CISA发布的勒索软件就绪评估工具确实存在不足,但安全专业人员可以在此基础上进行改进。在我们经济和日常生活的每个角落,几乎所有类别的网络安全都受到了损害。根据Sophos发布的一项调查,2020年缓解攻击的平均成本高达185万美元。越来越多的网络安全专业人士认为,联邦政府和地方执法部门在监管和保护我们的环境免受网络安全威胁方面发挥着重要作用。在向公众展示价值的最新尝试中,美国联邦政府通过网络安全和基础设施安全局(CISA)提供了一种新的“评估”工具。勒索软件就绪评估(RRA)工具是网络安全评估工具(CSET)的最新模块,旨在帮助组织了解和改善其网络安全态势。尽管如此,这个新工具,以及政府资助的技术应用的整个概念,留下的问题多于答案。接下来,让我们仔细看看这个工具的不足之处以及我们真正需要做些什么才能在对抗勒索软件方面取得进展。根据Chainalysis的数据,2020年受害者通过加密货币支付了近3.5亿美元的赎金,比2019年增长了311%。最近的攻击,例如引起天然气行业消费者恐慌的ColonialPipeline事件和JBSFoods事件,表明勒索软件团体在其目标上具有战略意义。除非你有专门寻找Trickbot或Emotet等预感染的安全工具,否则它们通常不会被发现,从而使许多公司容易受到攻击。虽然勒索软件肯定会引起国家安全问题,但要找到问题的根源需要坚定的承诺,而这要从一个比RRA微妙得多的复杂解决方案开始。由于RRA仅显示勒索软件在任何给定时刻是否存在,因此不会考虑任何未来可能被利用的漏洞。通过参与企业安全运营过程,联邦政府也应该分担责任。那么CISA现在是否负责了解勒索软件的存在与否?政府机构是否加入了合规审查的竞争行业?这些是要知道的问题。事实上,许多企业已经在使用该工具,包括ColonialPipelines、Kaseyas和JBSs等,这些企业已经证明存在安全问题。对政府“评估”工具的质疑引用了以色列安全公司NSOGroup开发的软件Pegasus的例子,该软件本应针对犯罪分子,但却被用作监视记者和活动家的监视工具。Pegasus的调查非常令人震惊,以至于它发布了一个开源移动取证工具,以便其他人可以检测Pegasus构成的威胁。如果RPA工具丢失了一些东西怎么办?它是否提供了一种来自零日威胁和非基于签名的威胁配置文件的错误安全感?政府是否确保该工具可以为以前未知的威胁提供保护和警报?如果它不能保证其中任何一个,那么这个工具的真正价值是什么?私营企业比任何政府都能更快、更果断、更创造性地解决商业问题。谷歌地图就是这种情况,它比军方之前投资的任何东西都更丰富、更具成本效益。通过引入不能正确解决问题的免费工具,政府对那些选择使用它而不是商业服务的人构成了安全威胁。更好的策略是政府提供财政激励措施,例如退税或免税,如果组织能够获得权威威胁检测公司的帮助,他们可以从中受益。真正的勒索软件防御策略如果您非常重视安全性并部署了端点检测和响应(EDR)工具,则勒索软件感染的可能性很低。在几乎所有的勒索软件攻击中,受害者要么没有适当的EDR解决方案,要么没有有效的解决方案,最终导致故障并产生漏洞。网络安全成熟度模型认证(CMMC)合规性要求国防部承包商拥有安全信息和事件管理(SIEM)解决方案以及EDR解决方案,才有资格获得政府合同。事实证明,这些工具连同任何定期的安全和漏洞评估都可以抵御勒索软件攻击。也许将此要求扩展到其他行业会对限制攻击产生深远影响。组织确实需要政府的帮助,但这种RRA工具远没有用处。政府提供了一种自我评估工具,但需要注意的是,它不能保证一定会捕获勒索软件。这也在不经意间发出一个信息:这个工具不够好,你的安全还是你的问题!
