企业在勒索软件响应中常犯的10个错误

2021年5月7日，美国最大的燃油管道商Colonial Pipeline遭到勒索软件攻击，由于Colonial Pipeline负责美国东岸多达45%的燃料供应，因此该攻击事件导致该公司暂停了所有的管道作业网络，并于晚间关闭一条主要的燃料传输管道。

5月底，美国最大的牛肉生产商JBS USA也遭到了网络勒索攻击，致使美国和全球的相关企业工厂都被迫关闭。

本月初，勒索软件团伙通过远程补丁管理和监控软件 Kaseya VSA 对托管服务提供商（MSP）及其客户发起大规模供应链攻击，影响了全球一千多家企业，瑞典连锁超市Coop也被迫关闭了大约500家商店。

可以说，近几个月来，勒索软件攻击对于企业而言简直就像一场挥之不去的梦魇，也引起了公众的关注甚至立法者的注意。

美国一些政府官员就开始呼吁国会和政府禁止受害组织向威胁行为者支付赎金。此类禁令旨在将FBI的建议——不要向勒索软件攻击者付款，以免变相鼓励更多的此类行为——编成法典。

事实上，支付或不支付赎金一直是一个争论不休的问题。虽然大多数安全专家反对支付赎金，认为这等于是变相鼓励勒索犯罪的行为，但在某些情况下，支付赎金对于企业来说可能利大于弊。

Eze Castle Integration公司安全咨询主管Steven Schwartz表示，

每个人都知道应该对勒索说‘不’，但具体怎么做还要取决于现实情况。归根结底，企业需要业务恢复正常运行。Colonial 最终支付了近 500 万美元的赎金来解密其计算机。这实际上更像一个商业决策——他们需要让自己的管道恢复运行，不然带来的损失和后果都不堪设想。

遗憾的是，付款还只是在勒索软件攻击的胁迫下需要解决的众多问题之一。以下是组织在勒索软件响应方面常犯的一些错误：

错误1：未能遏制恶意软件

许多组织开始关注如何在采取必要步骤确保恶意软件不会进一步传播之前恢复加密数据。

Schwartz表示，

企业组织做错的第一件事就是没有确保他们完全根除原始攻击媒介，并对其开始的根本原因进行分析及确认其没有进一步扩散。您必须确保清理了自己的系统环境，以免二次沦为同一攻击的受害者并面临支付双重赎金的风险。

错误2：缺乏可靠的响应计划

企业组织应该在攻击发生之前尽早制定事件响应计划，并涵盖安全团队在发现攻击后应该立即采取的步骤。它也应该召集需要联系的必要利益相关者。

Digital Guardian公司CISO兼托管安全服务副总裁Tim Bandos称，

缺乏正式的事件响应流程会导致安全团队做出很多下意识的决定，这会让事情变得更糟。没有任何组织可以免受勒索软件攻击，因此做好准备至关重要。

错误3：备份位置不当

勒索软件团伙越来越多地在网络中移动，以在部署恶意软件之前查找备份并销毁它们。如果您的备份存储不当，那几乎可以等同于没有备份。

Bando表示，企业组织自信地认为，他们可以从备份中恢复所有数据而无需支付高额赎金。考虑到备份需要在异地存储且不连接到网络，所以不会受到感染，但不幸的是，情况并非总是如此。由于备份位置不当而无法恢复数据的案例比比皆是。除此之外，即便是备份完好无损，想要恢复所有数据也可能需要花费很长时间，由此造成的经济损失同样不容小觑。

错误4：谈判失误

与是否支付赎金一样，是否协商赎金的费用也是一个争论点。

NTT Data Services安全服务副总裁Sushila Nair表示，如果一个组织决定支付赎金，那么他们绝对应该去协商价格。情报公司Intel471数据显示，Darkside勒索软件受害者就曾将勒索赎金从3000万美元谈到了1400万美元。

然而，Digital Guardian公司的Bandos并不提倡谈判。他说，

我们在历史上已经看到，试图就解密密钥的支付价格进行谈判会适得其反。这可能导致勒索软件运营商将其价格提高至初始金额的两倍。我建议避免谈判或至少聘请专门处理此类情况的第三方公司，毕竟专业人做专业事。

