在過去的十年里，黑客索要的贖金的平均價值從數百美元上升到數十萬美元——在某些情況下甚至達到數百萬美元。隨著監管要求日益嚴格，CISO因未報告違規行為而被起訴，勒索軟件攻擊的風險越來越高。專家表示，企業可以通過制定事件應對計劃、改善網絡安全態勢，以及投資于數據和基礎設施的強大備份，從一開始就避免陷入這種情況。

2018年，Coalition的事件響應主管Shelley Ma正在與一家剛剛受到勒索軟件攻擊的公司的高管和技術團隊交談。勒索軟件攻擊使該公司陷入停頓，贖金為20萬美元。Shelley Ma回憶道：“首席執行官說，‘我每天損失100萬美元。20萬美元對我來說是小菜一碟。那就支付贖金吧——支付贖金就行了。’”

2015年，當她第一次開始處理勒索軟件時，大多數公司都支付了贖金，贖金通常只有幾百美元。隨著時間的推移，數額變得更大了，現在變得過高了，她說。“我們很少看到贖金超過30萬美元。大多數都是六位數，或者是七位數或八位數。

根據Coverware 7月份發布的一份報告，支付的贖金平均金額已上升至740000美元以上，與2023年第一季度相比增長了126%，因為攻擊者已開始將目標對準較大的企業，試圖勒索更多的贖金。根據NCC的最新數據，勒索軟件攻擊在2023年6月達到了創紀錄的水平，比前一年同期增加了221%。

也有一些好消息，根據Coverware的數據，受害者付出代價的勒索軟件攻擊的比例降至34%的創紀錄低點，這是因為公司一直在制定事件響應計劃，改善其網絡安全態勢，并投資于數據和基礎設施的強大備份。

企業選擇支付贖金的原因

公司支付贖金給網絡犯罪分子有兩個主要原因，第一個原因是他們沒有任何方法自己從勒索軟件攻擊中恢復，恢復將需要太多時間。網絡災難恢復公司Fenix24的聯合創始人希思·倫弗羅表示：“在我們的一個案例中，一家醫療設備制造商告訴我們，如果情況沒有顯著變化，他們再過幾天就必須發出2000多份裁員通知。”

他說，在支付了贖金后，他們能夠恢復足夠的數據和系統，以至于首席執行官取消了裁員。他說：“我們合作過的大多數公司——過去15個月里有200多家公司——如果不支付贖金，就不得不關門。”“雖然我們不一定主張支付贖金，但我們明白，這確實是一個商業決定，撇開支付贖金的道德不談，這是一個艱難的境地，因為許多人的生計，有時還有生命和關鍵基礎設施，都岌岌可危。”

公司支付贖金的第二個主要原因是犯罪分子威脅要泄露敏感數據。Rubrik的Zero實驗室負責人Steve Stone曾與許多遭受勒索軟件攻擊的客戶合作過，有時數據非常敏感，因此無論降低多少數據泄露的風險，都是值得的。他說：“一些企業已經支付了贖金，試圖保護數據，即使這意味著數據仍有被泄露的可能性。”

當然，你不能相信壞人會信守諾言，這些數據仍然可以通過秘密渠道出售，即使它不被丟棄在黑暗的網絡上，而且，無論攻擊者是否公布被盜數據，這仍然被算作入侵，受害者仍然需要得到通知。如果數據足夠關鍵，一家公司可能會覺得它必須盡其所能防止數據泄露。考慮到所有的回收成本，一些公司可能還會認為支付贖金可能會為他們節省資金。

實際情況可能并非如此，根據IBM在2023年7月下旬發布的一份報告，2023年，沒有支付贖金的公司遭受勒索軟件攻擊的全球平均成本為517萬美元。支付贖金的公司只將總成本略微降低，降至506萬美元，僅節省11萬美元，這通常會被贖金本身的成本抵消。以下三種策略可以幫助CISO降低遭受勒索軟件攻擊的風險和影響：

