执法部门鼓励企业不要支付勒索赎金,但专家称这并不容易实现,毕竟在勒索软件恢复期间会产生业务中断。
如今,很多企业仍能感受到像WannaCry、NotPetya这样的勒索软件带来的影响,一旦中招恢复是非常困难的。
在调查NotPeyta攻击几周后,FedEx承认其TNT部门仍旧依赖手工操作,因为恢复工作尚未完全完成。在近期2017年Q2财报中,Merck表示6月27日发生的攻击对数字造成了影响(当天NotPetya开始传播),尽管公司并未具体说明是什么样的攻击。
8月28日财报称公司仍旧“处在恢复制造业务中”。Merck称其“并不了解破坏的影响程度”,这样做是为了反映“公司制造业务的状态,并计划为其修复计划预留相关的运营和潜在成本”。
Neustar Security Solutions产品管理总监Chris Roosenraad表示,如果正视成本的话,服务中断的成本“远超勒索赎金”。
“所有IT人员、内部或外部的调查人员、公共关系团队和律师要随时待命,以防事情公开。”Roosenraad称,“无论你是否支付,依然要花费这些费用。”
Core Security高级威胁研究员Willis McDonald表示,他理解为什么企业可能会最终选择支付赎金。
“从商业的角度来看,即使一个企业有固定的备份,支付赎金也能够讲得通,毕竟协调和传输备份数据所需的人力成本可以很容易地超过支付赎金并分发解密密钥或二进制文件。大多数企业选择支付赎金是因为要考虑重新创建或恢复操作和数据的成本,当然这是在假设攻击者能够恢复数据的前提下。”
Digital Shadows战略副总裁Rick Holland表示,即使企业具备有效的灾难恢复计划和数据备份,修复勒索软件带来的影响也很困难。
“备份是实时快照,在最后一次备份和勒索加密之间有丢失数据或传输包的可能,如果应用程序离线超过几个小时,其造成的收入损失明显要高于支付赎金的费用,“Holland表示。
Versive网络安全服务总监Jason Kichen表示,从数据备份进行恢复的传统方式变得不再有用。
支付赎金的问题
尽管成本考虑会导致支付赎金,但专家们表示,这并非一个直截了当的恢复计划。
“如果决定支付,企业应该计算一下能够获取解密密钥的可能性,并让公关团队参与到最终决策中。
SiteLock首席安全分析师Weston Henry表示,支付赎金并不能为数据恢复提供保障,企业应制定更好的长期勒索软件恢复计划。
Henry表示,“修复及损失的短期成本可能超过支付赎金,但长远来看,一个安全的网络和可靠的数据恢复是非常有益的。“即便是支付赎金也不能保证企业一定能够恢复数据。”
Virsec营销副总裁Willy Leichter表示,支付赎金并非解决问题的办法,“一个强大的备份系统是目前为止最好的方式,但如果数据丢失,企业可能要面临法律诉讼的风险。”
Holland表示支付赎金也可能导致网络安全保险失效,“如今保险承销商对网络政策把控更加严格,支付赎金大有可能开其不履行承保义务的先河”。
