1、2022 云安全联盟大中华区-版权所有12022 云安全联盟大中华区-版权所有2目目录录致 谢.3基于 NIST 网络安全框架的勒索软件风险管理内部报告.4摘要.5关键词.51.引言.51.1 勒索软件的挑战.51.2 适用对象.81.3 其他指导性资源.92、勒索软件风险管理.9参考文献:.33附录 A.342022 云安全联盟大中华区-版权所有3致致 谢谢云安全联盟大中华区(简称:CSA GCR)隐私与个人信息保护法律工作�������组在2021 年 4 月成立。由原浩、方婷担任工作组联席组长,工作组专家来自竹辉律师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟科技、美云智数、上海
2、 CA、上海网综所、埃森哲、亚萨合莱、360 政企安全、软通动力信息、艾贝链动等十多个单位。本报告由 CSA ������大中华区隐私与个人信息保护法律 工作组专家翻译,感谢以下专家的贡献(排名不分先后):联席组长:原 浩原创作者:高健凯贺志生 张元恺 沈 勇审核专家:郭鹏程赵 晔原 浩姚 凯研究协调员:高健凯贡献单位:北森云计算有限公司原文作者:William C. Barker、William Fisher、Karen Scarfone������ 和 MurugiahSouppaya 版权、专利和其他原始权利归属于 NISTIR 8374 中所指称的相关方。(出版物的声明部分从略)关于研究工作组的更多介绍,请在
3、 CSA 大中华区官网(https:/c- 上查看,如本白皮书有不妥当之处,敬请读者联系 CSA GCR 秘书处给与雅正!联系邮箱: researchc-;云安全联盟 CSA 公众号:2022 云安全联盟大中华区-版权所有4基基于于 N NI IS ST T 网网络络安安全全框框架架的的勒勒索索软软件件风风险险管管理理内内部部报报告告(N NI IS ST TI IR R 8 83 37 74 4)中文版说明2022 年 2 月,美国商务部下设的国家标准与技术研究所(NIS�����T)发布了最终版基于 NIST 网络安全框架的勒索软件风险管理内部报告,这是对 2020 年以来重大勒索攻击事件从技术和管
4、理层面的整体策略回应,同时也是履行其基于 2014年网络安全促进法和制定、完善提升关键基础设施网络安全框架(Framewor�������k for Improving Critical Infrastructure Cybersecurity,2018 年 1.1 版本,本文统称网络安全框架,下同)的行政职责。CSA 大中华区隐私与个人信息保护法律工作组翻译了该文件(有删减),以期对国内的关键信息基础设施保障和提高应对勒索攻击的能力上有所借鉴,特别是在支持关键信息基础设施安全保护条例制度落地的方法论和策略方面,且在具体的应用场景上与网络安全等级保护的措施形成有益的补充和对照。值得注意的是,本报告的风险控制
5、主要是在�������组织层面实现,这与关键信息基础设施安全保护条例专章突出行业、领域的保护工作部门的机制有所不同,企业在参考时应予以关注和区别。2022 云安全联盟大中华区-版权所有5摘摘 要要勒勒索索软软件件(攻攻击击)是一种恶意攻击,攻击��������者加密组织的数据,并要求付款以恢复访问。攻击者也可能窃取组织的信息,并要求额外的付款,以换取不向当局、竞争对手或公众披露信息。本报告确定了网络安全框架 1.1 版下的安全目标,支持识别、防范、检测,以应对勒索软件事件并从中恢复。本报告可作为管理勒索软件事件风险的指南,为衡量组织在应对勒索软件威胁和处理事件潜在后果方面的准备程度提供支持。关关键键词词网络安全框架;检测;
6、识别;保护;勒索软件;恢复;响应;风险;安全1.引引言言本报告可帮助组织和个人管理勒索软件事件的风险,为衡量组织在应对勒索软件威胁和处理事件潜在后果方面的准备程度提供支持;也可作为是改善网络安全的契机,帮助挫败勒索软件(攻击等威胁)。本报告确定了提升关键基础设施网络安全框架1.1 版下的安全目标,支持识别、防范、检测,以应对勒索软件事件并从中恢复。1.1 勒勒索索软软件件的的挑挑战战勒索软件是一种恶意软件,它加密组织的数据,并要求付款作为恢复对该数据访问的条������件。勒索软件还可以用来窃取组织的信息,并要求支付额外的费用,以换取不将信息披露给当局、竞争对手或公众。勒索软件攻击的目标是组织的数据或20
