面对勒索到底该不该付赎金？

在探讨勒索软件的成本时，澳大利亚管理服务提供商Enablis的CISO Leonard Kleinman指出，企业合作决策往往根植于成本效益的深入考量。“从经济学的基础视角来看，这本质上是一个成本与收益之间的权衡问题。通过简单的分析，我们需要将公司每年的收入价值与潜在的勒索软件成本进行对比。”

Kleinman以2021年5月科洛尼尔管道公司遭受的攻击为例，指出该公司支付了约440万美元的比特币赎金，对于其前一年高达13亿美元的收入而言，这仅仅是一小部分资金。然而，若任由运营中断持续，损失将更为惨重。

新加坡杂货零售商NTUC的CISO Derek Gooh进一步指出，除了业务中断的成本外，还存在恢复所需的时间成本与机会成本。他说道：“想象一下，要完全恢复所有业务运作，重新构建系统，这所有都需要时间。”

面对这一现实，支付赎金似乎成了一个诱人的选择。正如 Gooh所言：“如果你手头有恢复密钥或解密密钥，整个过程可能只需三分钟。虽然恶意软件仍潜伏在系统中，但至少有了密钥，你能迅速恢复运营，无需暂停业务。”

澳大利亚MercuryIT管理服务提供商的CISO Chris Haigh则强调了关键行业不可停机的紧迫性。他解释道：“以医疗服务为例，大型医院为城市区域或单一城镇中心提供服务，这可是不可暂停的服务。因此，他们可能会选择支付赎金，因为他们无法承受服务全面中断所带来的代价。”

美国风险调整解决方案提供商secondwave的CISO Ken Newton则从企业与网络保险公司关系的角度阐述了快速止损的重要性。他表示：“在与网络保险公司打交道时，企业往往希望尽快减少损失。他们通常会考虑支付赎金，因为尽管威胁者可能缺乏诚信，但历史经验表明，支付赎金有助于企业迅速恢复正常运营。”

最后，Enablis的 Kleinman还提醒企业要去关注法律和监管责任的风险。他举了一个例子来说明这一点：如果勒索软件运营商加密了某家上市公司的数据，并告知证券交易所，那么这家公司将面临持续披露政策的违反风险，进而可能受到更严格的监管审查和处罚。这再次凸显了企业在应对勒索软件威胁时必须全面考虑多重风险。

在探讨是否支付勒索软件赎金时，如果仅从成本效益的角度出发，那么支付赎金似乎成了理所当然的选择。然而，这一决定的背后，隐藏着更为复杂的伦理考量，其迫使企业不得不在多个维度上进行权衡。

secondwave的Newton坚决反对向勒索软件威胁者支付赎金，他强调：“我深思熟虑过那笔钱最终的去向，以及它将被用于何处。”

勒索软件威胁者的动机千差万别，有的纯粹追求经济利益，而有的则可能与其他国家势力有所勾结。此外，MercuryIT的Haigh指出，部分勒索软件威胁者甚至已被美国财政部等权威机构列为制裁对象。“在英国、美国和澳大利亚等地，政府已明确警告，若企业支付的赎金流向被制裁的实体，将面临严重的法律后果。”

Kleinman也持相似观点，他认为大多数企业都倾向于避免与这些犯罪组织产生任何关联。“他们希望能够在业界内外树立正面榜样，以表明自己采取了正确的行动。”同时， Kleinman和其他专家警告说，支付赎金只会助长勒索攻击的嚣张气焰。“不要支付赎金，因为这会激励犯罪分子继续作案。” Kleinman对此强调：“实际上，你是在为下一次攻击提供资金。”

Gooh以新加坡某律所支付180万新元赎金的案例为例：“如果新加坡公司被视为容易支付赎金的软柿子，那么它们将面临更多的攻击，这会形成恶性循环。”然而， Kleinman也指出，企业并非只能在遵守法律与支付赎金之间做出选择。他提到：“当局在适当介入时，能够为企业提供一定程度的帮助，以减轻其面临的困境。因此，支付赎金并非唯一出路。”

Haigh则更为激进地主张，政府应立法禁止企业向勒索软件威胁者支付赎金。“短期内，这可能会给部分企业造成影响，甚至使得它们倒闭。但从长远来看，这是遏制勒索攻击泛滥的唯一途径。如果无人支付赎金，勒索攻击将失去存在的意义。”

鉴于CISO的核心使命是守护组织的安全边界，外界或许会误以为在勒索攻击事件中，CISO们手握是否支付赎金的最终决定权。

Kleinman对此表示：“然而，事实上，CISO们并不总是那个做决定的人，通过与同行之间的交流，我个人深刻体会到了这一点。我曾在一场CISO间的讨论中提及，我个人倾向于不支付赎金。但紧接着，两位在波特兰地区备受我尊敬的同行，他们却不约而同地表示：“这并非是我们能决定的。”

