最后更新于2022年3月17日星期四13:01:34 GMT
在过去的几十年中, 攻击者破坏系统并窃取敏感信息,引发了一波关注消费者隐私和违规通知的法规. 目前的激增 ransomware攻击 是否促使政策制定者采取新一轮行动. 不像侵犯个人信息所带来的更抽象的危害, 勒索软件会使系统瘫痪, 暂停商业和政府运作,并可能威胁到健康和安全. 对这种形式的网络犯罪的认识发生转变的一个迹象是,拜登总统 addressed 勒索软件威胁 multiple times in 2021.
勒索软件威胁的风险增加,正促使监管机构更加认真地审视网络安全保障的监管要求是否有效,或者是否需要新的要求来帮助打击这一威胁. 联邦机构也在加强信息共享和事件报告方面的协调, 本届政府正在加强与国际伙伴和私营部门的合作. 让我们看看最近和正在进行的一些举措.
关键基础设施的网络安全要求
In March 2021, 国土安全部部长马约卡斯宣布了一系列加强关键基础设施网络安全的举措, 称勒索软件是对国家安全的威胁. 不到两个月后, 殖民管道勒索软件事件 扰乱了东海岸的燃料供应.
在殖民地袭击后不久, 运输安全管理局(TSA)行使其权力,对管道部门实施安全法规. Through two separate rules, TSA要求管道运营商建立事故响应和恢复计划, 实施缓解措施以防范勒索软件攻击, 并接受年度网络安全审计和架构审查, 除此之外.
2021年12月,运输安全管理局还发布了新的航空安全规定, freight rail, and 客运铁路 sectors. 法规要求(除其他事项外)向CISA报告勒索软件事件,并维护事件响应计划以进行检测, mitigate, 并从勒索软件攻击中恢复.
勒索软件是网络安全要求突然收紧的一个关键激励因素. 此前,管道的网络安全法规是自愿的 宽松的关系 管道运营商和监管机构之间. 政策制定者越来越多地表达了对其他问题的担忧 关键基础设施部门 你的处境相似吗. 当勒索软件成功破坏关键基础设施运营时,基本的社会需求将面临风险, 一些立法者 signaling 对为关键部门制定额外的网络安全法规持开放态度.
外国资产控制办公室的制裁
联邦政府也在利用其制裁权力来阻止勒索软件的支付. 根据FinCEN最近的一份报告 report在美国,报告的勒索软件交易平均金额约为1亿美元 per month in 2021. 这些付款鼓励了更多基于赎金的攻击,并为其他犯罪活动提供资金.
外国资产控制办公室(OFAC) issued 指南警告说,向受制裁的个人和组织支付赎金违反了制裁条例. 这些违规行为的责任, OFAC notes, 即使该人不知道勒索软件付款已发送给受制裁实体,也适用.
批评这种做法的人士警告说,对特定的攻击组织实施制裁是无效的,因为这些组织可以简单地改名换利或与其他犯罪分子合作,以获取报酬. 他们还说,对付款实行制裁只会使那些受到攻击的组织或个人进一步受害,并剥夺他们恢复的选择,或迫使他们转入地下. 勒索软件的报道已经严重不足, 批评制裁的人士警告说,制裁可能会导致缺乏透明度.
最近,OFAC还发行了虚拟货币 guidance ——针对货币公司, miners, exchanges, 而用户——强调向受制裁实体支付勒索软件的便利 illegal. 该指南还描述了在交易期间评估违反制裁风险的最佳做法. 此外,OFAC imposed 对一家俄罗斯加密货币交易所实施制裁,理由是该交易所涉嫌为勒索软件参与者提供金融交易便利——这是此类制裁的首次实施.
OFAC 接着是一个建议 关于虚拟货币行业的制裁指导,并对一家加密货币公司实施制裁,该公司没有尽职调查,以防止向勒索软件犯罪团伙提供付款便利.
Ransomware报告
向联邦当局报告勒索软件支付和勒索软件相关事件的要求是另一个值得关注的领域. 通过拜登政府,对联邦机构和承包商提出了事故报告要求 行政命令但国会正在采取措施,将这些要求扩大到其他私营部门实体.