7、22 云安全联盟大中华区-版权所有6关键基础设施,扰乱或中止组织的运营,给管理层带来两难选择����:支付赎金并希望攻击者遵守恢复访问且不泄露数据的承诺;或者不支付赎金并尝试恢复运营。使用勒索软件进入某个组织的信息系统,在广泛的网络攻击中是很常见的方法,但其(特点)旨在强制(受害者)支付赎金。并且攻击者不断尝试采用新的手段向受害者施加压力,用于传播勒索软件的技术也在继续发生变化。勒索软件攻击与其他网络安全事件不同。在其他网络安全事件中,攻击者可能会隐蔽(不会直接影响业务运营)的获取知识产权、信用卡数据或个人身份信息等资料,然后披露这些信息以获取收益;勒索软件却可能会对业务的运营产生直接影响。在勒索软件
8、(攻击)事件发生后,企业可能没有充分时间缓解或补救影响、恢复系统,或通过必要的业务、合作伙伴和公共关系渠道沟通。出于这个原因,组织做出准�����备尤为关键。这�������包括教育网络系统的用户、响应团队和业务决策者,让他们在潜在勒索事件发生之前,了解预防和处理这些危害的流程和程序。幸运的是,企业可以遵循建议的步骤准备和减少勒索软件攻击得逞的可能性。这包括以下内容:识别和保护关键数据、系统和设备;尽早发现勒索软件事件(最好是在勒索软件侵入之前);并应对任何勒索软件事件和从中恢复。有许多资源可用 于协助组织开展这些工作。它们包括来自美国国家标准与技术研究所(NIST)、联邦调查局(FBI)和国土安全部(DHS)的信息
9、。本文附录 A 中列出了 NIST 的其他资源。本报告表 1 中的安全能力和措施支持预防和缓解勒索软件事件的详细方法。认识到采取所有这些措施超出了一般人员的能力范围,下面的文本仅包含了组织可以采取的基本预防措施,以防勒索软件威胁。并非所有这些措施都适用于所有组织的所有情况。本报告中的指导意见可视为最佳实践,但并非法律或监管要求。2022 云安全联盟大中华区-版权所有7【基基本本的的勒勒索索病病毒毒提提示示】即使不采取本报告中描述的所有措施,组织现在也可以采取一些基本的预防措施,防止勒索软件威胁并从中恢复。������这些措施包括:(1)教教育育员员工工如如����何何避避免免勒勒索索软软件件的的感感染染。不要打开
10、来源不明的文件和链接,除非首先扫描病毒或仔细检查链接。避免在办公计算机上使用个人网站和个人应用程序 ( 如电子邮件、聊天和社交媒体)。未经事先授权,不要将个人拥有的设备连接到工作网络。(2)避避免免在在系系统统中中出出现现勒勒索索软软件件可可能能利利用用的的漏漏洞洞。保持相关系统完全打好补丁。定期检查���可用的补丁程序,并在可行的情况下尽快安装这些补丁。在所有网络系统中采用零信任原则。管理所有网络功能的访问,在可行的情况下对内部网络分区,以防恶意软件在潜在的目标系统中扩散。只允许安装和执行授权的应用程序。配置操作系统和/或第三方软件,使其只运行 授权的应用程序。可以建立审查机制予以支持,在可信应用
11、列表中添加或删除授权的应用程序。向技术供应商告知期望(如使用合同语言),推动供应链采取措施阻止索软件攻击。(3)快快速速检检测测并并阻阻止止勒勒索索软软件件攻攻击击和和感感染染。无论什么时候都使用恶意应用检测软件,如防病毒软件,将其设置为自动扫描电子邮件和移动存储设备。持续监测目录服务(和其他主要用户存储),发现疑似或主动攻击的迹象。2022 云安全联盟大中华区-版权所有8禁止访问不受信任的网络资源。使用的产品或�������服务屏蔽已知的恶意或疑似恶意的服务器名称、IP 地址或端口和协议。包括使用为地址的域名部分提供完整性保护的产品和服务(如 )。(4)让让勒勒索索软软件件更更难难传传播播。尽可能使用具有
