了解你的敵人：對勒索軟件進行半盲打擊是行不通的

我們缺乏關于勒索軟件的實際范圍、規模和影響的可靠、有代表性、可操作的數據。贖金事件響應網絡可能會改變這種情況。

勒索軟件已經長大。勒索軟件攻擊曾經只是影響具有數百美元支付需求的個人計算機的網絡犯罪滋擾，現在影響整個公司網絡，產生數百萬的支付需求，甚至擾亂我們的日常生活。

此類犯罪背后的肇事者已變得高度有組織和多樣化，他們采用復雜的支持基礎設施生態系統來管理支付、目標定位、軟件和“業務”的其他方面。

勒索軟件現在對我們的國家安全、公共健康和安全以及經濟繁榮構成威脅。

由于勒索軟件帶來的威脅已經改變，我們的應對措施也必須改變。我們需要將我們的勒索軟件響應提升到國家安全級別，為此，我們必須彌合這一日益嚴重的威脅的信息共享差距。

國家安全級別的響應是集中的、積極的、優先的、廣泛的、協作的和持續的。然而，過去幾個月發生的事件——從對 Colonial Pipeline 到愛爾蘭衛生服務機構的攻擊，再到 JBS 肉類加工公司——清楚地表明，政府和網絡安全行業為打擊勒索軟件所做的工作還沒有達到這個水平的國家安全反應。

由 60 多名行業和政府專家組成的團隊組成的勒索軟件工作組最近的報告列出了近 50 條建議，這些建議將產生與勒索軟件威脅相匹配的國家安全級別的響應。如果完全實施，由此產生的行動將改變勒索軟件的軌跡并減弱其對我們社會的影響。

雖然報告的建議是相互關聯的，并打算作為一個包實施，但值得關注的一個要素是創建贖金事件響應網絡 (RIRN)。

盡管安全公司發布了大量關于勒索軟件的博文，但我們缺乏關于勒索軟件的實際范圍、規模和影響的可靠、具有代表性、可操作的數據。有多少組織支付贖金？犯罪生態系統的關鍵節點是什么？付費組織是否更有可能再次成為攻擊目標？是否有針對哪些類型的公司的趨勢？沒有人從系統的角度知道這些問題的答案。

此外，有關勒索軟件威脅的信息并未到達應有的所有組織，無論是私營公司還是政府機構。如果沒有高質量、及時的威脅信息，我們就無法有效地阻止、破壞、準備或響應勒索軟件攻擊。

我們還從痛苦的經驗中了解到，僅僅確定信息共享需求并不能填補空白。網絡安全行業多年來一直在談論信息共享，但這樣做通常具有挑戰性。

這種失敗通常是由于對信息共享如何運作的假設存在缺陷。與其假設唯一的相關信息是技術網絡數據，我們需要拓寬思路，超越妥協指標，將不同類型的網絡威脅信息包括在內，例如有關可能攻擊的警告或會阻止入侵者的防御緩解技術。

我們不應要求每個組織生成和使用技術網絡數據，而應考慮每個組織的比較優勢，并認識到業務相關性將推動共享。

我們不應該假設這個項目會很容易。信息共享需要承諾、時間和資源才能有效。

為了解決勒索軟件信息共享差距，網絡安全行業應按照勒索軟件工作組報告中的要求建立 RIRN。RIRN 將提供多種功能，包括接收和共享事件報告、將組織引導至事件響應服務、聚合數據以及共享有關持續威脅的警報。

RIRN 應根據現有標準制定標準報告格式，使自動共享成為可能，并應采用避免重復計算數據、保護隱私并關注參與者價值主張的業務流程。該網絡應包括非營利組織、網絡安全供應商、保險提供商、事件響應者和政府機構。

一個正常運行的 RIRN 將有助于彌合阻礙我們對勒索軟件做出反應的信息鴻溝。我們應該根據過去信息共享舉措的經驗教訓建立這樣一個網絡，從而避免破壞這種努力的常見缺陷。網絡安全行業不應坐等政府帶頭。我們現在可以創建網絡并邀請政府加入已經存在的東西。

雖然政府需要領導對勒索軟件的整體國家安全響應，但私營和非營利部門應在多個領域發揮領導作用，尤其是在創建信息共享網絡方面。

我經營的非營利組織網絡威脅聯盟致力于使勒索軟件事件響應網絡成為現實。我們將利用我們在網絡威脅情報共享方面的經驗，幫助 RIRN 從一開始就可行。