近年来,越来越多的企业选择支付赎金,背后有许多驱动因素,然而,正如多位CISO所表达的那样,这一决定背后仍然存在道德上的顾虑,同时他们也提到自己在最终的勒索软件应对决策中影响有限。
在Proofpoint发布的《2024年CISO声音报告》中,勒索软件仍然是全球CISO们最为关注的问题之一。
更令人惊讶的是,CISO们对特定事件的应对方式表述:62%的人表示,他们的企业可能会支付赎金以恢复系统访问权限。
在预期采取这一行动的国家中,排在前三位的是沙特阿拉伯(83%)、加拿大(82%)和韩国(79%)。
这些数据可能令人震惊。企业通常对其他威胁行为者采取强硬态度,包括心怀不满的员工、企业间谍、黑客活动主义者和网络恐怖分子。
那么,为什么这么多企业愿意与勒索软件运营者谈判、采购并发送加密货币到指定地址,同时希望对方能够信守承诺呢?
我们与几位CISO探讨了在做出这一关键决策时涉及的因素,以及CISO在决定最终方案时所拥有的影响力。
计算遭受勒索软件攻击的直接和间接成本
澳大利亚托管服务提供商Enablis的CISO Leonard Kleinman表示,企业通常会基于成本收益分析来做出合作的决定。
“如果我们从非常基础的经济学角度来看,这只是一个成本与收益的方程式,”他说,“简单的分析告诉你应该将企业的年度收入价值——无论是什么情况——与遭受勒索软件攻击的成本进行比较。”
他提到了2021年5月的Colonial Pipeline事件并将其作为例子,这家美国燃料运输公司支付了相当于440万美元的比特币赎金,考虑到公司前一年收入达13亿美元,这只是一小部分,持续的运营中断将使公司损失更多。
新加坡零售商NTUC的CISO Derek Gooh提到2021年瑞士Kaseya的勒索软件攻击,指出不仅有直接的业务损失,还有恢复的机会成本。“如果你想象一下,重新恢复所有这些东西,从头开始重建机器——这需要时间。”他说。
从这个角度来看,支付赎金是一个诱人的选择。“但是如果你有恢复密钥,如果你有解密密钥,这可能只需3分钟的时间,”Gooh说,“你知道恶意软件还在里面,但至少有了密钥,你可以快速恢复,不需要关店。”
澳大利亚托管服务提供商MercuryIT的CISO Chris Haigh表示,关键行业可能有额外的动力来避免停机。
“想想医疗服务:大型医院服务于一个城市或单一城镇中心的地区——它成为了一项关键服务,所以这可能是他们决定冒险支付赎金的原因之一,因为他们无法承受所有这些服务下线的代价。”他说。
Ken Newton,美国一家风险调整解决方案提供商secondwave的CISO表示,当公司与网络保险公司打交道时,他们希望尽快减少损失。
“他们通常会允许支付赎金,尽管他们知道‘贼中无义’,但支付赎金后能让组织迅速恢复运营的案例有历史依据。”他说。
Enablis的Kleinman解释说,企业还必须考虑法律和监管责任——这些风险可能与任何财务后果交织在一起,尤其是对于大型公司。他举了一个例子:一个勒索软件运营者加密了一家公司的数据,并将此消息透露给公司上市的股票交易所。“‘哦,顺便说一下,你知道那边的Acme XYZ公司被加密了吗?’”他说。
Kleinman解释说,这是一个监管风险,因为上市公司必须进行持续披露,这对其股价有重要影响。如果勒索软件组织将消息传达给股票交易所,公司可能违反这一政策,从而面临进一步的监管审查和惩罚。
支付赎金的道德问题
如果支付赎金仅涉及成本收益分析,那么企业可能会100%服从勒索要求,然而,支付赎金的道德问题更加复杂,这为企业带来了额外的考虑因素。
secondwave的Newton表示,他的立场是不向勒索软件运营者支付赎金。“我考虑的是这些钱最终流向哪里。我考虑的是它资助了什么。”他说。
尽管所有的勒索软件运营者都是犯罪分子,但他们的最终目标各不相同。
MercuryIT的Haigh指出,一些勒索软件运营者甚至可能是被美国财政部等机构制裁的实体。
“我们已经看到,例如在英国、美国,甚至某种程度上在澳大利亚,政府已经明确表示,‘你需要意识到,如果你支付赎金而这笔钱流向了一个被制裁的实体,你可能会面临非常严重的法律诉讼惩罚。’”他说。
Kleinman补充说,大多数企业希望避免与这些犯罪组织打交道,因为如果他们这么做,可能会对外界造成负面印象。“他们通常希望能够告诉别人——无论是行业内的同行还是跨行业的其他公司——他们从道德和伦理的角度做了正确的事情。”他说。
此外,Kleinman和其他人认为,屈服于勒索要求会助长更多的恶意行为。
“不要支付赎金,因为这只会激励他们,”他说,“不要支付赎金,因为这实际上是在奖励和资助下一次攻击。”
Gooh提到了2024年4月新加坡一家律师事务所支付了180万新元赎金的例子,这导致当地政府不鼓励支付赎金。