12、多因子认证的标准用户账户,非管理权限的账户。引入认证延期登录或设置账户自动锁定,预防密码猜测。为组��织的所有资产和软件分配和管理凭证授权,并定期验证每个账户只拥有必要的访问权限,遵循最小特权原则。以固定格式存储数据(这样,当有新数据时,数据库不会自动覆盖旧数据)。只允许外部人员通过安全的虚拟专用网络(VPN)连接访问内部网络资源。(5)更更易易于于从从未未来来的的勒勒索索软软件件事事件件中中恢恢复复存存储储的的信信息息。制定一个事件恢复�������计划。制定、实施并定期演练事件恢复计划,明确决策的角色 和策略。该计划应显示关键服务和其它商业基础服务,以便确定业务恢复的优先次序。事件恢复计划可以是业务连续性计
13、划的一部分。备份数据,安全备份和测试恢复。谨慎制定策略、实施和测试数据备份和恢复策略,并保护和隔离重要数据的备份。保留联系方式。维护一份最新的勒索软件攻击的内外部联系人名单,名单包括执法部门、法律顾问和事件响应资源。1.2 适适用用对对象象本报告的适用对象是拥有可能遭受勒索软件攻击的网络资源的任何组织,无论所在行业或������规模如何。任何组织:中小型企业(SMB)、小型联邦机构和其他小型组织,以及工业控制系统(ICS)或运营������技术(OT)的运营商都可以利用本报告,2022 云安全联盟大中华区-版权所有9并鼓励他们进一步考虑查阅网络安全框架,其中许多措施可以在不耗费大量资源的情况下进行。以下两类组织均可获
14、得相应参考价值:熟悉 NIST 网络安全框架,以帮助识别、评估和管理网络安全风险,并希望通过解决勒索软件问题改善其风险状况。不熟悉网络安全框架,但希望实施风险管理框架以应对勒索软件威胁。1.3 其其他他指指导导性性资资源源除了前述引用的资源外,NIST 的国家网络安全卓越中心(NCCoE)还编制了支持、缓解勒索软件威胁的指南。NIST 还有许多其他资源,虽然不是专门针对勒索软件的,但包含了关于识别、防范、检测、响应勒索软件事件并从中恢复�������的有价值信息。有关参考资料的清单,请参见参考资料部分;有关 NIST 资源的更广泛清单,请参见附录 A。2.勒勒索索软软件件风风险险管管理理本报告将组织的勒索软
15、件预防和缓解要求、目标、风险偏好和资源与 NIST 网络安全框架的要素保持一致,帮助组织确定并优先考虑提高其安全性和抗击勒索软件攻击的能力。组织可以使用本报告作为���分析自身准备度的指南。这样做将有助于组织确定当前的概况或状态,并设定一个目标概况以确定差距。表表 1 定定义义了了勒勒索索软软件件风风险险管管理理。前两栏列出了网络安全框架中的相关类别和子类别,组织可将其作为勒索软件风险管理计划的目标结果。第三栏简要说明了每个子类别如何帮助识别、防范、检测、应对勒索软件事件并从中恢复。本简介还引用了参考资料。这些是关键基础设施部门中常见的标准、指南和实践的具体部分,说明了实现每个子类别相关结果的方法。
16、网络安全框架中的参考资料是说明性的,基于框架开发过程中最常用的跨部门指南,但并不穷尽。2022 云安全联盟大中华区-版权所有10例如,表 1 的第二栏引用了网络安全框架中包括的两个信息参考资料中的相关要求。这两个信息参考资料是国际标准化组织/国际电工委员会(ISO/IEC)27001:2013 和 NIST SP 800-53 第���� 5 版。网络安全框架为每个子类别列出了额外的信息参考资料。这些参考资料将在本指导文件的在线版本中不时更新。【五五种种网网络络安安全全框框架架功功能能类类别别】识识别别形成一种组织理解,管理系统、人员、资产、数据和性能的网络安全风险。识别功能中的活动是有效使用该框架的
17、基础。了解组织业务背景、了解投入关键功能的资源以及相关的网络安全风险,使得组织能够聚焦������和分级投入,与组织风险策略和业务(安全)需求一致。保保护护制定并实施适当的保障措施,确保关键服务的正常运行。保护功能的作用能够遏制潜在网络安全事件影响的蔓延。检检测测制定并实施适当的机制,识别网络安全事件的发生。检测功能能够及时发现网络安全事件。响响应应针对检测到的网络安全事件,制定并实施适当的应对活动。应对的作用能够防止潜在网络安全事件影������响的蔓延。恢恢复复制定并实施适当的活动,维护恢复计划,恢复因网络攻击期间受损的任何服务或性能。恢复功能支持及时恢复或重建正常运营,减少网络安全事件的影响。2022 云安全联
