全面的安全計劃和程序必須聚焦防御，但也要回答以下關鍵問題：“企業將如何應對勒索軟件攻擊?”以及“什么時候我們才會考慮支付贖金?”

要得出答案必須考慮哪些關鍵因素?

如果支付贖金，會牽涉哪些關鍵考慮因素

1. 變相資助網絡犯罪活動

企業支付的贖金越多，網絡犯罪分子獲得的勒索軟件攻擊利潤就越多。此外，當企業支付贖金時，這些信息可能會被公開，從而損害客戶的信心(因為企業被視為在變相地資助網絡犯罪活動)。出于這個原因，付費總是不明智的——即使有時是不可避免的。

2. 付款后很可能會遭遇二次攻擊

當一個企業支付贖金時，這個消息會在網絡犯罪團伙中傳播，這使得該企業更有可能再次受到攻擊。如果一家企業決定支付贖金，它應該為未來更多的攻擊做好準備。

3. 必須權衡哪種損失更嚴重

一些受到勒索軟件攻擊的企業完全沒有機會自行恢復數據或迅速重新上線。如果是這種情況，企業需要知道攻擊展開時的停機成本。在構建安全程序時，企業必須了解每小時停機的成本，以及如果發生勒索軟件攻擊，他們將承受的損失(這可能與聲譽、合同義務、股價和員工生產力有關)。如果贖金要求遠遠小于這些損失，支付贖金似乎是短期內經濟上最負責任的選擇。

4. 所有數據不太可能被全數歸還

現代勒索軟件團伙并不依賴于某一種類型的勒索。除了鎖定你的數據和系統外，他們通常還會竊取信息，并要求你付錢，否則將把信息出售給其他人。當攻擊者竊取敏感的客戶數據(如財務記錄或健康數據)時，這種方法尤為有效。然而，支付贖金就是和犯罪分子做交易，所以如果攻擊者殘忍到以企業的數據為質，你真的應該相信他們會歸還數據而不使用數據嗎?

事實證明，即便支付贖金也很少有企業能夠恢復所有的數據，而且恢復過程仍需數月的時間。因此，付費永遠不應被視為快速恢復在線狀態的保證。

如果不支付贖金，會牽涉哪些關鍵考慮因素

1. 不付錢在道德上是正確的

不支付贖金在道德上是正確的決定。在一些國家，支付贖金甚至是違法的。但僅僅因為這樣做是正確的，并不能說明它對企業來說就是最好的財務決策。

2. 無法自行恢復所有數據

雖然并不建議支付贖金，但攻擊造成的數據丟失可能是災難性的。完整的數據恢復可能需要幾個月的時間，并且通常意味著需要從不同的來源提取數據來從頭進行恢復。

雖然大多數企業都會運行定期備份，但通常會有一段時間的數據沒有得到及時備份——這取決于業務的規模和重點——數據丟失可能是可控的，也可能是不可修復的。無論哪種方式，不支付贖金可能會導致更長的恢復時間，而漫長的恢復過程可能會導致IT團隊精疲力竭。

3. 最糟的情況會導致破產

在最嚴重的情況下，勒索軟件最終會扼殺企業。如果他們選擇忽視需求，可能會導致無法彌補的損失，從而使企業停止運營。因此，在決定不支付贖金之前，必須考慮攻擊的全部影響。

解決方案

公平地說，當涉及到勒索軟件攻擊時，企業處于劣勢，處于被動挨打的局面。無論何時何地，他們都將任由網絡犯罪分子擺布。

因此，最好的做法是采取“雙管齊下”的策略來應對攻擊：保護和恢復。

保護資產和阻止攻擊者破壞網絡的防御手段是必不可少的。這包括：

• 讓員工了解勒索軟件，了解它是如何進入系統的，以及用戶賬戶是如何被攻擊的;
• 運行定期的補丁管理流程，并輔以積極主動的紅隊測試;
• 計劃定期備份，并定期測試備份和數據恢復過程;
• 實現跨網絡和系統的分段，以阻止橫向移動。

除此之外，當企業在構建安全程序時，他們必須關注如何最好地響應攻擊，以最大限度地減少中斷。這意味著他們必須能夠了解事件的規模，以便他們能夠快速進行取證。這有助于了解他們是否能夠在攻擊中幸存下來，或者支付贖金是否更可取。

安全程序的總體重點必須是彈性和靈活性：讓攻擊者更難以破壞你的系統，也讓你能夠更快地響應攻擊，這樣你就可以確切地知道應該采取哪些行動，而不必浪費時間考慮“支付或不支付”的問題。