創建事件響應攻略

避免勒索軟件攻擊的第一步是創建一個計劃，無論你是否預期過自己是潛在目標——假設這更多的是一個問題，即你何時會受到勒索軟件攻擊，而不是如果。根據Vanson Bourne最近代表梭魚進行的一份報告，在2022年，73%的公司受到了至少一次成功的勒索軟件攻擊。

在沒有事件應對計劃的情況下，公司通常會感到恐慌，不知道該給誰打電話，也不知道該怎么辦，這可能會讓支付贖金看起來像是最容易的出路。然而，有了計劃，人們知道該做什么，理想情況下，他們已經提前實施了計劃，以確保災難恢復措施以他們應該采取的方式工作。

事件響應計劃應包括明確的角色和職責、通信協議和恢復策略。根據帕洛阿爾托的2023年勒索軟件和勒索報告，勒索軟件受害者應該準備好應對數據和系統加密、數據盜竊。

涉及數據盜竊的勒索軟件攻擊的比例從2021年的40%上升到2022年末的70%。事件響應計劃不僅應該包括從勒索軟件加密中恢復的措施和處理泄露數據威脅的協議，還應該包括在員工或客戶受到影響的情況下怎么辦。

例如，攻擊者可能會給公司高管和員工打電話并留下語音郵件，發送電子郵件，并在泄密網站或社交媒體上泄露受害者的身份。這些策略旨在增加決策者的壓力。一般來說，能夠從勒索軟件攻擊中恢復最快的公司是那些制定了事件響應計劃并提前實施的公司。幸運的是，整個行業在這方面一直在變得更好，Shelley Ma說。“總體來說，事故響應出現了顯著增長。”

測試該計劃至關重要，因為從紙面上落實到工作的過程在實踐中往往會失敗。例如，Shelley Ma遇到過這樣的情況：公司有備份，但它們無效或無法訪問，或者沒有以公司可以使用它們進行快速災難恢復的方式進行設置。發現自己處于這種情況的公司可能會恐慌，最終決定支付贖金。

在恢復被勒索軟件破壞的復雜系統時，解密工具往往會失敗。“即使你能夠解密你的整個數據集，也很難讓復雜的配置恢復并像事故發生前那樣運行。” Shelley Ma說。

實施多層次網絡安全

對于大多數公司來說，專注于基本的網絡安全衛生是降低勒索軟件風險的最快方式。“(網絡安全行業的)目標不是讓我們的網絡無法穿透，”IDC負責安全和信任研究實踐的集團副總裁弗蘭克·迪克森(Frank Dickson)表示。“這是為了將防御工作提升到這樣一個程度，即穿透它們不再有利可圖。”

根據IDC在6月進行的一項調查，沒有出現勒索軟件漏洞的公司通常使用五項關鍵安全技術中的一部分或全部：終端檢測和響應(EDR)、云安全網關或云訪問安全代理(CASB)、安全信息和事件管理(SIEM)系統、身份分析或用戶和實體行為分析(UEBA)以及網絡檢測和響應(NDR)。

擁有多層防御，以及設置多因素身份驗證和數據加密，是網絡安全的基礎，但許多公司仍然犯下了錯誤。Steve Stone最近與一家在網絡安全方面投入巨資的教育組織合作。當他們受到勒索軟件的攻擊時，他們能夠將操作轉移到離線備份。然后攻擊者提高了他們的要求——如果該企業不支付贖金，他們的數據將被在網上泄露。

“該企業為加密事件做好了充分的準備，但沒有為第二筆贖金做好準備，” Steve Stone說。“有一些實際的敏感數據可能會引發一系列監管合規行動。”

該公司不希望看到數據泄露，但他們也不相信攻擊者會信守承諾。“這個企業選擇做的也不是支付第二筆贖金。” Steve Stone說。取而代之的是，在攻擊者等待答案的同時，該企業通知了受害者這次入侵事件。到數據泄露到網上時，他們已經完成了通知行動。