“这很容易理解,对吧?我的意思是,如果新加坡的公司被认为在支付赎金方面有软肋,那么我们会受到更多的攻击,这可以说是一个恶性循环。”Gooh说。
然而,Kleinman迅速指出,组织在决定是否遵守当局建议时,并不是陷入一个非此即彼的困境,大多数当局确实不鼓励向勒索软件运营者支付赎金。
“如今,人们普遍理解,如果适当地与当局合作,他们可以帮助组织至少减轻一些挑战,比如损失和其他问题。”他说,“他们可能仍然会支付赎金,但这并不一定意味着只能选择其中之一。”
Haigh认为,公司绝不应该向勒索软件运营者支付赎金——而且政府应该考虑将这种行为定为非法。
“如果公司停止支付,短期内将会很痛苦。不幸的是,一些企业可能会倒闭……这是一个可怕的局面,”他说,“但这是唯一能够真正停止这种情况的方式。如果没有人支付赎金,那么为什么还要进行勒索软件攻击呢?实际上根本没有理由去做了。”
CISO是关键影响者
由于CISO的任务是确保组织的安全,人们可能会认为这位领导者在勒索软件攻击中是否支付赎金上拥有最终决定权。
“有趣的是:CISO并没有决定权,”Kleinman说道,他从同行那里了解到CISO在勒索软件攻击中的角色。
“我实际上是在与其他CISO讨论时学到的。我回答说,‘我不会支付。’然后,我非常尊敬的两位同行,一位是CISO,另一位是安全主管,他们都说,‘这不是我的决定。’”Kleinman说。
尽管CISO可能不是决策者,但他们仍然是对CEO或董事会具有重要影响力的人。在这个角色中,Kleinman表示,他会基于对生产、法律和监管责任以及收入损失的风险来建议不支付赎金。“我会讨论这四个风险,并尽量将它们与声誉风险联系起来。”他说。
Kleinman承认,他在这方面面临一场艰难的战斗。尽管遵守勒索软件运营者的要求曾经会带来负面的公众形象,但他认为这种情况不再如此。他表示,网络保险公司已经使赎金支付常态化。
“我认为,因为联邦机构甚至会提供帮助……确实有一些公司专门从事赎金谈判。这是他们唯一的任务,这就是为什么现在支付赎金带来的声誉损害不再像过去那么严重。”他补充道。
尽管如此,赎金支付的公开性可能会对此产生挑战。
另一个挑战是,CISO可能会在公司高管层中面临直接的反对意见。Haigh提到了2020年Toll Group的勒索软件攻击事件。
“他们遇到的最大问题是无法支付员工工资,几乎是每周或每两周一次。如果你不支付司机的工资,业务就会停摆,对吧?”Haigh说。“压力最大的人是CFO。他看到了公司陷入破产的可能性……我记得他们好像只能撑一个月。”
当一个组织面临破产风险时,大多数高管层成员都会倾向于支付赎金,以便能够继续运营。
“因为现在你谈论的是对公司而言本质上的生存威胁,而确保这种情况不发生是CEO、CFO和董事会的责任,所以这几乎形成了一种对立的局面。为了更大的利益,你不应该支付赎金,但从保持公司生存的直接角度来看,你应该支付,这是一个艰难的抉择。”他说。
利用第三方专家争取时间
为了做出最佳决策,企业应检查其数据是否可以从备份中恢复,以及网络保险是否涵盖在业务长期中断情况下的运营费用,这两点都可以为企业提供避免支付赎金的筹码。
随着勒索软件变得“更快、更聪明、更恶毒”,一些勒索软件运营者越来越多地威胁泄露数据,这可能促使企业采取额外的行动。“你需要使用第三方来搜寻暗网,找到数据,并能够要么取回它,要么将其删除。在这种情况下,这是你能做到的最好的应对措施。”他说。
这就是现代勒索软件的猫捉老鼠游戏。勒索软件运营者不断创新新的技术,以进一步加大对高管层和董事会支付赎金的压力。Kleinman表示,一些勒索软件运营者正瞄准那些可能对公司核心更有影响的信息。
“勒索软件运营者非常有创意。他们开始对许多高管、董事会高级成员进行网络暴力(doxing),这意味着他们会公开个人敏感数据——比如董事长或其他类似的高管,甚至他们的家人——以进一步激励支付赎金。”他说。
Kleinman指出,这一趋势与非加密勒索软件的兴起是一致的,这种威胁围绕数据泄露展开。
假设一家公司决定屈服于压力。在这种情况下,Gooh建议,他们应该考虑引入第三方专家与勒索软件运营者交涉,更重要的是,为寻找解密密钥(一些勒索软件变种的解密密钥是可用的)、与当局协调以及谈判更低的赎金争取时间。
Gooh表示,每家企业的事件响应计划都应包括这种专业帮助。“知道该做什么以及知道在这种情况下可以联系谁,肯定是公司需要为此做好准备的事情之一。”他说。
Newton表示,最终是否支付赎金的决定不由他作为CISO来承担,这让他感到松了一口气,但他仍然会强烈主张不支付赎金。
“如果有人问我是否会支付赎金,我会谈到其伦理问题。”他说,“而且有时候,遵循伦理是痛苦的,遵循道德是痛苦的。”