18、盟大中华区-版权所有11表表 1:勒勒索索软软件件风风险险管管理理概概况况类别子类别������和选定的信息性参考应用资料关键信息基础设施安全保护条例对应要求NIST 的风险管理框架的功能要素对应到具体的控制项,并通过 ISO 和 NIST的其他标准进行补强解释和详细组织任何进行相应控制增加本列,建立在关键信息基础设施领域进行勒索风险管理的映射,以供国内CII 运营者参考识别资产管理(ID.AM):根据数据、人员、设备、系统和设施对组织目标和组织风险战略的相对重要程度,识别和管理使组织能够实现业务目的的数据、人员、设备、系统和设施。ID.AM-1:清查组织内的物理设备和系统ISO/IEC 27001:20
19、13A.8.1.1, A.8.1.2NIST SP 800-53 Rev.5 CM-8, PM-8. 5应该清点、审查和维护物理设备,确保这些设备不会受到勒索软件的攻击。在勒索软件攻击后的恢复阶段,如果有必要重新安装应用程序,拥有一份硬件清单也是有益的。保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结�����果通知运营者,并通报国务院公安部门。ID.AM-2:清点组织内的软件平台和应用程序ISO/IEC 27001:2013A.8.1.1,A.8.1.2NIST SP 800-53 Rev.5 CM-8, PM-8. 5软件清单可以跟踪诸如软�������件名称和版本、当前安装的设
20、备、最后的补丁日期和当前已知的漏洞等信息。这些信息支持补救可能被勒索软件攻击利用的漏洞。2022 云安全联盟大中华区-版权所有12ID.AM-3:绘制组织通信和数����据流图ISO/IEC 27001:2013A.13.2.1, A.13.2.2NIST SP 800-53 Rev.5 AC-4, CA-3, CA-9, PL-8如果攻击者在一个环境中横向移动,有助于列举哪些信息或进程面临风险。ID.AM-4:对外部信息系统编目ISO/IEC 27001:2013A.11.2.6NIST SP 800-53 Rev.5 AC-20, SA���-9这对于规划与合作伙伴的沟通及为应对勒索软件事件而暂时断开与
21、外部系统连接的可能行动非常重要。识别这些也将帮助组织规划安全控制措施的实施,并确定可能与第三方�������共享控制措施的领域。ID.AM-5:资源(例如,硬件、设备、数据、时间、人员和软件)根据其分类、关键性和业务价值进行优先排序。ISO/IEC 2������7001:2013A.8.2.1NIST SP 800-53 Rev.5 CP-2, RA-2, RA-9, SC-6这对于了解勒索软件事件的真正范围和影响至关重要,而且对于未来勒索软件事件、应急响应和恢复行动的应急计划也很重要。有助于运营和事件响应者确定资源的优先次序,并支持应对未来勒索软件事件、采取应急响应和恢复行动的应急计划。如果有相关的工业控制系统(I
22、CS),其关键功能也应纳入应急响应和恢复行动中。ID.AM-6:为全体员工和第三方利益相关者(如供应商、客户和合作伙伴)确立网络安全重要的是,组织中的每个人都要了解他们在防止勒索软件事件方面的作用和责任,以及2022 云安全联盟大中华区-版权所有13角色和责任ISO/IEC 27001:�������2013A.6.1.1NIST SP 800-53 Rev.5 CP-2, PM-11, PS-7在适用的情况下应对勒索软件事件并从中恢复。这些角色和责任应正式记录在事件响应计划中。需要明确规定事件响应计划定期演练(如至少每年执行事件响应桌面模拟)。商业环境(ID.BE):了解组织的使命、目标、利益相关者和活动
23、,并确定其优先次序;这一信息用于告知网络安全的作用、责任和风险管理决策。ID.BE-2:组织在关键基础设施及其行业部门的地位得到确认和沟通ISO/IEC 27001:2013A.4.1NIST SP 800-53 Rev.5 PM-8这使国家计算机安全事�������件响应小组能够更好地了解目标组织在关键基础设施环境中的地位,并允许他们在出现跨部门影响时及时作出反应。这也鼓励该组织及其外部利益相关者考虑勒索软件攻击的下游影响。ID.BE-3:确定并传达组织任务、目标和 活动的优先次序NIST SP 800-53 Rev.5 PM-11,SA-14这有助于运营和事件响应者对资源进行优先排序。它支持应对未来勒索
