“贵公司的网络已被入侵。”这个文本文件的开头写道。这是一封勒索信–但与索要现金、以保亲人平安归来的勒索信不同,它要求一家美国制造商用数字资金换回本属于该公司的数据。这家公司是众多遭受勒索软件(Ransomware)攻击的企业之一。勒索软件攻击是指黑客通过勒索软件锁死受害者电脑的文件或系统,只有在受害者支付赎金后才会交出解密密钥。在这家美国制造商收到的勒索信上,黑客留下的签名是:“没有任何系统是安全的。”
他们说得或许没错。企业日益依赖技术和数据,而匿名数字货币的发展让犯罪分子可以在无法被追踪的状态下转移资金,这两个因素促使勒索软件攻击兴起。那么,如果一家企业遭到了黑客攻击,它该怎么做呢?黑客掌控了你的数据并勒索赎金。该怎么办?
企业必须迅速行动,确定可能造成的损失。勒索软件攻击有不同的类型–有些更具破坏性–索要的赎金从仅仅几百美元到数百万美元不等。造成最严重损失的一类攻击通常是还会感染包括备份数据在内的整个系统的新型病毒。专家表示,企业应评估有无可能在不向黑客支付赎金的情况下缓解问题。例如,能通过从备份源恢复数据来解决问题吗?安全专家能够“反黑”或者尝试解密数据吗?
关于是否支付赎金–美国联邦调查局(FBI)不建议支付赎金–这个决定涉及评估拒绝支付带来的经济损失,以及评估支付赎金却要不回公司数据的风险。网络安全保险公司Coalition联合创始人兼首席执行官乔舒亚•莫塔(Joshua Motta)表示:“支付赎金向来都是没有办法的办法。但有时它们面临的是一个关乎存亡的决定–支付赎金,还是从此不复存在?”Coalition的客户包括地产代理商、牙科诊所和地方政府。莫塔表示,他的公司平均每周为客户处理12起勒索案件,其中80%的客户选择与黑客谈判,10%选择恢复最新的备份数据,10%选择放弃数据。
黑客提出赎金要求后,企业可以聘请有处理此类危机专长的公司,或者预付费用给它们,让它们准备好在攻击发生时立即采取行动。派拓网络(Palo Alto Networks)Unit 42团队威胁情报副主管珍•米勒-奥斯本(Jen Miller-Osborn)表示:“如果受害组织无法自行修复系统,或者没有应对勒索软件的现成计划,那么请专业人士来帮忙总是一个好主意。”另一个选择是尽早让执法部门介入,但必须权衡以下两点–可能向公众公开该事件带来的后果,与执法部门能提供的资源和专业知识。
如何展开谈判?通常是通过电子邮件,而黑客会使用无法追踪的邮件账户。专家表示,企业应该要求黑客提供数字版的“人质活着的证据”(类似于让绑架者提供一张人质手持一份有日期的报纸的照片)。在勒索软件攻击案中,这意味着让攻击者允许受害企业解密一部分被劫持的文件。
网络安全公司Lastline的全球威胁情报主管理查德•亨德森(Richard Henderson)表示:“要求他们向你证明他们能够给文件或电脑解密,以表诚意。”他补充说:“如果他们拒绝,这很可能意味着他们无法做到。曾经有过不少案例,攻击者完全是在向企业撒谎……他们根本就(已经)清除了所有(数据),却试图说服受害者相信他们可以把(数据)弄回来。”
说到谈判风格,第三方专家或许能发现他们以前遇到过的作案者,从而获知与对方谈判是否容易。莫塔指出:“采取强硬态度可能适得其反。”他的建议是“利用时间作为楔子”–例如,向对方说你可以全额支付赎金,但需要很多时间–但如果他们想立刻拿到赎金,你可以先支付一部分。他表示:“对于犯罪分子而言,拿到一些总比空手而归强……他们是批量进行攻击的。”
交付赎金是怎样的过程?并不像犯罪题材电影里那么戏剧化。大多数情况下,受害企业将虚拟货币发送至一个匿名数字钱包进行支付,不过专家也指出了一些难以追踪的支付方法,如礼品卡。大多数公司的资产负债表上都没有加密货币,因此它们可能希望设立一只基金以防万一,或者请第三方这样做。
如何防止再次遭到黑客攻击?挫败潜在攻击的第一步是给公司的软件打补丁–换句话说,就是确保公司软件安装好最新的补丁升级程序。另一种方法是备份公司文件,并将它们与现有数据隔离开。博思艾伦(Booz Allen)美国商业事故响应小组负责人杰里•贝塞特(Jerry Bessette)表示:“需要有一个完整的备份程序,在物理上和逻辑上都与网络分离,并且要经常进行测试。”企业可能还希望设想一种最坏的情景,并定期进行压力测试,以确保应对方案可行。
咨询公司Telstra Purple负责网络安全的全球主管罗布•鲁宾逊(Rob Robinson)表示:“理想的情形是,一个组织应在任何勒索软件事件发生之前,出资拟定一项重大事故响应方案,方案应针对不同情景,明确界定相应的角色和职责。”(转载自FT中文网)
