当涉及到勒索软件，你的公司应该付钱吗?

今年早些时候，殖民管道公司付给黑客440万美元赎金尽管美国联邦调查局(FBI)和国土安全部(Department of Homeland Security)建议各公司避免支付赎金，该公司还是使用了一种恢复石油业务的解密工具。这位首席执行官后来在美国国会作证说，这一决定是由于对美国燃料供应的削弱影响所致，但这一解决方案仍然存在争议。

这就引出了一个问题:如果您的组织受到了ransomware攻击？你会——也应该——付钱去取回数据或恢复系统吗?

“决定是否支付赎金是一个艰难的决定，必须在董事会层面谨慎做出，而不是由安全和风险负责人做出，”他表示马克哈里斯， Gartner的高级总监分析师。“了解付费后会发生什么是做出决定的关键。”

立即下载:如何防范勒索软件攻击

如果你付钱会发生什么?

理论上讲，如果机构支付赎金，攻击者就会提供一个解密工具，并撤回发布被盗数据的威胁。然而，付费并不能保证所有的数据都能恢复。高管们需要仔细考虑勒索软件的现实情况，包括:

• 平均而言,只有65%的数据被恢复，只有8%的机构能够恢复所有数据。
• 加密文件通常是不可恢复的。攻击者提供的解密程序可能会崩溃或失败。您可能需要通过从攻击者提供的工具中提取密钥来构建一个新的解密工具。
• 恢复数据可能需要数周的时间，特别是在大量数据被加密的情况下。
• 无法保证黑客会删除窃取的数据。如果这些信息有价值，他们可以在以后出售或披露。

勒索软件的现实

勒索软件对网络罪犯来说是一种可持续的、利润丰厚的商业模式，它将所有使用技术的组织置于风险之中。在许多情况下，支付赎金比从备份中恢复更容易、更便宜。但支持攻击者的商业模式只会导致更多的勒索软件。

执法机构建议不要付钱，因为这样做会鼓励犯罪活动继续进行。在某些情况下，支付赎金甚至可能是非法的，因为它为犯罪活动提供了资金。

我们建议在与攻击者谈判之前，与专业事件应对团队、执法和监管机构进行接洽。

听:如何防范勒索软件攻击

现在准备

组织不能100%防止勒索软件攻击。你能做的最好的事情是假设你会被击中，并制定适当的计划来实现快速反应。

这包括演练当攻击发生时会发生什么。这样做可能会发现意料之外的问题区域。例如，一个组织发现写一份关于攻击的新闻稿比预期的要长得多，这突出了事先写好声明的必要性。

加强所有关键业务的备份和测试恢复也很重要。假设备份工作，假设恢复的成本总是小于为不确定的结果支付的赎金。

“不幸的是，大多数组织第一次测试恢复是在他们受到勒索软件攻击之后，”Harris说。

此外，确保高管们充分了解这个主题，并参与决策。他们对风险了解得越多，就越能做好准备，做出决定，并在审查面前证明自己的合理性。

将勒索软件视为商业决策。如果问题在整个组织中可见，那么即使您确实受到打击，也不会有太多意外。这将平滑响应中的所有操作，包括决定是否应该付费。