24、软件事件的应急计划、应急响应和恢复行动。ID.BE-4:确定提供关键服务的依赖性和关键职能ISO/IEC������� 27001:2013A.11.2.2, A.11.2.3,A.12.1.3NIST SP 800-53 Rev.5 CP-8, PE-9, PE-11, PM-8, SA-20这有助于确定在支持组织的核心业务功能方面至关重要的二级和三级组件。这对于确定应对未来事件的应急计划和对勒索软件事件的应急响应的优先次序是必要的。如果有相关的ICS,其关键功能应包括在应急响应和恢复行动2022 云安全联盟大中华区-版权所有14中。治理(ID.GV):管理和监测组织的监管、法律、风险、环境和运营要求的政
25、策、程序和流程得到理解,并告知(内外部相关者)网络安全风险管理政策和策略。ID.GV-1:制定并 传达组织网络安全政策ISO/IEC 27001:2013A.5.1.1NIST SP 800-53 Rev.5 AC-01,AU-01, CA-01,CM-01, CP-01, IA-01.���01,ir-01,pe-01,pl-01,pm-01,RA01、SA-01、SC-01、SI-01建立和沟通预防或缓解勒索软件事件所需的政策是至关重要的,也是所有其他预防和缓解活动的基础。在实际情况下,应定期审查这些政策,以反映风险的动态性质和需要不断调整的现实。专门安全管理机构具体负责本单位的关键信息基础设施
26、安全保护工作,履行下列职责:(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划ID.GV-3:了解并管理有关网络安全的法律和监管要求,包括对隐私和公民自由的义务ISO/IEC 27001:2013A.18.1.1, A.18.1.2,A.18.1.3, A.18.1.4,A.18.1.5NIST SP 800-53 Rev.5 CA-07, RA-����02这对于制定网络安全政策和确立应对未来勒索软件事件的应急计划的优先次序尤为必要。ID.GV-4:治理和风险管理流程应对网络安全风险ISO/IEC 27001:2013A6NIST SP 800-53 Rev.PM-53, P
27、M-7,9, PM-10,PM-11, SA-2必须将勒索软件的风险纳入组织风险管理治理,以建立适当的网络安全政策。2022 云安全联盟大中华区-版权所有15风险评估(ID.RA):组织了解网络安全对组织运作(包括任务、功能、形象或声誉)、组织资产和个人的风险。ID.RA-1:识别和�����记录资产的脆弱性ISO/IEC 27001:2013A.12.6.1,A.18.2.3NIST SP 800-53 Rev.5 CA-2, CA-7, CA-8, RA-3,RA-5, SA-5, SA-11, SI-2,SI-4, SI-5识别和记录组织资产的漏洞对于制定缓解或消除这些漏洞的计划并确定其优先次序至
28、关重要。这些行动也是评估和应对未来勒索软件事件的应急计划的关键,将减少勒索软件攻击成功的可能性。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。ID.RA����-2:从信息共享论坛和来源获得网络威胁情报ISO/IEC 27001:2013A.6.1.4NIST SP 800-53 Rev.5 PM-15,PM-16, SI-5从信息共享源接收和使用网络威
29、胁情报,可以减少对勒索软件攻击的暴露,并促进对新威胁的早期检测。ID.RA-4:确定潜在的商业影响和可能性ISO/IEC 27001:2013A.16.1.6, 6.1.2NIST SP 800-53 Rev.PM-59, PM-11, RA-2, RA-3, SA-20需要了解潜�������在勒索软件事件的业务影响,支持网络安全的成本效益分析,并确定勒索软件响应和恢复计划中的活动重点。了解潜在的业务影响也有助于在发生勒索软件攻击时做出应急响应决定。202�������2 云安全联盟大中华区-版权所有16ID.RA-6:确定风险应对措施并排定优先次序ISO/IEC 27001:2013A.6.1.3NIST SP 80
