒索软件攻击,威胁行为者可以利用它作为进行勒索的机会,承诺以交错的方式发布数据,以确保他们从勒索软件攻击中获得最大收益。其结果是,企业可能会与威胁行为者陷入无休止的赎金循环。这就是人们被要求调查和防范重大勒索软件、企业间谍活动、金融盗窃甚至民族国家攻击的原因。
人们总是在网络安全预防方面犯错误,他们需要跟上威胁行为者的发展步伐,这意味着投资并寻求第三方安全专家的帮助,他们可以从头开始审查企业的安全堆栈,发现企业可能没有注意到的细节。应对网络犯罪需要多种技能,包括预测和适应性思维,以及真正看到网络威胁的全面或微观视角。
在与威胁行为者接触之前,企业需要为勒索谈判获得正确的技能。例如可以从精英军事技术部门和网络行业中挑选精英人才,例如军事情报部门前官员、犯罪心理学家、勒索软件黑客谈判代表等等。这是一支非常独特的团队,他们在技术优势、数字作战、数据分析和商业方面拥有训练有素的技能,为企业提供军事级别的安全。
企业要意识到会有更多的损失——需要愿意谈判,这意味着“玩游戏”以获得最好的结果。成功进行谈判意味着在保护被盗数据的同时支付很少费用或不支付任何费用。网络威胁谈判专家可以找到漏洞的来源,并使用策略来延迟交付赎金,同时为企业的调查团队提取关键信息,以映射到威胁行为者的特定行为。例如,企业的谈判者可能会假设一个特定的角色来建立同理心和信任,创造一种友谊感,这有助于打开沟通渠道,达成更好的交易。
通过查找漏洞来源来避免双重勒索和三重勒索。谈判团队将努力揭示勒索软件攻击者的动机,调查来源,遏制威胁,最大限度地减少泄露暴露时间(BET),然后帮助补救和恢复,以此作为打破威胁循环的一种方式。谈判者将协助找到能够帮助技术团队揭示未知状况的“黑天鹅”。
通过了解勒索软件攻击者使用的工具、策略和过程(TTP),可以确定勒索软件攻击的复杂程度。有时勒索软件攻击者的攻击方式或者工具并不复杂,但他们可能发现了一个未知的漏洞,可以继续滥用。
使用勒索软件谈判服务而不是在企业内部处理谈判有什么好处?
Aleem:第三方高技能的事件响应团队可以通过与企业合作为其提供大量专业知识,这可能是传统内部安全团队所缺少的知识和技能。例如我们从精英军事技术部门和网络行业中挑选精英人才,例如前军事情报官员、犯罪心理学家、勒索软件黑客谈判代表等。这是一支独特的团队,他们在技术优势、数字作战、数据分析和商业方面拥有训练有素的技能,可以为企业提供军事级别的安全保障。事实上,一些国家悄悄地向他们寻求帮助。
谈判人员可以推迟企业对赎金要求的回应。这种延迟提供了什么好处,它如何影响勒索软件攻击的结果?
Aleem:网络威胁行为者现在可能是拥有人力资源、薪资和销售团队的大企业。他们需要像企业保护赎金一样保护自己的行业声誉。不幸的是,在某些情况下,由于攻击本身的性质,支付赎金是不可避免的。例如,对工业基础设施的攻击,不仅会对网络安全造成影响,还会对工作和生活造成物理影响。
研究机构最近发布的一份研究报告表明,在今年上半年,全球企业支付了4.491亿美元的赎金。勒索谈判将有助于发现勒索软件攻击者的未知之处,找到安抚他们的方法,并减少赎金——在某些情况下,可能会阻止未来的攻击。我们实际上是在争取时间来控制威胁、恢复数据和弥补安全漏洞。
在遭受勒索软件攻击之后,企业应该立即采取什么措施,以使自己处于成功谈判的最佳位置?
Aleem:•建立安全的离线渠道。这本质上是一个作战室,以简化战略团队沟通。网络攻击不再是一个IT问题,必须提交给企业董事会,特别是如果监管措施被忽视,首席执行官可能会发现自己被解雇。
- 保持冷静,避免下意识的反应。恐惧会让人惊慌失措,影响判断。可以尝试回应威胁行为者,提示他们成功的“标记”。
- 招募外部的突发事件应对专家来调查、评估和绘制危机地图。不要单独与威胁行为者接触。
- 应用网络分段,并将备份环境与网络分离。
- 断开员工与电子邮件和服务器的连接,以避免传播攻击。许多供应链攻击可以通过这种方式扩大攻击规模。
- 评估运营环境,了解攻勒索软件击的来源。
- 谨慎对待补救和消除后门。这样的缓解活动可能会让威胁行为者意识到有人盯上了他们。确保企业正在进行的流程是全面的,并使用定制的监视工作来支持补救,以防止进一步的风险,并检测可能遗漏的任何后门。
能否举例说明企业如何成功使用勒索软件协商服务来减轻勒索软件攻击的影响?
Aleem:我们的勒索软件谈判服务限制了对企业的损害,能够快速发现威胁并最终以更快的速度减少赎金。我们的调查提供了可以阻止威胁行为者的杠杆,最大限度地减少赎金或根本不支付任何费用的最佳结果。
我们将看到越来越多的运营技术(OT)攻击,在某些情况下,虚拟世界和物理世界都可能受到影响,因此需要支付赎金。例如,Sygnia公司与一家知名的全球制造公司开展合作,该公司是一个制造商集团的子公司,并且拥有多个OT生产环境。该公司遭受了来自PYSA或Mespinoza Ransomware勒索组织的攻击,网络攻击者对生产车间的服务程序进行了加密,导致工厂运营和客户交付暂停。对于这种规模的企业来说,任何日常运营的中断都可能造成150万至200万美元的损失。
该公司无法继续承受这样的损失,因此在现有工作流程的同时,Sygnia公司帮助调查和控制威胁,同时恢复并与威胁行为者进行谈判。我们的谈判专家团队找到了与威胁行为者建立信任和同理心的方法——更深入地了解勒索软件攻击的起源,以帮助我们的遏制团队确保他们针对的是正确的领域。
一旦我们发现了勒索软件攻击的入口点并发现了横向移动向量,我们就能够追踪到攻击的起源,并将其追踪到制造商集团内的另一家子公司。我们在供应链攻击中多次看到这种情况,企业内部团队为了提高效率而彼此共享系统,但他们却不知道,这也为威胁行为者提供了利用和传播攻击的途径。
Sygnia公司展示了我们的调查结果,并与两个法律团队分享了过滤之后的数据进行分析。在这种情况下,我们能够从我们的“安全岛”恢复环境,因此不必支付赎金。我们还修复了漏洞,以防止再次发生勒索软件攻击,并帮助制造商在最初的妥协之后两周内恢复这家工厂的全面运营。
可以解释一下勒索软件谈判服务如何与执法机构合作,以及这种合作如何使受害企业受益吗?
Aleem:在多个案例中,Sygnia公司的谈判小组与执法机构进行了广泛的合作。这主要是为了了解勒索软件攻击的范围,改进安全团队的工具、策略和过程(TTP),并争取关键时间以加快遏制过程。