?如果企業別無選擇，只能付錢給網絡攻擊者以取回關鍵數據，這些優秀實踐可以讓其處于從勒索軟件攻擊中恢復到最佳位置。

Fox-IT（NCC集團的子公司）的網絡安全和威脅分析師對勒索軟件談判的機制進行了闡述，以幫助企業在遭受網絡攻擊之后進行改進。PepijnHack和Zong-YuWu在BlackHatEurope2021會議上提出了產教學法概念，并在不久之后在NCC集團網站的一篇博客文章中進行了詳細闡述。

這些數據來自對2019年至2020年期間對700多次攻擊者與受害者談判進行的研究，以及一篇探討三個主要主題的論文。這些是：

• 網絡攻擊者如何使用經濟模型來最大化他們的利潤
• 表明受害者在談判階段的立場
• 勒索軟件受害者可以利用的策略甚至是競爭環境

研究人員寫道：“這項研究表明，勒索軟件的生態系統已經發展成為一項復雜的業務。每個勒索軟件團伙都制定了自己的談判和定價策略，以實現利潤最大化。”

勒索軟件企業處于談判的主導地位

這一數據集主要關注兩種不同的勒索軟件。第一次是在2019年收集的，當時的勒索攻擊者經驗相對缺乏，贖金要求較低。它包括受害者和勒索集團之間681次談判。第二個是在2020年底和2021年初收集的，有30個談判組成，網絡攻擊當時已經成為全球公司的主要威脅。

分析表明，勒索軟件操作的成熟度有所提高。網絡攻擊企業正在根據受害者的多個變量（包括受感染設備/服務器的數量、員工、估計收入和媒體曝光的潛在影響）計算攻擊成本，并實施贖金定價策略。通過這樣做，網絡攻擊者甚至可以在受害者進行談判之前準確地預測他們可能支付的金額。一旦他們這樣做，受害方就會很被動。博客文章寫道，“在通常情況下，在談判中，每個玩家都拿著自己的底牌。勒索軟件攻擊者知道他們的業務成本以及他們需要獲得多少收入才能收支平衡。與同時，受害者會估算補救成本。”

但這造成了一種情況，受害者必須開展這樣的“不公平談判游戲”，在受害者不知情的情況下引導他們達到預設但合理的贖金范圍。這是一場被操縱的游戲，由于勒索軟件企業獲得主動地位，這最終助長了勒索軟件生態系統快速發展。”

研究中一個有趣的觀察結果是，從每年收入的角度來看，規模較小的公司通常支付更多的贖金。這意味著他們支付的金額較少，但占其收入的百分比較高。相比之下，在數據集中的最高贖金（1400萬美元）是由財富500強公司支付的。因此可以理解，具有經濟動機的勒索軟件攻擊者可以精心挑選有價值的目標，并從大筆贖金中獲利，而不是攻擊中小公司。這種情況導致一些勒索軟件企業確實決定只針對大型盈利企業進行攻擊。

勒索軟件攻擊前需要采取的四個準備步驟　

該研究列出了可以幫助受害者有利的談判平衡的最佳實踐和方法，從談判開始之前的準備開始。企業必須：

(1) 教導的員工不要打開贖金通知單，并點擊其中的鏈接。這通常會在需要付款時開始倒計時。不打開贖金通知單可以爭取時間來確定基礎設施的哪些部分受到攻擊，遭遇的攻擊會產生什么后果，以及可能涉及的成本。

(2) 確定談判目標，考慮備份和最佳和最壞的支付贖金方案。

(3) 建立清晰的內部和外部溝通渠道，涉及危機管理團隊、董事會、法律顧問和溝通部門。

(4) 了解勒方向盤攻擊者以了解他們的策略，并查看是否有可用的解密密鑰。　

勒索軟件談判的五種方法　

有了這種準備，如果企業決定這樣做的話，它們將更好地參與勒索軟件談判。從這一點來看，建議他們采用五種旨在減輕損害的方法。

(1) 在談判中保持尊重并使用專業語言，不要將情緒帶到談判中。

(2) 受害者應該愿意向勒索軟件攻擊者要求更多的時間，這可以讓他們探索所有恢復的可能性。一種策略是解釋需要額外的時間來籌集所需的加密貨幣資金。

(3) 企業可以提議提前支付少量費用，而不是在以后支付大量費用，眾所周知，勒索軟件攻擊者會接受大幅折扣以支持快速獲利，并轉向另一個目標。

(4) 最有效的策略之一是企業說服勒索軟件攻擊者相信其沒有能力支付最初要求的金額，這甚至可以證明對于勒索軟件攻擊者知道擁有巨額資金的大型企業是有效的。研究指出，并不是每個企業都擁有數百萬美元的加密貨幣。

(5) 避免告訴勒索軟件攻擊者有網絡保險政策。他們不應將網絡保險文件保存在任何可訪問的服務器上。網絡保險的存在可能使攻擊者不太可能靈活地進行談判，因為大多數網絡保險都涵蓋了成本。

該研究還引用了一些簡單實用的建議來補充上述談判過程。這些包括要求解密測試文件、如果企業最終支付贖金，要證明文件是如何被刪除的，以及對勒索軟件攻擊者如何入侵的解釋。企業還應該做好更壞的準備，因為即使支付贖金也會其數據泄露或對外出售的情況。?