当涉及勒索软件时，你的公司应该付钱吗?

今年早些时候，殖民管道公司向黑客支付了440万美元赎金尽管联邦调查局和国土安全部建议公司避免支付赎金，但该公司还是使用了一种可以恢复石油运营的解密工具。这位首席执行官后来在美国国会作证说，对该国燃料供应的破坏性影响推动了这一决定，但这仍然是一个有争议的解决方案。

这就引出了一个问题:如果您的组织受到网络攻击，该怎么办ransomware攻击吗?你会——也应该——为找回数据或恢复系统而付费吗?

“决定是否支付赎金是一个艰难的决定，必须在董事会层面慎重做出，而不是由安全和风险负责人做出，”他说马克哈里斯高德纳公司高级董事分析师。“了解付费后会发生什么是做出决定的关键。”

立即下载:如何防范勒索软件攻击

如果你付钱了会怎么样?

从理论上讲，如果组织支付赎金，攻击者将提供解密工具，并撤回发布被盗数据的威胁。然而，付费并不能保证所有数据都能恢复。高管们需要仔细考虑勒索软件的现实情况，包括:

• 平均而言,只有65%的数据被恢复，只有8%的组织能够恢复所有数据。
• 加密文件通常是不可恢复的。攻击者提供的解密器可能崩溃或失败。您可能需要通过从攻击者提供的工具中提取密钥来构建一个新的解密工具。
• 恢复数据可能需要数周的时间，特别是在大量数据已加密的情况下。
• 不能保证黑客会删除窃取的数据。如果这些信息有价值，他们可以稍后出售或披露。

勒索软件的现实

勒索软件对网络犯罪分子来说是一种可持续的、有利可图的商业模式，它使每个使用技术的组织都面临风险。在许多情况下，支付赎金比从备份中恢复更容易、更便宜。但支持攻击者的商业模式只会导致更多的勒索软件。

执法机构建议不要付钱，因为这样做会鼓励继续犯罪活动。在某些情况下，支付赎金甚至可能是非法的，因为它为犯罪活动提供了资金。

我们建议在与攻击者谈判之前，与专业的事件响应团队、执法机构和监管机构接触。

听:如何防范勒索软件攻击

现在准备

组织不能100%防止勒索软件攻击。你能做的最好的事情就是假设你会被击中，并制定计划，以便快速做出反应。

这包括演练当攻击发生时会发生什么。这样做可能会发现意想不到的问题领域。例如，一个组织发现，写一篇关于攻击的新闻稿所需的时间比预期的要长得多，这突出表明了事先写好声明的必要性。

在所有关键业务上加强备份和测试恢复也很重要。假设备份有效，假设恢复的成本总是小于为不确定的结果支付的赎金。

“不幸的是，大多数组织第一次测试恢复是在他们受到勒索软件的攻击之后，”Harris说。

此外，确保高管们充分了解这个话题，并参与决策。他们对风险了解得越多，就越能做好准备，在面对审查时做出决定，并为其辩护。

将勒索软件视为一项商业决策。如果问题在整个组织中都是可见的，那么即使遇到问题，也不会有太多意外。这将平滑响应中的所有行为，包括决定你是否应该付钱。