Last updated at Thu, 17 Mar 2022 13:01:34 GMT
In past decades, 攻击者破坏系统并窃取敏感信息,引发了一波关注消费者隐私和违规通知的法规. The current surge in ransomware attacks 是否促使政策制定者采取新一轮行动. 不像侵犯个人信息所带来的更抽象的危害, ransomware will grind systems to a halt, 暂停商业和政府运作,并可能威胁到健康和安全. 对这种形式的网络犯罪的认识发生转变的一个迹象是,拜登总统 addressed the ransomware threat multiple times in 2021.
勒索软件威胁的风险增加,正促使监管机构更加认真地审视网络安全保障的监管要求是否有效,或者是否需要新的要求来帮助打击这一威胁. 联邦机构也在加强信息共享和事件报告方面的协调, 本届政府正在加强与国际伙伴和私营部门的合作. 让我们看看最近和正在进行的一些举措.
关键基础设施的网络安全要求
In March 2021, 国土安全部部长马约卡斯宣布了一系列加强关键基础设施网络安全的举措, 称勒索软件是对国家安全的威胁. Less than two months later, the Colonial Pipeline ransomware event disrupted the East Coast fuel supply.
Not long after the Colonial attack, 运输安全管理局(TSA)行使其权力,对管道部门实施安全法规. Through two separate rules, TSA要求管道运营商建立事故响应和恢复计划, 实施缓解措施以防范勒索软件攻击, 并接受年度网络安全审计和架构审查, among other things.
2021年12月,运输安全管理局还发布了新的航空安全规定, freight rail, and passenger rail sectors. 法规要求(除其他事项外)向CISA报告勒索软件事件,并维护事件响应计划以进行检测, mitigate, and recover from ransomware attacks.
勒索软件是网络安全要求突然收紧的一个关键激励因素. 此前,管道的网络安全法规是自愿的 accommodative relationship 管道运营商和监管机构之间. 政策制定者越来越多地表达了对其他问题的担忧 critical infrastructure sectors are in a similar position. 当勒索软件成功破坏关键基础设施运营时,基本的社会需求将面临风险, some lawmakers are signaling 对为关键部门制定额外的网络安全法规持开放态度.
OFAC sanctions
联邦政府也在利用其制裁权力来阻止勒索软件的支付. According to a recent FinCEN report在美国,报告的勒索软件交易平均金额约为1亿美元 per month in 2021. 这些付款鼓励了更多基于赎金的攻击,并为其他犯罪活动提供资金.
The Office of Foreign Assets Control (OFAC) issued 指南警告说,向受制裁的个人和组织支付赎金违反了制裁条例. Liability for these violations, OFAC notes, 即使该人不知道勒索软件付款已发送给受制裁实体,也适用.
批评这种做法的人士警告说,对特定的攻击组织实施制裁是无效的,因为这些组织可以简单地改名换利或与其他犯罪分子合作,以获取报酬. 他们还说,对付款实行制裁只会使那些受到攻击的组织或个人进一步受害,并剥夺他们恢复的选择,或迫使他们转入地下. Ransomware is already grossly under-reported, 批评制裁的人士警告说,制裁可能会导致缺乏透明度.
最近,OFAC还发行了虚拟货币 guidance — aimed at currency companies, miners, exchanges, 而用户——强调向受制裁实体支付勒索软件的便利 illegal. 该指南还描述了在交易期间评估违反制裁风险的最佳做法. In addition, OFAC imposed 对一家俄罗斯加密货币交易所实施制裁,理由是该交易所涉嫌为勒索软件参与者提供金融交易便利——这是此类制裁的首次实施.
OFAC followed up with an advisory 关于虚拟货币行业的制裁指导,并对一家加密货币公司实施制裁,该公司没有尽职调查,以防止向勒索软件犯罪团伙提供付款便利.
Ransomware reporting
向联邦当局报告勒索软件支付和勒索软件相关事件的要求是另一个值得关注的领域. 通过拜登政府,对联邦机构和承包商提出了事故报告要求 Executive Order但国会正在采取措施,将这些要求扩大到其他私营部门实体.
