CISA發布的勒索軟件就緒評估工具確實存在不足，但安全專業人員可以在此基礎上進行構建。

在我們經濟和日常生活的每個角落，幾乎所有類別的網絡安全都遭受了破壞。根據Sophos發布的一項調查數據顯示，2020年緩解攻擊的平均成本高達185萬美元。越來越多的網絡安全專業人士認為，聯邦政府和當地執法部門在監管和保護我們的環境免受網絡安全威脅影響方面發揮著重要作用。

在最近一次向公眾展示價值的嘗試中，美國聯邦政府通過網絡安全和基礎設施安全局(CISA)提供了一款新的“評估”工具。該勒索軟件就緒評估(RRA)工具是網絡安全評估工具(CSET) 的最新模塊，旨在幫助組織了解并提升其網絡安全態勢。

不過，這個新工具，以及政府資助的技術應用的整個概念，留下的問題多于答案。接下來，讓我們仔細看看這個工具存在何種不足，以及我們真正需要做些什么才能在對抗勒索軟件方面取得進展。

深入了解威脅

根據Chainalysis的數據顯示，2020年受害者通過加密貨幣支付了近3.5億美元的贖金，比2019年增加了311%。最近的攻擊，例如導致天然氣行業消費者恐慌的Colonial Pipeline事件以及JBS Foods攻擊事件，表明勒索軟件組織在攻擊目標方面具有戰略意義。除非您有專門查找Trickbot或Emotet等預感染的安全工具，否則它們通常不會被發現，從而使許多公司容易受到攻擊。

雖然勒索軟件肯定會帶來國家安全問題，但要找到問題的癥結，你必須有足夠的投入，首先就需要一個復雜的解決方案，它要遠比RRA微妙得多。

由于RRA僅顯示在任何給定時刻是否存在勒索軟件，因此它不考慮任何未來可能會被利用的漏洞。通過涉足企業安全運營過程，聯邦政府按理也應該分擔責任。那么CISA現在是否負責了解勒索軟件存在與否?該政府機構是否加入了合規審查的競爭行業?這些都是需要了解的問題。

事實上，許多企業都已經使用該工具，包括證實存在安全問題的Colonial Pipelines、Kaseyas以及 JBSs 等等。

對政府“評估”工具的懷疑

以以色列安全公司NSO Group開發的軟件Pegasus為例，該軟件本應針對犯罪分子，但卻被用作監視記者和活動家的監視工具。對Pegasus的調查令人震驚，以至于它發布了一個開源移動取證工具，以便其他人可以檢測Pegasus構成的威脅。

如果RPA工具遺漏了些什么會怎樣?它是否提供了來自零日威脅和非基于簽名的威脅配置文件的錯誤安全感?政府是否確保該工具能夠為之前未知的威脅提供保護和警報?如果它不能保證任何這些內容，那么該工具真正具有什么價值?

私營企業能夠比任何政府都更快、更堅決、更有創造性地解決商業問題。谷歌地圖就是如此，它比軍方以前投資的任何東西都更豐富、更具成本效益。通過引入無法正確解決問題的免費工具，政府對那些選擇使用它而非商業服務的人造成了安全威脅。

更好的策略是政府提供財政激勵措施，如退稅或免稅政策，如果組織能夠獲得權威威脅檢測公司的幫助，他們就可以從中受益。

真正的勒索軟件防御策略

如果您非常重視安全性并且部署了端點檢測和響應(EDR)工具，那么勒索軟件感染的可能性就會很低。在幾乎所有的勒索軟件攻擊中，受害者要么沒有適當的EDR解決方案，要么就是有一個無效的解決方案，最終導致出現故障并造成漏洞。

網絡安全成熟度模型認證(CMMC)合規性要求國防部承包商擁有安全信息和事件管理 (SIEM)解決方案以及EDR解決方案，才有條件獲得政府合同。這些工具以及任何常規的安全和漏洞評估都被證明可以防御勒索軟件攻擊。也許將此要求外延至其他行業會對限制攻擊產生深遠影響。

企業組織確實需要政府的幫助，但這個RRA工具遠遠沒有發揮作用。政府提供了自我評估工具，但需要注意的是，它無法保證捕獲到勒索軟件。這無意中也傳遞了一個信息：這個工具還不夠好，你的安全仍然是你的問題!