和勒索软件谈判的7个最佳实践

有时候，公司会遭遇网络犯罪分子的赎金或勒索要求，以下内容可以为您提供恢复数据并保持声誉的最佳做法。

无论是通过勒索软件、数据窃取、分布式拒绝服务攻击(DDoS)攻击，还是基于《通用数据保护法规(GDPR)》的敲诈勒索，网络犯罪分子要求组织提供资金，以恢复其数据或继续业务运营的情况仍然频繁发生。当然，面对这种情况，最好的建议是不支付赎金。但是，当没有其他办法可行时，一些组织可能会觉得有必要在网络攻击期间与网络犯罪分子进行谈判。

不得不启动谈判程序的紧迫情况可能包括备份失败，犯罪分子握有最敏感的数据，或是受到的DDoS攻击规模足以摧毁您的系统等等。来自2015年一份较早的研究估计，多达30%的安全专业人员愿意通过谈判来获取他们的数据。但问题是，究竟应该由谁组织带头呢?又应该如何进行谈判呢?

Logicalis公司针对全球900名首席安全官进行的一项调查研究显示，72%的受访者将企业敲诈勒索和勒索软件列为“企业面临的最大风险”。另外，欧洲刑警组织也在其发布的《2018网络有组织犯罪威胁评估报告》中指出，网络勒索活动呈现了明显的增长趋势，且预计未来这种增长趋势还将持续。

数据有话说：支付赎金数据统计

美国联邦调查局(FBI)、英国国家犯罪局(NCA)以及大多数网络安全专家都建议受害企业不要支付赎金。因为支付赎金除了满足犯罪分子的欲望外，根本没有办法保证犯罪分子不会再次针对贵公司实施勒索攻击，相反地，支付赎金极有可能会变相鼓励犯罪分子对贵公司实施进一步的敲诈勒索活动。而且，根据您的行业、所在国家地区，以及您所支付的收款方，可能还会产生法律和监管方面的不利影响。

尽管如此，许多公司还是最终选择了支付赎金。根据CyberEdge Group公司针对全球1000家企业进行的一项调查研究发现，在遭受勒索攻击的企业中，大约有40%的公司支付了赎金，但结果，在这支付赎金的公司中，只有一半左右的公司最终拿回了自己的数据。而另外超过一半没有选择支付赎金的公司，最终也成功设法恢复了数据。

归根到底，组织机构应该为此类攻击做好防御准备，而不是支付赎金。老生常谈的“备份”问题仍然是遭受勒索攻击后恢复最快、损失最少的方法;加密敏感数据可以增加犯罪分子利用这些数据的难度;DDoS保护可以缓解这些攻击;满足GDPR合规性可以减少犯罪分子对贵公司声誉造成的损失;此外，围绕“网络钓鱼威胁”主题的用户安全意识培训项目也可以帮助进一步阻止犯罪分子进入您的网络。如果您已经尽了最大的努力，来防止赎金或其他敲诈勒索要求，但仍然宣告失败，那么请遵循下述最佳实践，准备与犯罪分子进行谈判：

1. 尽快与黑客沟通

即便您无意支付赎金，也可以通过谈判协商途径为组织获取更多的事件，来验证勒索通知中介绍的情况，识别泄露源，执行分类，并尝试从备份中解密或恢复受影响的系统。

常见的谈判方法或拖延策略包括解释没有可用资金，声称高级管理层不会批准这笔赎金，或者只是假装不懂如何购买和进行加密货币支付等等。

付款永远都是最后、最迫不得已的手段，但我们建议受害企业应该立即与黑客取得联系。

与犯罪分子沟通通常需要通过他们喜欢的媒介——通常是加密的电子邮件或加密的聊天服务等来完成，至于具体的联系方式通常都可以从最初的“勒索通知”中获取到。当然，也不排除有些勒索攻击会采取“撒网，然后祈祷”(spray and pray，即广泛部署勒索攻击，非针对性)的模式，这种攻击类型的“勒索通知”中通常除了比特币收款地址外，不会留下任何通信方式，但一些更复杂或有针对性的攻击会具备通信渠道。一些勒索软件变种甚至有客户服务代理。

同样重要的是要注意，除非该勒索攻击是专门针对您的公司，否则不要轻易透露自己的身份信息，因为攻击者很可能会进一步定位您的个人设备并实施针对您个人或家庭的勒索攻击。

大多数时候，沟通需要跨越时区、语言障碍以及技能娴熟程度的差距。如果事先没有计划好要问什么，以及如何回复可能出现的问题，只依靠翻译软件，可能很容易会丢失掉一些重要的细节信息。

2. 验证攻击者是否真的拥有您的数据，且有能力对其进行解密