30、0-53 Rev.PM-54, PM-39应对勒索软件事件并从中恢复的相关费用,直接受到应对预计风险的应急计划的有效性的影响。风险管理战略(ID.RM): 建立组织的优先事项、约束条件、风险容忍度和假设,并用于支持运营风险决策。ID.RM-1:组织利益相关者建立、管理并同意风险管理程序ISO/IEC 27001:2013A.6.1.3, 8.3, 9.3NIST SP 800-53 Rev.5 PM-�������4, PM-9建立和执行组织政策、角色和责任取决于利益相关者是否同意并实施有效的风险管理流程。这些流程应考虑到勒索软件事件的风险。应定期审查这些政策,以反映风险的动态性质和随着时间推移需要调整的现
31、实。运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全�����事件处置工作,组织研究解决重大网络安全问题。运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。供应链风险管理(ID.SC):组织的优先事项、约束条件、风险容忍和假设已经确立, 并用于支持与管理供应链风险 相关的风险决策。该组织已经建立并实施了识别、评估和管理供应链风ID.SC-5:与供应商和第三方供应商一起进行响应和恢复规划和测试ISO/IEC 27001:
32、2013A.17.1.3NIST SP 800-53 Rev.CP-52, CP-4, IR-3, IR-4, IR-6, IR-8, IR-9勒索软件应急计划应与供应商和第三方供应商协调,并应包括测试计划活动。该计划应包括组织、其供应商和第三方������供应商都受到勒索软件影响的情况。运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。2022 云安全联盟大中华区-版权所有17险的程序。保护身份管理、认证和访问控制(PR������.AC)。对物理和逻辑资产及相关设施的访问仅限于授权的用户、流程和设备,其管
33、理与(被非授权访问的)风险评估结果保持一致。PR.AC-1:发放、管理、验证、撤销和审计授权设备、用户和流程的身份和凭证。ISO/IEC 27001:2013A.9.2.1, A.9.2.2, A.9.2.3,A.9.2.4, A.9.2.6, A.9.3.1,A.9.4.2, A.9.4.3NIST SP 800-53 Rev.A������C-1, AC-2, I������A-1, IA-2, IA-3, IA-4, IA-5, IA-4, IA-5,IA-6,IA-7, IA-8, IA-9, IA-10, IA-11大多数勒索软件的攻击都是通过网络连接进行的,勒索软件的攻击往往从凭证泄露开始(如未经授权分享
34、或捕获登�����录身份和密码)。适当的凭�������证管理至关重要,尽管不是唯一需要的缓解措施。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理PR.AC-3:远程访问得到管理ISO/IEC 27001:2013A.6.2.1, A.6.2.2, A.11.2.6,A.13.1.1, A.13.2.1NIST SP 800-53Rev.5 AC-1, AC-17, AC-19,AC-20, SC-15大多数勒索软件攻击都在远程进行。管理与远程访问相关的权限可以帮助保持系统和数据文件的完整性,防止恶意代码的插入和数据的渗出。