這次攻擊暴露了該公司防御戰略中的兩個主要弱點。首先，他們的事件應對策略沒有涵蓋第二起敲詐勒索事件。其次，他們沒有加密他們的敏感數據。之后，他們回去修改他們的戰略，從他們的應對策略開始。“我們如何在這方面做得更好?我們如何降低風險?我們下一次怎么做才能有所不同呢?這也導致他們對敏感數據進行加密。

安全控制奏效了，多年來，公司在保護自己方面變得更好了。Rubrik對企業進行了安全評估，Steve Stone說，去年這一得分上升了16%，每個地區和每個行業都有所改善。有了適當的措施，公司可以減少成功攻擊的數量和嚴重程度，并在受到攻擊后迅速恢復運行。“歸根結底是成本問題，”Omdia分析師亞當·斯特蘭奇說。“企業只是沒有足夠的預算，無法讓自己處于安全的地位。”

長期以來，數據一直被視為企業中最重要的資產之一。“但我們保護它的方式真的是令人遺憾的。”他說。如果一個企業因為無法訪問其數據而走向滅亡，那么它需要更多地考慮如何保護其數據。他補充說，只有隨著GDPR和CCPA的出現，數據安全才逐漸成為一門獨立的領域。

投資于強大的備份

當勒索軟件攻擊者在企業中站穩腳跟時，他們有兩個主要目標：獲取有價值的數據和備份。“最好的情況是備份在云中，并且與主網絡完全斷開連接。” Shelley Ma說。以及磁帶備份，通常運行頻率較低，但完全隔離且無法通過Internet訪問。

如果攻擊者獲得了域憑據的訪問權限，他們應該也無法訪問備份。“如果備份需要第二組身份驗證，它們就會受到更多的保護。” Shelley Ma說。

另一種備份策略是不可覆蓋或擦除的不變備份。“一些較大的公司確實實施了這一點。但對于中小型公司來說，不變備份的話題不會出現在董事會會議室里。他們仍然依賴2016年的備份技術——這在當今時代還不夠好。“她說。

Rubrik最近對數千家來自客戶和非客戶環境的企業進行了分析，99%的企業在受到勒索軟件攻擊時都有數據備份，但93%的公司在使用這些備份來恢復丟失的數據時也遇到了重大挑戰。“要么沒有足夠的數據存儲，要么沒有足夠的專業知識，或者他們環境的一部分沒有得到充分的覆蓋。” Steve Stone說。此外，他補充說，在73%的事件中，攻擊者在訪問備份方面取得了一些成功。

如果備份沒有得到適當的保護，攻擊者就能夠刪除備份或使用泄露的憑據訪問管理面板。如果備份失敗或被攻擊者刪除，支付贖金似乎是唯一的出路。但是，根據Rubrik的報告，只有16%的企業在支付贖金后恢復了所有數據。

原因是什么呢?勒索軟件團伙不太擅長于解密工具，也沒有特別的動機。

根據Steve Stone的說法，今天的勒索軟件攻擊很少是由單一組織實施的。相反，這是一個攻擊生態系統。一個參與者發現了將他們帶入環境的脆弱性，另一個人植入了勒索軟件，第三個會竊取數據，然后轉賣，其他人使用竊取的憑據發動更多攻擊，其他行為者可能會使用相同的訪問路徑來植入加密礦工或更多勒索軟件。

Steve Stone說：“一次入侵涉及多個威脅因素，這并不少見。”

因此，根據Barracuda的數據，38%的組織報告在2022年成功實施了兩次或更多勒索軟件攻擊，而2019年這一比例不到20%，這一點也就不足為奇了。里德·史密斯技術和數據業務合伙人凱瑟琳·卡斯塔爾多表示：“你可以成為罪犯的年金，因為他們可以繼續索要更多的錢。”“我們已經看到了這種情況，特別是在醫院和律師事務所等敏感領域。”

那些因為認為自己不會被勒索軟件攻擊而避免投資于多層安全、強加密、多因素身份驗證和強大備份的公司，或者如果受到勒索軟件攻擊，只需支付贖金并重返工作崗位會更便宜的公司，都活在過去。這一策略可能在2013年奏效，當時勒索軟件攻擊很少，勒索金額很小，但這在今天行不通了。