网络安全公司将网络入侵发生后的最初处置阶段称为“止血”——在攻击扩散前尽快限制破坏，避免关键数据被盗或业务系统被加密导致停摆。位于伦敦东部怀特查佩尔高街的网络安全公司S-RM表示，当其接到求助电话时，受害企业或机构往往只剩下几分钟到数小时的自我保护窗口。

S-RM曾协助一名高调零售客户从黑客组织Scattered Spider的攻击中恢复。该公司称，其网络事件响应团队规模为英国最大之一，第一响应服务由全球约150名专家组成，服务对象包括长期签约客户、由保险公司转介的受害者，以及在遭遇攻击后临时通过搜索引擎找到并致电求助的企业。

S-RM网络业务部门主管Ted Cowell介绍，在上述Scattered Spider受害者案例中（据《卫报》了解，该受害者并非2025年遭受攻击的Marks & Spencer或Co-op两家零售商之一），一次原定30分钟的Teams电话会议很快升级为由轮换专家参与的24小时持续通话机制。他称，公司平均可在六分钟内回应客户，而这对处置结果至关重要，因为网络事件的最初几个小时通常是影响最终损失的最大机会窗口。

Cowell表示，攻击者在首次进入企业系统后，往往需要时间识别最有价值的目标。在这一“侦察”阶段，响应速度可能决定能否阻止事态升级为全面的恶意软件或勒索软件事件。对企业而言，最严重的损害通常来自两类后果：关键数据被盗外泄，以及系统被加密导致企业无法访问自身数据与业务系统。

他称，团队的重点是尽快限制或切断攻击者对系统的访问，“有时我们能阻止爆炸发生”。在前述Scattered Spider案例中，S-RM表示其处置目标之一就是阻止恶意软件在客户系统内“爆发”。

随着网络犯罪产业化发展，事件响应业务需求上升，但也带来伦理争议。S-RM及其同行因在部分案件中协助企业向攻击者支付赎金而受到批评。Cowell表示，“勒索支持”是公司工作的重要组成部分，团队会参与赎金谈判，有时在客户授权下代表客户与攻击者沟通。他强调，公司是在保单持有人（即被保险人）的指示下开展相关工作。

Cowell称，团队的目标是在可能情况下引导客户作出“不支付”的决定，并表示越来越多企业正在采取不支付赎金的做法。他说，团队的角色是帮助客户形成结构化的决策框架，提供危机处置的经验模板，但最终决策权在企业自身。

在与企业高层沟通时，Cowell表示团队会直接提出“我们为什么要付钱给这些罪犯？”这一问题，并强调勒索软件团伙本质上是有组织犯罪。他同时指出，部分成熟团伙会维护其“品牌形象”，在达成协议后更可能履行承诺，例如删除被盗数据或提供解密关键文件的密钥。S-RM会基于以往谈判经验，向客户介绍不同团伙的可靠性、谈判模式、行为特征，以及潜在制裁风险。

关于制裁风险，Cowell称其在实际案件中较少适用，并将对与国家有关联团伙的制裁形容为“打地鼠”式难题：一旦所谓“威胁行为者”被列入制裁名单，相关团伙可能解散并以新身份重组。他补充说，企业在应对网络攻击时也需要评估间接向敌对国家输送资金的风险。

尽管如此，Cowell表示，企业在某些情况下仍可能选择支付赎金，并称这取决于企业自身处境与权衡，决定权始终在企业手中。随着企业在是否支付赎金方面的道德与治理准则逐步形成，事件响应市场的重心也在变化：恢复与修复服务的重要性上升，优先目标是尽快恢复系统运行，而对入侵路径的取证分析相对退居次要位置。

Cowell还提到，英国政府在网络情报与协同方面的角色近年出现明显变化。他表示，国家网络安全中心（NCSC）在过去四五年发生了“巨大变化”，已更接近北欧同行的做法，开始基于情报主动联系潜在受害者，提示其可能成为攻击目标。与过去更多作为信息接收方、向S-RM等机构索取信息不同，他称NCSC如今更积极召集各方推动信息共享，并表示在应对Scattered Spider相关攻击时已看到这种变化带来的影响。