众议院和参议院都取得了进展 legislation 这将要求企业在24小时内报告勒索付款. 报告需要包括付款方式, 付款说明, 以及其他细节,以帮助联邦调查人员跟踪支付流程,并识别勒索软件的长期趋势. 该法案还要求关键基础设施的所有者和运营商在72小时内报告重大网络安全事件(包括破坏性勒索软件攻击). Interestingly, 该立法对“勒索软件”的定义包括所有基于勒索的攻击(例如威胁 DDoS),而不仅仅是在支付赎金之前锁定系统操作的恶意软件.
尽管众议院和参议院的立法清除了几个障碍,但它没有在2021年通过国会. However, 我们预计会再次推动事件报告, 或者其他针对勒索软件的立法, 2022年及以后.
Update - Mar. 17, 2022: 《pg电子》已经颁布,现已成为法律. 欲知详情,请 看看我们的博客.
一种更具协作性、全政府参与的方式
拜登政府 特征 勒索软件作为一个经济和国家安全问题相对较早,并且已经 detailed 许多联邦政府的努力来对抗它. 我们还看到国际政府和执法合作的显著增加, 并确定公私合作, prosecute, 并打击勒索软件罪犯, 找到他们的避风港. 除上述外,最近的努力还包括:
- 2021年4月,美国司法部(DOJ) created 一个数字勒索特别工作组,并于6月成立 elevated 勒索软件将成为与恐怖主义同等重要的问题.
- 2021年6月,美国政府出席G7峰会,讨论勒索软件问题 commitment “共同努力,紧急应对犯罪勒索软件网络不断升级的共同威胁.他们接着“呼吁所有国家紧急识别并破坏在其境内运作的勒索软件犯罪网络”, 让这些网络为他们的行为负责.”
- 同样在2021年6月,勒索软件在 欧盟-美国司法和内政部长会议, 双方承诺共同打击勒索软件,包括采取执法行动, 提高公众对如何保护网络的意识,以及向犯罪分子支付赎金的风险, 并鼓励那些对这一罪行视而不见的国家在其领土上逮捕、引渡或有效起诉罪犯.”
- 2021年8月, 网络安全和基础设施安全局(CISA)宣布成立 联合网络防御协作 (JCDC)“整合跨多个联邦机构的独特网络能力”, 许多州和地方政府, 以及无数的私营部门实体.”
- 2021年8月,白宫宣布 自愿工业控制系统网络安全倡议 加强关键基础设施抵御勒索软件的能力.
- 2021年9月,NIST发布了一份 勒索软件风险管理简介 浏览其网络安全架构.
- 2021年10月,白宫举办了一场 反勒索软件倡议会议, 将全球30个国家的政府聚集在一起,“讨论勒索软件日益升级的全球安全威胁”,并确定潜在的解决方案.
- 同样在2021年10月,a 国际执法机构和私营部门专家小组进行了合作 迫使勒索软件组织REvil下线.
- 2021年11月 美国司法部宣布 逮捕了三名勒索软件攻击者,对第四人提出指控,并“扣押了6美元”.100万美元的资金可以追溯到所谓的赎金支付.它将这些成功归功于“与国际社会密切合作的成果”, 美国政府, 尤其是我们的私营部门合作伙伴.”
- 由多个联邦机构合作制作 StopRansomware site, 它提供了什么是勒索软件的基本资源, 如何降低风险, 以及如何报告事件或请求帮助.
- 高级政策制定者正在进行的工作,如 副司法部长丽莎·莫纳科,以及联邦机构,如 CISA和FBI, 保持对勒索软件威胁的及时警报的稳定流动,以及公共和私营部门合作打击它的必要性.
勒索软件让安全成为人们关注的焦点
多年来,大多数政策制定者没有“明白”网络安全的必要性,这是有争议的. 现在,情况发生了显著变化, 随着勒索软件和民族国家之间的竞争,人们重新产生了紧迫感. 考虑到严重性, persistence, 以及勒索软件威胁的广泛性, Rapid7支持检测和减轻这些攻击的新措施. 这些趋势似乎不太可能很快减弱, 我们预计,在未来一段时间内,网络安全方面的监管活动和信息共享将受到勒索软件的推动.
更多阅读:
