CISA发布的勒索软件就绪评估工具确实存在不足,但安全专业人员可以在此基础上进行构建。
在我们经济和日常生活的每个角落,几乎所有类别的网络安全都遭受了破坏。根据Sophos发布的一项调查数据显示,2020年缓解攻击的平均成本高达185万美元。越来越多的网络安全专业人士认为,联邦政府和当地执法部门在监管和保护我们的环境免受网络安全威胁影响方面发挥着重要作用。
在最近一次向公众展示价值的尝试中,美国联邦政府通过网络安全和基础设施安全局(CISA)提供了一款新的“评估”工具。该勒索软件就绪评估(RRA)工具是网络安全评估工具(CSET) 的最新模块,旨在帮助组织了解并提升其网络安全态势。
不过,这个新工具,以及政府资助的技术应用的整个概念,留下的问题多于答案。接下来,让我们仔细看看这个工具存在何种不足,以及我们真正需要做些什么才能在对抗勒索软件方面取得进展。
深入了解威胁
根据Chainalysis的数据显示,2020年受害者通过加密货币支付了近3.5亿美元的赎金,比2019年增加了311%。最近的攻击,例如导致天然气行业消费者恐慌的Colonial Pipeline事件以及JBS Foods攻击事件,表明勒索软件组织在攻击目标方面具有战略意义。除非您有专门查找Trickbot或Emotet等预感染的安全工具,否则它们通常不会被发现,从而使许多公司容易受到攻击。
虽然勒索软件肯定会带来国家安全问题,但要找到问题的症结,你必须有足够的投入,首先就需要一个复杂的解决方案,它要远比RRA微妙得多。
由于RRA仅显示在任何给定时刻是否存在勒索软件,因此它不考虑任何未来可能会被利用的漏洞。通过涉足企业安全运营过程,联邦政府按理也应该分担责任。那么CISA现在是否负责了解勒索软件存在与否?该政府机构是否加入了合规审查的竞争行业?这些都是需要了解的问题。
事实上,许多企业都已经使用该工具,包括证实存在安全问题的Colonial Pipelines、Kaseyas以及 JBSs 等等。
对政府“评估”工具的怀疑
以以色列安全公司NSO Group开发的软件Pegasus为例,该软件本应针对犯罪分子,但却被用作监视记者和活动家的监视工具。对Pegasus的调查令人震惊,以至于它发布了一个开源移动取证工具,以便其他人可以检测Pegasus构成的威胁。
如果RPA工具遗漏了些什么会怎样?它是否提供了来自零日威胁和非基于签名的威胁配置文件的错误安全感?政府是否确保该工具能够为之前未知的威胁提供保护和警报?如果它不能保证任何这些内容,那么该工具真正具有什么价值?
私营企业能够比任何政府都更快、更坚决、更有创造性地解决商业问题。谷歌地图就是如此,它比军方以前投资的任何东西都更丰富、更具成本效益。通过引入无法正确解决问题的免费工具,政府对那些选择使用它而非商业服务的人造成了安全威胁。
更好的策略是政府提供财政激励措施,如退税或免税政策,如果组织能够获得权威威胁检测公司的帮助,他们就可以从中受益。
真正的勒索软件防御策略
如果您非常重视安全性并且部署了端点检测和响应(EDR)工具,那么勒索软件感染的可能性就会很低。在几乎所有的勒索软件攻击中,受害者要么没有适当的EDR解决方案,要么就是有一个无效的解决方案,最终导致出现故障并造成漏洞。
网络安全成熟度模型认证(CMMC)合规性要求国防部承包商拥有安全信息和事件管理 (SIEM)解决方案以及EDR解决方案,才有条件获得政府合同。这些工具以及任何常规的安全和漏洞评估都被证明可以防御勒索软件攻击。也许将此要求外延至其他行业会对限制攻击产生深远影响。
企业组织确实需要政府的帮助,但这个RRA工具远远没有发挥作用。政府提供了自我评估工具,但需要注意的是,它无法保证捕获到勒索软件。这无意中也传递了一个信息:这个工具还不够好,你的安全仍然是你的问题!