尽管CISO们可能无法直接掌权，但他们在CEO或董事会面前，依然是不可忽视的关键因素。Kleinman强调，他会基于生产中断风险、法律与合规责任，以及收入损失等多重考量，向管理层建议不支付赎金。“我会详尽阐述这四大风险，并努力将其与声誉风险相提并论，以便管理层能够全面权衡。”

Kleinman也坦诚，他在这个过程中也面临着不小的挑战。他观察到，曾经支付赎金可能带来的负面舆论压力，如今已随着网络保险行业的介入而逐渐淡化。他表示：“由于联邦机构的协助，支付赎金的行为已经变得相对‘正常化’，因此其带来的声誉损害也不再像以往那样严重。”然而，赎金支付日益公开化的现状，又对这一观点提出了新的质疑。

此外，CISO们在高管层内部还可能遭遇直接的反对声。Haigh以2020年Toll集团遭受的勒索软件攻击为例，揭示了这一困境：“他们当时面临的最大困境是，无法按时向员工支付薪酬，这种情况频繁发生。试想，如果连员工工资都无法保障，企业的运营又怎能继续？在这种压力下，CFO首当其冲，他深感企业正濒临破产的边缘……他们当时的运营时间可能只剩下一个月。”

所以，当企业面临生死存亡的紧要关头，高管层中的大多数人可能会倾向于支付赎金以维持运营。Haigh感慨道：“因为企业正面临着根本性的生存威胁，而确保企业生存，正是CEO、CFO以及董事会不可推卸的责任。这构成了一个复杂的悖论：从长远和大局出发，支付赎金并非明智之举；但从短期和维持企业运营的微观视角来看，这似乎又是唯一的选择。因此，这无疑是一个艰难的决定。”

为了更有效地应对勒索软件的威胁，企业应当首先评估是否能从现有的备份中恢复数据，并确认其网络保险政策是否能在业务长期中断的情况下提供必要的费用支持。这两点因素将为企业赢得一定的谈判空间。

面对日益“迅速、狡猾且凶狠”的勒索软件攻击，一些不法分子甚至开始威胁要公开企业数据，迫使企业采取紧急措施。Haigh对此表示：“在这种情况下，最佳的应对策略是聘请专业的第三方机构，在暗网中搜索并监控这些数据，力求找回或删除它们，以此最大限度地减少潜在损害。”

这恰恰体现了现代勒索软件攻击是一场持久战。为了迫使企业高层支付赎金，勒索软件开发者会不断推陈出新，采用更为狡猾的手段。Kleinman指出，一些勒索软件运营商甚至开始将目标对准企业高管和董事会成员的敏感信息。“这些不法分子极具创意，他们开始大量泄露企业高管的个人信息，甚至是董事会主席或其家人的敏感资料，以此作为施加压力，迫使企业支付赎金。”Kleinman还指出，这一趋势与非加密勒索软件的兴起紧密相连，后者是以数据泄露为核心的威胁手段。

当企业面临是否支付赎金的艰难抉择时，Gooh建议应优先考虑引入第三方专家介入谈判。这不仅能为企业争取到宝贵的时间来寻找解密密钥，还能协助企业与相关机构进行协调，以争取降低赎金金额。

Gooh强调：“每家企业都应在其事件响应计划中明确包含此类专业援助的条款。如此，当企业不幸遭遇此类事件时，就能马上知道该如何应对，以及能迅速联系到相应的专业人士。”

而Newton则以一种相对轻松的态度看待自己作为CISO在支付赎金决策中的位置。他坦言，虽然最终的决定并不由他来做出，但他仍会坚决站在不支付赎金的立场上。“如果有人询问我关于支付赎金的看法，我会从道德层面进行阐述。然而，我们也必须认识到，坚持道德立场有时并不轻松，甚至可能会伴随着痛苦。”

对于面对勒索软件攻击时，组织是否应该支付赎金，国内安全专家如此建议。

owasp广东负责人刘志诚 表示，企业应尽量避免事后环节的风险治理，尽可能在事前预防的能力建设和事中的检测，监测和应急响应运营过程中控制风险。

关于防御勒索软件攻击的建议，刘志诚指出：

烽台科技（安全助力数字化转型）副总裁吴海民 表示，当然不能支付！“首先，勒索软件攻击和现实社会的绑架勒索从性质上一样，都是违法犯罪。支付赎金都是助长这种犯罪行为！其次，受害者对勒索攻击方并不了解，有可能支付并不能要回数据资产反而掉入新的网上陷阱。最后，从安全负责人来说，每一次安全事件发生都是推动领导层更加重视安全工作的机会，有支付赎金的财力不如转化为安全管理和防护投入。古话有云：亡羊而补牢，未为迟也。”

针对在防御勒索攻击方面的一些建议，吴海民指出，虽然各家都有解决方案，但企业也应该多做相关的测试和模拟，这样就能具备更多的备用方案。当然，最重要的还是做好备份和应急措施。