CISA發(fā)布的勒索軟件就緒評估工具確實存在不足，但安全專業(yè)人員可以在此基礎(chǔ)上進行構(gòu)建。

在我們經(jīng)濟和日常生活的每個角落，幾乎所有類別的網(wǎng)絡(luò)安全都遭受了破壞。根據(jù)Sophos發(fā)布的一項調(diào)查數(shù)據(jù)顯示，2020年緩解攻擊的平均成本高達185萬美元。越來越多的網(wǎng)絡(luò)安全專業(yè)人士認為，聯(lián)邦政府和當?shù)貓?zhí)法部門在監(jiān)管和保護我們的環(huán)境免受網(wǎng)絡(luò)安全威脅影響方面發(fā)揮著重要作用。

在最近一次向公眾展示價值的嘗試中，美國聯(lián)邦政府通過網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)提供了一款新的“評估”工具。該勒索軟件就緒評估(RRA)工具是網(wǎng)絡(luò)安全評估工具(CSET) 的最新模塊，旨在幫助組織了解并提升其網(wǎng)絡(luò)安全態(tài)勢。

不過，這個新工具，以及政府資助的技術(shù)應(yīng)用的整個概念，留下的問題多于答案。接下來，讓我們仔細看看這個工具存在何種不足，以及我們真正需要做些什么才能在對抗勒索軟件方面取得進展。

深入了解威脅

根據(jù)Chainalysis的數(shù)據(jù)顯示，2020年受害者通過加密貨幣支付了近3.5億美元的贖金，比2019年增加了311%。最近的攻擊，例如導(dǎo)致天然氣行業(yè)消費者恐慌的Colonial Pipeline事件以及JBS Foods攻擊事件，表明勒索軟件組織在攻擊目標方面具有戰(zhàn)略意義。除非您有專門查找Trickbot或Emotet等預(yù)感染的安全工具，否則它們通常不會被發(fā)現(xiàn)，從而使許多公司容易受到攻擊。

雖然勒索軟件肯定會帶來國家安全問題，但要找到問題的癥結(jié)，你必須有足夠的投入，首先就需要一個復(fù)雜的解決方案，它要遠比RRA微妙得多。

由于RRA僅顯示在任何給定時刻是否存在勒索軟件，因此它不考慮任何未來可能會被利用的漏洞。通過涉足企業(yè)安全運營過程，聯(lián)邦政府按理也應(yīng)該分擔責任。那么CISA現(xiàn)在是否負責了解勒索軟件存在與否?該政府機構(gòu)是否加入了合規(guī)審查的競爭行業(yè)?這些都是需要了解的問題。

事實上，許多企業(yè)都已經(jīng)使用該工具，包括證實存在安全問題的Colonial Pipelines、Kaseyas以及 JBSs 等等。

對政府“評估”工具的懷疑

以以色列安全公司NSO Group開發(fā)的軟件Pegasus為例，該軟件本應(yīng)針對犯罪分子，但卻被用作監(jiān)視記者和活動家的監(jiān)視工具。對Pegasus的調(diào)查令人震驚，以至于它發(fā)布了一個開源移動取證工具，以便其他人可以檢測Pegasus構(gòu)成的威脅。

如果RPA工具遺漏了些什么會怎樣?它是否提供了來自零日威脅和非基于簽名的威脅配置文件的錯誤安全感?政府是否確保該工具能夠為之前未知的威脅提供保護和警報?如果它不能保證任何這些內(nèi)容，那么該工具真正具有什么價值?

私營企業(yè)能夠比任何政府都更快、更堅決、更有創(chuàng)造性地解決商業(yè)問題。谷歌地圖就是如此，它比軍方以前投資的任何東西都更豐富、更具成本效益。通過引入無法正確解決問題的免費工具，政府對那些選擇使用它而非商業(yè)服務(wù)的人造成了安全威脅。

更好的策略是政府提供財政激勵措施，如退稅或免稅政策，如果組織能夠獲得權(quán)威威脅檢測公司的幫助，他們就可以從中受益。

真正的勒索軟件防御策略

如果您非常重視安全性并且部署了端點檢測和響應(yīng)(EDR)工具，那么勒索軟件感染的可能性就會很低。在幾乎所有的勒索軟件攻擊中，受害者要么沒有適當?shù)腅DR解決方案，要么就是有一個無效的解決方案，最終導(dǎo)致出現(xiàn)故障并造成漏洞。

網(wǎng)絡(luò)安全成熟度模型認證(CMMC)合規(guī)性要求國防部承包商擁有安全信息和事件管理 (SIEM)解決方案以及EDR解決方案，才有條件獲得政府合同。這些工具以及任何常規(guī)的安全和漏洞評估都被證明可以防御勒索軟件攻擊。也許將此要求外延至其他行業(yè)會對限制攻擊產(chǎn)生深遠影響。

企業(yè)組織確實需要政府的幫助，但這個RRA工具遠遠沒有發(fā)揮作用。政府提供了自我評估工具，但需要注意的是，它無法保證捕獲到勒索軟件。這無意中也傳遞了一個信息：這個工具還不夠好，你的安全仍然是你的問題!