众议院和参议院都取得了进展 legislation 这将要求企业在24小时内报告勒索付款. 报告需要包括付款方式, instructions for making the payment, 以及其他细节,以帮助联邦调查人员跟踪支付流程,并识别勒索软件的长期趋势. 该法案还要求关键基础设施的所有者和运营商在72小时内报告重大网络安全事件(包括破坏性勒索软件攻击). Interestingly, 该立法对“勒索软件”的定义包括所有基于勒索的攻击(例如威胁 DDoS),而不仅仅是在支付赎金之前锁定系统操作的恶意软件.
尽管众议院和参议院的立法清除了几个障碍,但它没有在2021年通过国会. However, 我们预计会再次推动事件报告, or other legislation to address ransomware, in 2022 and beyond.
Update - Mar. 17, 2022: 《pg电子》已经颁布,现已成为法律. For more details, check out our blog post.
一种更具协作性、全政府参与的方式
The Biden Administration characterized 勒索软件作为一个经济和国家安全问题相对较早,并且已经 detailed numerous federal efforts to counter it. 我们还看到国际政府和执法合作的显著增加, and public-private collaboration to identify, prosecute, and disrupt ransomware criminals, and address their safe harbors. 除上述外,最近的努力还包括:
- In April 2021, the Department of Justice (DOJ) created a Digital Extortion Task Force, and in June elevated 勒索软件将成为与恐怖主义同等重要的问题.
- 2021年6月,美国政府出席G7峰会,讨论勒索软件问题 commitment “共同努力,紧急应对犯罪勒索软件网络不断升级的共同威胁.他们接着“呼吁所有国家紧急识别并破坏在其境内运作的勒索软件犯罪网络”, 让这些网络为他们的行为负责.”
- 同样在2021年6月,勒索软件在 欧盟-美国司法和内政部长会议, 双方承诺共同打击勒索软件,包括采取执法行动, 提高公众对如何保护网络的意识,以及向犯罪分子支付赎金的风险, 并鼓励那些对这一罪行视而不见的国家在其领土上逮捕、引渡或有效起诉罪犯.”
- In August 2021, 网络安全和基础设施安全局(CISA)宣布成立 Joint Cyber Defense Collaborative (JCDC)“整合跨多个联邦机构的独特网络能力”, many state and local governments, and countless private sector entities.”
- In August 2021, the White House announced the 自愿工业控制系统网络安全倡议 加强关键基础设施抵御勒索软件的能力.
- In September 2021, NIST issued a ransomware risk management profile for its Cybersecurity Framework.
- In October 2021, the White House hosted a Counter Ransomware Initiative Meeting, 将全球30个国家的政府聚集在一起,“讨论勒索软件日益升级的全球安全威胁”,并确定潜在的解决方案.
- Also in October 2021, a 国际执法机构和私营部门专家小组进行了合作 to force ransomware group REvil offline.
- In November 2021, the US Department of Justice announced 逮捕了三名勒索软件攻击者,对第四人提出指控,并“扣押了6美元”.100万美元的资金可以追溯到所谓的赎金支付.它将这些成功归功于“与国际社会密切合作的成果”, US government, and especially our private-sector partners.”
- 由多个联邦机构合作制作 StopRansomware site, 它提供了什么是勒索软件的基本资源, how to reduce risks, 以及如何报告事件或请求帮助.
- Ongoing work of senior policymakers such as Deputy Attorney General Lisa Monaco, as well as federal agencies such as CISA and the FBI, 保持对勒索软件威胁的及时警报的稳定流动,以及公共和私营部门合作打击它的必要性.
Ransomware brings security center-stage
多年来,大多数政策制定者没有“明白”网络安全的必要性,这是有争议的. Now the landscape has changed significantly, 随着勒索软件和民族国家之间的竞争,人们重新产生了紧迫感. Given the seriousness, persistence, and widespread nature of the ransomware threat, Rapid7支持检测和减轻这些攻击的新措施. These trends do not seem likely to abate soon, 我们预计,在未来一段时间内,网络安全方面的监管活动和信息共享将受到勒索软件的推动.
Additional reading:
