禁止支付勒索赎金：打击勒索攻击的可行之路？

10月份，在反勒索攻击倡议在线会议后发表的联合声明，美、欧、澳、法、加、日等超过 30 个国家代表承诺，将阻止使用加密货币支付赎金，以打击勒索软件团伙。

 在此之前，美国财政部外国资产控制办公室（OFAC）发布咨文，警告机构不要向勒索软件支付赎金，并声称此举存在违反政府对网络犯罪集团或国家黑客施加经济制裁的法律风险。一些美国州的立法机构谈论可能限制或禁止向勒索软件支付赎金的法案。

2021年5月7日，美国最大的燃油管道商Colonial Pipeline遭到勒索软件攻击，由于Colonial Pipeline负责美国东岸多达45%的燃料供应，攻击事件导致该公司暂停了所有的输油管道作业；月底，美国最大的牛肉生产商JBS USA也遭到了网络勒索攻击，致使美国和全球的相关企业工厂都被迫关闭。

经历上述事件之后，美国一些政府官员开始呼吁国会和政府禁止受害组织向威胁行为者支付赎金。此类禁令旨在将FBI的建议——不要向勒索软件攻击者付款，以免变相鼓励更多的此类行为——编成法典。

尽管联邦层面有一些支持力量，大多数政府官员似乎并不完全接受彻底禁止支付赎金的想法。负责网络安全的副国家安全顾问Anne Neuberger在5月的白宫新闻发布会上表示，“总的来说，这是私营部门的决定，政府目前尚未提出进一步的建议。而且尚未有国会议员或参议院议员提出禁止支付赎金的立法。”专家表示，更好的选择是强制受害者报告勒索软件攻击。

美国多州提议禁止支付赎金

但在州一级，情况却有所不同。到目前为止，已经有四个州提出了5项未决立法，要求要么禁止支付赎金，要么大幅限制支付赎金。在纽约，参议院法案S6806A“禁止政府实体、商业实体和医疗保健实体在发生网络事件或网络赎金及勒索软件攻击时支付赎金。”

另一项纽约参议院法案S6154，提供资金以便地方政府可以升级他们的网络。但它也“限制使用纳税人的钱支付赎金以应对勒索软件攻击。”

纽约在禁止私营部门企业支付赎金方面一直走在前面。北卡罗来纳州（众议院法案 813）、宾夕法尼亚州（参议院法案 726 号）和德克萨斯州（众议院法案 3892 号）的立法机构都在考虑禁止使用州和地方纳税人的钱或其他公共资金支付赎金的法案。这种公共资金禁令可能会阻碍地方政府支付勒索软件攻击者费用。

宾夕法尼亚州共和党参议员Kristin Phillips-Hill提出了“保护联邦免受勒索软件攻击”法案，旨在通过消除这种支付攻击者赎金的经济激励措施来阻止一些针对公共机构的勒索软件攻击。她认为，如果网络犯罪分子的努力得到了回报，他们只会继续发动勒索软件攻击。

Phillips-Hill提出的法案还旨在制定机构在应对勒索软件攻击时应该遵循的准则。然而，该法案并未拨出任何资金来帮助机构加强其勒索软件响应能力。

反对观点1. 禁止支付赎金可能会带来更多伤害

这些法案是对Colonial Pipeline和JBS在遭受攻击后的应激反应，是可以理解的。但行业专家表示，禁止支付赎金的立法可能弊大于利，特别是考虑到大多数勒索软件攻击的复杂性和响应窗口期短的情况。

鉴于勒索软件攻击者越来越老练，禁止支付赎金的危害尤其明显，他们经常潜伏在网络中数周甚至数月，绘制组织架构图，窃取数据以在第二次赎金要求中要挟受害者，并可能清除系统备份。如果攻击者成功窃取数据并且能够删除备份，那么有时取回这些数据的唯一方法就是支付赎金。

对于企业来说，是否支付赎金是一个极其艰难的抉择。尽管很多人可能认为，支付赎金并不是整个攻击过程中代价最高的部分，当然它也不会是攻击的终点站。但在此过程中我们其实有很多更大的问题需要考虑，包括首先如何防止这些攻击？以及如何打击威胁行为者本身？

彻底禁止支付赎金“意味着许多想要支付赎金的企业可能不太愿意披露违规行为，这将影响我们对最新勒索软件威胁的理解，并使受影响企业的客户蒙在鼓里，对威胁一无所知”。

勒索软件事件响应公司Coveware首席执行官Bill Siegel表示，“将彻底禁止支付赎金作为解决问题的想法充其量是一种迂腐的空话。这实际上会催生甚至推动一种非常隐晦的服务提供商市场的发展。这些服务提供商要么是离岸的，要么是不合法的，以满足那些为了挽救业务而必须付费的公司。”

反对观点2. 支付赎金可能意味着生存

问题是，如果支付赎金被禁止，那么许多（如果不是大多数的话）组织可能会崩溃。禁止支付赎金类似于决定某些组织应该生存，而其他组织应该灭亡。Kroll公司副董事总经理Chris Ballod问道，“您可以接受哪些商业部门、市政当局、学校或非营利组织的损失？我们的官方立场自然是不希望您支付赎金，但是我们理解当权衡数千工作者的工作和生计以及支付勒索软件攻击者费用时，你会做出支付的决定。”

更糟糕的是，对于市政当局来说，勒索软件还会带来基础服务关闭的后果。试想一种最坏的情景，假设911系统遭到破坏和勒索，却被禁止支付赎金，那么他们必须要自下而上重建911系统。这可不是一夜之间就能完成的工作，可能需要数天甚至数周才能实现。

更好的选择：强制勒索软件报告

安全专家认为，与彻底禁止支付赎金相比，要求受害者企业向中央机构报告勒索软件攻击行为会是更好的选择，大多数州法案也正是如此。无数事实已经证明，针对勒索软件攻击最有效的策略是让每个人共享他们的攻击数据，并使用这些信息来授权网络安全公司的调查服务，以追踪犯罪分子。

安全专家建议，美国应该在联邦政府层面做一些事情来要求受害组织报告并收集一些信息子集，这样一来就可以拥有一个集中的存储库来强制通知和协调如何处理主动攻击。

另一方面，在州一级强制要求勒索软件攻击报告可能会给企业组织带来不必要的负担。这会变得非常复杂，因为有些大型企业可能在不同的州都设立了子公司。而且此举实际上也会增加企业的支出成本。

最好的解决方案是加固基础设施

管理勒索感染的最佳解决方案是强化基础设施，同时雇佣更多的安全人员，以更好地应对这些攻击。如果你还在继续使用老旧的遗留服务器和固件，并且只配置一两名安全人员来为拥有数千员工和端点的组织提供服务，那么攻击只会不断地找上门来。

欧盟的《通用数据保护条例》（GDPR）对数据保护技术进行了更重大的投资，这也是为什么勒索软件攻击在欧洲不像在美国那么严重的一个关键因素。GDPR使欧洲目标变得更加坚固，使得攻击者更难以进入，进而降低了攻击者的兴趣，尤其是当其他国家、地区拥有更多更广泛的目标时，欧洲的吸引力只会变得越来越低。

原文链接:

https://www.csoonline.com/article/3622888/four-states-propose-laws-to-ban-ransomware-payments.html

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。