35、使用多因子认证是减少账户被破坏可能性的一个关键而且容易实现的方法。PR.AC-4:访问权限和授权的管理,包括最小特权和职责分离的原则。ISO/IEC 27001:2013A.6.1.2, A.9.1.2, A.9.2.3,许多勒索软件事件通过攻破用户凭证或调用对系统有不必要的特权访问的进程而发生。这是预防此类事件的一个非常重要的管理步骤。20�����22 云安全联盟大中华区-版权所有18A.9.4.1, A.9.4.4, A.9.4.5NIST SP 800-53 Rev.AC-1, AC-2,3, AC-5, AC-6,AC-14, AC-316、AC�������-24PR.AC-5:网络完整性得到保护(例如网
36、络隔离、网络分段)。ISO/IEC 27001:2013A.13.1.1, A.13.1.3,A.13.2.1, A.14.1.2,A.14.1.3NIST SP 800-53 Rev.5 AC-4, AC-10, SC-7网络分割或隔离可以防止恶意软件在潜在的目标系统中扩散,从而限制勒索软件事件的范围(如�����从商业信息技术网络转移到运营技术或控制系统)。将 IT 和OT 网络分开并定期验证其独立性至关重要。这不仅降低了 OT 系统被破坏的风险,而且还可以在业务 IT 系统从勒索软件中恢复时继续进行低级别的关键操作。这对包括安全仪表系统(SIS)在内的关键 ICS功能特别重要。PR.AC-6:身份
37、被证明并与凭证绑定,并在互动中被断言。ISO/IEC 27001:2013A.7.1.1, A.9.2.1NIST SP 800-53 Rev.AC-1、AC-2、AC-3、AC-16、AC-19、AC-24。IA-1,IA-2,IA-4, IA-5,IA-8, PE-2, PS-3被破�����坏的凭证是勒索软件事件中常见的攻击媒介。身份应该被证明,��������然后与凭证绑定(如正式授权个人的双因素认证),以限制凭证被破坏或发放给未授权个人的可能性。2022 云安全联盟大中华区-版权所有19意识和培训(PR.AT):向组织的人员和合作伙伴提供网络安全意识教育,并对其进行培训,以便根据相关政策、程序和协议履行与网络
38、安全有关的职责和责任。PR.AT-1:所有用户都应告知并接受培训ISO/IEC 27001:2013A.7.2.2, A.12.2.1NIST SP 800-53 Rev.�������5 AT-2, PM-13大多数勒索软件的攻击是由从事不安全行为的用户、实施不安全配置的管理员、或安全培训不足的开发人员造成的。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;(五)组织网络安全教育、培训;数据安全(PR.DS):信息和记录(数据)的管理符合组织的风险战略,以保护信息的保密性、完整性和可用性。PR.DS-4:
39、保持足够的容量以确保可用性ISO/IEC 27001:2013A.12.1.3, A.17.2.1NIST SP 800-53 Rev.AU-54, CP-2, SC-5确保数据的充分可用性可以减少勒索软件的影响。这包括保持异地和离线数据备份的能力,在必要时测试平均恢复������时间和系统冗余度。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度PR.DS-5:防止数据泄漏的保护措施得到实施ISO/IEC 27001:2013A.12.1.3, A.17.2.1NIST SP 800-53 Rev.AU-5
40、4, CP-2, SC-5双重勒索:既要求付款以恢复数据访问,又要求不在其他地方出售或公布数据是很常见的,所以数据泄漏预防解决方案很重要。PR.DS-6:使用完整性检查机制验证软件、固件和信息的完整性ISO/IEC 27001:2013A.12.2.1, A.12.5.1,A.14.1.2, A.14.1.3�����,A.14.2.4完整性检查机制可以检测到被篡改的软件更新,这些软件可以被用于插入启用勒索软件事件的恶意软件。2022 云安全联盟大中华区-版权所有20NIST SP 800-53 Rev.5 SC-16, SI-7PR.DS-7:开发和测试环境与生产环境是分离的。ISO/IEC 2700
