因此，衡量勒索软件攻击的总成本对于安全管理人员来说会非常棘手。以往无数的事件给我们的启示表明，总成本会远远超出所要求的赎金数额，还涉及到与清理受感染系统相关的成本。

当应对一起勒索软件攻击并从中恢复时，需要考虑很多相关因素，

看看下面的实例：去年7月，纽约Buffalo的Erie县医疗中心（ECMC）为应对一起赎金3万美元的勒索攻击，估计实际花费了1000万美元！大约一半的资金用了在IT服务、软件和其他与恢复相关的成本上。另一半则来自于员工加班、收益受损相关的成本和其他间接成本。ECMC官员估计医疗中心需要花费数十万美元来升级技术，加强对员工的意识培训。

公开记录显示，2018年3月，亚特兰大市遭受的一起勒索软件攻击导致关键的城市服务瘫痪了几天，对此花费了近500万美元以获得紧急IT服务。成本包括与第三方事件响应服务、危机公关、扩充支持人员和主题专家咨询服务相关的费用。

今年2月，勒索软件感染了美国交通部CDOT的2000多个Windows系统之后，科罗拉多州州长John Hickenlooper不得不从州灾难应急基金中留出200万美元以应对不测之需。为能够使遭受攻击的系统恢复正常，CDOT官员在不到八个星期的时间里就花了超过一半的资金。

毫不奇怪的是，近期会有越来越多的行业由于遭受勒索软件攻击而受损。网络安全风险投资公司（Cybersecurity Ventures）在2015年把勒索软件赎金成本定为3.25亿美元，去年该公司估计，2017年的损失为50亿美元，并预计2019年将超过115亿美元。

对于想估算勒索软件总成本的安全管理人员而言，关键是不要囿于赎金数额本身。即使最终支付赎金恢复了数据——这是大多数安全分析家所反对的，大多数情况下攻击的实际成本会更高。

StutelelOne公司的安全拓展专员Gary Mello说：“数据丢失和生产效率下降是管理人员应主动做好应对的勒索软件两大相关问题。在估算攻击总成本时，应考虑包括数据的丢失和损坏、停机和生产效率下降，以及正常业务过程遭受后期攻击而有可能被中断等因素。”

以下详细介绍了安全管理人员在计算勒索软件攻击成本时应注意的一些非常明显和一些不太明显的成本。

勒索软件响应、恢复和复原成本

属于这一类别的很多成本在任何重大安全事件中都非常典型。GreyCastle Security公司在ECMC遭受攻击后提供了帮助，该公司首席执行官Reg Harnish评论说，相关成本还包括计算机调查、数字取证，以及恶意软件识别和删除的成本。他指出，这其中包括了获取备份和重新镜像系统的成本，通常还有恢复受损数据和系统的成本。

除非企业自己有一个大规模而且合格的安全响应部门，否则，企业应该引进外部专家和顾问，以帮助恢复系统。Harnish说，企业可能需要扩充现有的员工队伍，并准备好给他们加班费，以使系统恢复正常。

针对各种不同的恶意软件，还需要升级或者更换技术。这也会带来相关的成本，当你想评估勒索软件攻击的影响时，至少要考虑这些成本。

数据备份的质量是一个很重要的因素。如果数据备份的质量不高，或者攻击者能够设法删除和加密备份的数据，那么企业的成本将大幅增加。Harnish指出：“停机的时间越长，成本就越高。”SentinelOne公司2018年在全球范围内进行的一项调查发现，解密加密文件所需的平均工时数或者使用备份数据替换加密数据的时间大约是40小时——高于2016年的33小时。

支付了赎金后的其他成本

支付赎金并不能保证立即恢复数据。Harnish指出，即使企业有很好的理由去支付赎金，如果犯罪分子的确按照承诺提供了解密密钥，你仍然需要一定的时间来恢复数据。

例如，在ECMC的案例中，大约有6000台计算机被攻破了。Harnish说，如果每一个系统都有一块1万亿字节的硬盘被加密了，那么这将需要一个多星期的时间来解密所有的东西。

除非你有塞满了比特币的数字钱包，不在乎发生这样的事件，否则需要一些时间来建立比特币钱包，然后塞上比特币。攻击者也需要一些时间来验证和转移资金。

如果你的企业停工，就会有两个星期的时间回到纸面上工作，那么即使能恢复所有的数据，仍然需要协调离线的两周内所进行的纸面工作。Harnish说，所有这些因素都会累积，特别是在支付了赎金的情况下。“支付赎金不是万能的。还会有其他费用，不一定能解决所有的问题。”

端点保护供应商Barkly的创始人兼首席技术官Jack Danahy评论说，关键是，即使企业的系统在付款后恢复了，也无法知道它们到底有多安全。他说：“如果不擦除并重装机器，几乎不可能保证没有残留的感染文件或者漏洞。”

即使恢复的数据文件也会被感染，因此在恢复之后这些仍然是威胁。“既然机器和数据无论如何都要重装，为什么要支付赎金呢？”

勒索软件攻击期间和之后的停机成本

一次勒索软件攻击会影响企业正常开展业务的能力。企业花时间去应对攻击，实际上失去了商机。Danahy说：“在所有最具破坏性的攻击中，受害最严重的受害者甚至都无法交付产品和服务。”医院不能治疗病人，技术提供商不能提供他们的服务，物流企业无法装运，应急人员也无法及时回应。

2016年11月，勒索软件攻击了旧金山公共交通系统的售票系统，导致该系统暂时瘫痪。当安全工程师致力于解决这个问题时，这座城市损失了一天多的票价收入。Danahy说：“关键是，管理人员应考虑缺少某台机器后对其业务的影响，从而衡量每台机器停机所造成的成本。”

还有其他与停机相关的成本。企业的IT部门和安全人员解决问题的时间越长，他们离开本职工作的时间就越长。

勒索软件攻击的下游成本

Mello说，企业极有可能忽视的一项成本是勒索软件攻击对供应商和其他第三方的影响。SentinelOne的全球勒索软件报告显示，遭遇勒索软件攻击的美国企业中，有46％企业的第三方供应商也受到了影响。

这些合作伙伴和供应商中的35%工作效率下降，还有23%声称遭受了经济损失。在这项研究中，第三方受影响最大的国家是法国。Mello说：“勒索软件对经济的渗透会给合作伙伴和供应链产生广泛的影响，而且往往被忽视。”

勒索软件攻击造成的声誉成本

Lastline公司的联合创始人兼首席架构师Engin Kirda表示，最难以衡量和评估的一种成本是勒索软件攻击造成的声誉损害。例如，金融机构需要得到客户的信任。Kirda也是波士顿东北大学的教授，他指出：“大家都认为，企业应该能够做好应对网络威胁的准备。听说某企业遭到了勒索软件攻击或者相关网络威胁后，客户可能会不再信任该企业。”

遭受重大泄露事件的公司往往会更容易被监管部门关注，遭受巨额罚款。SentinelOne的Mello指出，对于上市公司来说，投资者对攻击事件的反应可能会致使股价下跌。他指出，2017年牛津经济研究院（Oxford Economics）代表总部位于蒙特利尔的CGI进行的一项研究显示，在65家遭受重大泄露事件的上市公司中，其股票长期基础价格平均下跌了1.8%。对于金融时报证券交易所100指数的典型公司，这相当于1.6亿美元的永久市值损失。

Kirda说：“任何企业都不希望出现这样的情况——很多媒体会报道该企业丢失了多少敏感的用户数据。我们不能仅仅给损失定个价就了事了。”

与勒索软件攻击相关的泄露事件成本

除非你能够确凿地证明，在勒索软件攻击中，并没有访问到受保护的数据，否则你就得声明遭受了数据泄露事件。Harnsih说，这意味着所有相关的泄露事件通知和危机公关成本，以及可能带来的监管和法定处罚。他说，泄露事件也可能引发法律和诉讼相关的费用，招致更多的监管审查，以及与履行联邦或者州当局施加的任何义务造成的成本。

Danahy指出：“对于监管行业，管理人员应该与律师和合规部门交流，以了解是否需要披露某些勒索软件事件，以及是否需要通知受影响的用户。”感染勒索软件更常被视为他所说的合规事件。“这可能意味着巨大的成本。”

责任编辑：周星如