如何在勒索软件谈判中获得最好结果？

在接受行业媒体的采访中，网络安全服务商Sygnia公司英国和北欧地区的Azeem Aleem博士揭示了勒索软件谈判的复杂性，并强调了企业可以采取哪些措施来保护自己免受网络威胁。

人们总是在网络安全预防方面犯错误，他们需要跟上威胁行为者的发展步伐，这意味着投资并寻求第三方安全专家的帮助，他们可以从头开始审查企业的安全堆栈，发现企业可能没有注意到的细节。应对网络犯罪需要多种技能，包括预测和适应性思维，以及真正看到网络威胁的全面或微观视角。

在与威胁行为者接触之前，企业需要为勒索谈判获得正确的技能。例如可以从精英军事技术部门和网络行业中挑选精英人才，例如军事情报部门前官员、犯罪心理学家、勒索软件黑客谈判代表等等。这是一支非常独特的团队，他们在技术优势、数字作战、数据分析和商业方面拥有训练有素的技能，为企业提供军事级别的安全。

企业要意识到会有更多的损失——需要愿意谈判，这意味着“玩游戏”以获得最好的结果。成功进行谈判意味着在保护被盗数据的同时支付很少费用或不支付任何费用。网络威胁谈判专家可以找到漏洞的来源，并使用策略来延迟交付赎金，同时为企业的调查团队提取关键信息，以映射到威胁行为者的特定行为。例如，企业的谈判者可能会假设一个特定的角色来建立同理心和信任，创造一种友谊感，这有助于打开沟通渠道，达成更好的交易。

通过查找漏洞来源来避免双重勒索和三重勒索。谈判团队将努力揭示勒索软件攻击者的动机，调查来源，遏制威胁，最大限度地减少泄露暴露时间(BET)，然后帮助补救和恢复，以此作为打破威胁循环的一种方式。谈判者将协助找到能够帮助技术团队揭示未知状况的“黑天鹅”。

通过了解勒索软件攻击者使用的工具、策略和过程(TTP)，可以确定勒索软件攻击的复杂程度。有时勒索软件攻击者的攻击方式或者工具并不复杂，但他们可能发现了一个未知的漏洞，可以继续滥用。

研究机构最近发布的一份研究报告表明，在今年上半年，全球企业支付了4.491亿美元的赎金。勒索谈判将有助于发现勒索软件攻击者的未知之处，找到安抚他们的方法，并减少赎金——在某些情况下，可能会阻止未来的攻击。我们实际上是在争取时间来控制威胁、恢复数据和弥补安全漏洞。

• 保持冷静，避免下意识的反应。恐惧会让人惊慌失措，影响判断。可以尝试回应威胁行为者，提示他们成功的“标记”。

• 招募外部的突发事件应对专家来调查、评估和绘制危机地图。不要单独与威胁行为者接触。

• 应用网络分段，并将备份环境与网络分离。

• 断开员工与电子邮件和服务器的连接，以避免传播攻击。许多供应链攻击可以通过这种方式扩大攻击规模。

• 评估运营环境，了解攻勒索软件击的来源。

• 谨慎对待补救和消除后门。这样的缓解活动可能会让威胁行为者意识到有人盯上了他们。确保企业正在进行的流程是全面的，并使用定制的监视工作来支持补救，以防止进一步的风险，并检测可能遗漏的任何后门。

我们将看到越来越多的运营技术(OT)攻击，在某些情况下，虚拟世界和物理世界都可能受到影响，因此需要支付赎金。例如，Sygnia公司与一家知名的全球制造公司开展合作，该公司是一个制造商集团的子公司，并且拥有多个OT生产环境。该公司遭受了来自PYSA或Mespinoza Ransomware勒索组织的攻击，网络攻击者对生产车间的服务程序进行了加密，导致工厂运营和客户交付暂停。对于这种规模的企业来说，任何日常运营的中断都可能造成150万至200万美元的损失。

该公司无法继续承受这样的损失，因此在现有工作流程的同时，Sygnia公司帮助调查和控制威胁，同时恢复并与威胁行为者进行谈判。我们的谈判专家团队找到了与威胁行为者建立信任和同理心的方法——更深入地了解勒索软件攻击的起源，以帮助我们的遏制团队确保他们针对的是正确的领域。

一旦我们发现了勒索软件攻击的入口点并发现了横向移动向量，我们就能够追踪到攻击的起源，并将其追踪到制造商集团内的另一家子公司。我们在供应链攻击中多次看到这种情况，企业内部团队为了提高效率而彼此共享系统，但他们却不知道，这也为威胁行为者提供了利用和传播攻击的途径。

Sygnia公司展示了我们的调查结果，并与两个法律团队分享了过滤之后的数据进行分析。在这种情况下，我们能够从我们的“安全岛”恢复环境，因此不必支付赎金。我们还修复了漏洞，以防止再次发生勒索软件攻击，并帮助制造商在最初的妥协之后两周内恢复这家工厂的全面运营。