2021年10月10日
2021年10月10日
贡献:苏珊摩尔
这是一个艰难的决定,但做好准备很有帮助。
今年早些时候,殖民管道公司付给黑客440万美元赎金尽管美国联邦调查局(FBI)和国土安全部(Department of Homeland Security)建议各公司避免支付赎金,该公司还是使用了一种恢复石油业务的解密工具。这位首席执行官后来在美国国会作证说,这一决定是由于对美国燃料供应的削弱影响所致,但这一解决方案仍然存在争议。
这就引出了一个问题:如果您的组织受到了ransomware攻击?你会——也应该——付钱去取回数据或恢复系统吗?
“决定是否支付赎金是一个艰难的决定,必须在董事会层面谨慎做出,而不是由安全和风险负责人做出,”他表示马克哈里斯, Gartner的高级总监分析师。“了解付费后会发生什么是做出决定的关键。”
立即下载:如何防范勒索软件攻击
理论上讲,如果机构支付赎金,攻击者就会提供一个解密工具,并撤回发布被盗数据的威胁。然而,付费并不能保证所有的数据都能恢复。高管们需要仔细考虑勒索软件的现实情况,包括:
勒索软件对网络罪犯来说是一种可持续的、利润丰厚的商业模式,它将所有使用技术的组织置于风险之中。在许多情况下,支付赎金比从备份中恢复更容易、更便宜。但支持攻击者的商业模式只会导致更多的勒索软件。
执法机构建议不要付钱,因为这样做会鼓励犯罪活动继续进行。在某些情况下,支付赎金甚至可能是非法的,因为它为犯罪活动提供了资金。
我们建议在与攻击者谈判之前,与专业事件应对团队、执法和监管机构进行接洽。
组织不能100%防止勒索软件攻击。你能做的最好的事情是假设你会被击中,并制定适当的计划来实现快速反应。
这包括演练当攻击发生时会发生什么。这样做可能会发现意料之外的问题区域。例如,一个组织发现写一份关于攻击的新闻稿比预期的要长得多,这突出了事先写好声明的必要性。
加强所有关键业务的备份和测试恢复也很重要。假设备份工作,假设恢复的成本总是小于为不确定的结果支付的赎金。
“不幸的是,大多数组织第一次测试恢复是在他们受到勒索软件攻击之后,”Harris说。
此外,确保高管们充分了解这个主题,并参与决策。他们对风险了解得越多,就越能做好准备,做出决定,并在审查面前证明自己的合理性。
将勒索软件视为商业决策。如果问题在整个组织中可见,那么即使您确实受到打击,也不会有太多意外。这将平滑响应中的所有操作,包括决定是否应该付费。
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
*注意,有些文档可能不是所有Gartner客户都可以使用的。