错误5：单独行动

正如Digital Guardian的Baldos 所说，寻求帮助总是最好的。虽然一些组织可能具备独立处理攻击的能力，但大多数组织应该选择与第三方事件响应提供商合作。

Secureworks公司情报总监Mike McLellan补充道，

除非您拥有非常成熟的响应流程和庞大的安全团队，否则应对攻击可能会非常困难。我们始终建议您与经验丰富的事件响应提供商合作，因为这些提供商可能已经处理过数十甚至数百起此类事件，能够更好、更快地帮您应对危机。

布朗大学计算机科学教授Ernesto Zaldivar 表示，勒索软件攻击需要专门的帮助——尤其是为了防止未来的攻击。攻击者很可能带着不同的勒索软件和更高的赎金要求再次攻击您的企业系统。访问您的数据也许并没有你想象中困难。从长远来看，修复您的系统并增强防御能力是成功克服勒索软件攻击必不可缺的步骤。

错误6：忽略执法部门

除了引入专门的事件响应提供商外，组织还应该寻求执法部门和相关机构的帮助。

Vigilante情报总监Adam Darrah表示，这些调查人员不仅可以协助对受感染机器进行成像，而且他们还可以使用解密工具、必要的加密货币来促进支付，或使用其他技术和资源来恢复加密信息。企业组织通过与执法部门合作，可能能够帮助他们追踪勒索软件运营商的踪迹，并最终将其绳之以法。

错误7：等待太久才给保险公司打电话

事件发生后，请务必第一时间就让您的保险公司参与其中。Aiven 公司CISO James Arlen称，“如果您买了网络保险并且在事件发生后又没有打电话让他们参与其中，但是后来又找他们理赔，很显然，您违反了保险政策，最终可能一分钱也得不到。让您的保险提供商第一时间参与其中，他们可能会优先选择由谁对事件进行处理以及如何处理，而此时您只需要跟随他们的指示。”

错误8：屈服于害怕和恐慌情绪

虽然在处理勒索软件攻击后果的过程中，必然会有一段肾上腺素飙升的时期，但尽可能保持冷静将会有所帮助。

德勤风险与财务咨询公司网络事件响应团队的咨询高级经理Wayne Johnson表示，

当组织响应勒索软件攻击时，我们看到的最常见的错误可能就是在事件发生时屈服于恐惧情绪，而不是坚持计划好的事件响应流程。遵循组织准备好的事件响应计划并限制临时反应，有助于组织更有效地做出响应，进而恢复正常的业务运营。

错误 9：花费宝贵的时间寻找解密密钥

很多安全专家认为，在网上寻找解密密钥完全是在浪费事件。还有一部分人则认为找到有用信息的机会并非不存在，只是很小。

Cyberbit公司网络靶场技术培训师Wayne Pruitt表示，

网上有一些解密工具，例如‘No More Ransomware Project’，但是这些都适用于密钥可用的已知勒索软件。大多数勒索软件攻击都使用带有公钥或私钥的非对称加密。这些密钥通常是特定于目标而设置的，并且一个组织的解密密钥与另一个组织不同。找到贵组织需要的解密密钥的机会可以说微乎其微。如果您使用错误的密钥尝试解密工具，还可能会损坏文件导致无法恢复。

错误10：没有从事件中吸取经验

一旦经历过攻击，回过头来找出您的安全漏洞所在是至关重要的。您是否已经制定了合适的响应计划？如果没有，请从经验中学习并制定一个。这有助于高管和IT审查响应并为此类事件做好准备。

企业组织可以通过模拟演练，不断改进自身响应计划，这样一来，当不可思议的事情发生时，组织才能做好更万全的准备。相反地，忽视确定攻击的根本原因或入口向量将在未来继续为攻击者提供后门。

Eze Castle Integration公司的Schwartz表示，

确定您是否拥有易受攻击的远程桌面服务器或特权帐户凭据是否已泄露非常重要。如果您想阻止攻击者在网络中的存在，这些项目必须成为您补救计划的一部分。