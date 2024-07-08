联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA) 和国家安全局 (NSA) 都强烈建议，如果组织遭遇勒索软件攻击，切勿支付勒索软件赎金。既然这样，为何不直接禁止支付勒索软件的赎金要求呢？
在最近的牛津网络论坛 (Oxford Cyber Forum) 上，有人提出了这个话题。CISA 局长 Jen Easterly 评论了这个问题，并表示：“我认为，仅从务实的角度来看，在我们美国的体系内，不会颁发这样的禁令。”这不可能是纯粹的即兴言论，因为勒索软件问题是所有网络专业人员最关心的问题，特别是 CISA 局长。就目前而言，似乎不会将支付勒索软件赎金的行为定为应受惩罚的罪行。
更有说服力的是，Easterly 是在接受英国国家网络安全中心 (National Cyber Security Centre) 前负责人 Ciaran Martin 的访谈时做出上述回答的。今年早些时候，Martin 在为《泰晤士报》 (The Times) 撰写的一篇文章中呼吁禁止支付任何勒索软件赎金。
那么，支付勒索软件赎金是否应该禁止？
安全与技术研究所 (Institute for Security and Technology) 的勒索软件工作组也谈到了这个话题。该工作组表示，目前在美国禁止支付勒索软件赎金将使受害者、社会和经济的处境更加恶化。小型企业通常无法承受长时间的业务中断，可能会在遭遇勒索软件攻击后倒闭。
此外，如果强制禁止，可能会妨碍对勒索软件威胁做出更广泛的响应。如果公司因支付勒索软件赎金而面临处罚，他们可能会想要秘密支付勒索软件赎金。这意味着有关勒索软件变体和威胁情报的准确数据将受到影响。
勒索软件赎金支付禁令的其他障碍包括虚假”数据恢复“公司。这些骗子声称能够恢复被盗数据或破解加密。但实际上，这些所谓的救援人员会私下与勒索软件团伙谈判，本质上就是他们先支付赎金，然后再向受害者收取费用。如果禁止支付勒索软件赎金，这种暗地操作可能会增加。
有人说，完全禁止支付勒索软件赎金可能会被认为是投降。它向安全社区传达了这样的信息：没有其他办法可以阻止勒索软件攻击了。相反，联邦政府正在强制要求报告网络安全事件，例如最近出台了《关键基础设施网络事件报告法案》(CIRCIA)。通过提高勒索软件报告率，安全团队可以更详细了解攻击者的运作方式并分享威胁情报。相信这种数字团结比单独面对这些威胁更有效。
还应支持和加强执法工作，以应对持续存在的勒索软件威胁。LockBit 这个勒索软件即服务团伙便是成功将入侵者绳之以法的例证。
此外，还有一些其他行动，例如 CISA 的”勒索软件预警通知“计划划旨在通过提醒组织注意早期阶段的勒索软件活动来降低风险。该计划在 2023 年生成了 1,200 多份勒索软件预警通知。
美国政府还是”设计即安全“理念的倡导者。在牛津网络论坛上，Easterly 表示：“我确实认为我们发挥了一些作用，但我认为，如果没有成功落实“设计即安全”理念，勒索软件也不会成为一个令人震惊的稀有物。我们不能指望那些没有庞大安全团队的企业能够保护其基础设施，除非网络技术在交付时就已大幅减少漏洞数量。”
美国政府认为打击勒索软件的最佳对策已不是什么秘密，相关计划正在明确制定中。包括实施更严格的事件报告标准、继续推进执法工作、共享情报、开展协作以及设计即安全。目前，支付赎金的处罚未纳入官方计划。
但是，包括 IBM 在内的许多实体强烈建议不要支付勒索软件赎金。而应遵循最佳实践，并查阅 IBM 的勒索软件权威指南。