41、1:2013A.12.1.4NIST SP 800-53 Rev.5 CM-2将开发和测试环境与生产环境分离,可以防止勒索软件从开发和测试系统发布到生产系统。信息保护过程和程序(PR.IP):安全政策(涉及目的、范围、角色、责任、管理承诺和组织实体间的协调)、流程和程序维护并用于管理信息系统和资产的保护�����。PR.IP-1:创建和维护信息技术/工业控制系统的基线配置,并纳入安全原则(如最小功能概念)������。ISO/IEC 27001:2013A.12.1.2, A.12.5.1,A.12.6.2, A.14.2.2,A.14.2.3, A.14.2.4NIST SP 800-53 Rev.5 CM-2,
42、CM-3, CM-4, CM-5, CM-6, CM-7, CM-9, SA-10基线对于建立一套系统需要执行的功能很有用,这样就可以对任何偏离该基线的行为评估,确定潜在的网络风险。未经授权的配置变更可以作为恶意攻击的一个指标,可能会导致引入勒索软件。运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。专门安全管理机构�������具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;PR.IP-3:配置变更控制流程已经就绪
43、ISO/IEC 27001:2013A.12.1.2, A.12.5.1,A.�����12.6.2, A.14.2.2,A.14.2.3, A.14.2.4NIST SP 800-53 Rev.适当的配置变更流程可以帮助执行软件的及时安全更新,维护必要的安全配置设置,并阻止用含有恶意软件或不满足访问管理策略的产品替换代码。2022 云安全联盟大中华区-版权所有215 CM-3, CM-4, SA-10PR.IP-4:备份、维护和测试信息ISO/IEC 27001:2013A.12.3.1, A.17.1.2,A.17.1.3, A.18.1.3NIST SP 800-53 Rev.CP-54, CP-
44、6, CP-9定期维护和测试的备份对于及时和相对无痛地从勒索软件事件中恢复�������至关重要。备份应该是安全的,确保不会被勒索软件破坏或被攻击者删除。备份应离线存储。PR.IP-9:响应计划(事件响应和业务连续性)和恢复计划(事件恢复和灾难恢复)已经就绪并得到管理ISO/IEC 27001:2013A.16.1.1, A.17.1.1,A.17.1.2, A.17.1.3NIST SP 800-53 Rev.5 CP-2, CP-7, CP-12, CP-13, IR-7, IR-8, IR-9, PE-17响应和恢复计划应包括勒索软件事件。响应计划的副本应保持离线状态,以防事件发生时取消了对目标网络内
45、的软拷贝的访问。在事件分级过程中,应适当地对勒索软件事件进行优先排序,目����的是立即遏制勒索软件的传播。PR.IP-10:测试响应和恢复计划ISO/IEC 27001:2013A.17.1.3NIST SP 800-53 Rev.5 CP-4, IR-3, PM-14应定期测试勒索软件的响应和恢复计划,确保风险和响应假设及流程在不断变化的勒索软件威胁方面是最新的。响应和恢复计划的����测试应包括任何相关的ICS。流程需要更新和维护,以适应不断变化的组织需求和结构,以及新的勒索软件类型和策略。测试培训了需要执行该计划的人员。2022 云安全联盟大中华区-版权所有22维护(PR.MA):根据政策和程序,维护
46、和修理工业控制和信息系统组件。PR.MA-2:组织资产的远程维护得到批准、 记录,并防止未经授权访问。ISO/IEC 27001:2013A.11.2.4, A.15.1.1,A.15.2.1NIST SP 800-5������3 Rev.5 MA-4远程维护提供了一个进入网络和技术的渠道。如果管理不善,违法或犯罪人员可能会利用这种访问改变配置,允许引入恶意软件。组织或其供应商对所有系统组件的远程维护必须得到验证,确保这一过程不会为 OT 或 IT 网络提供后门访问。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管
47、理;保护性技术(PR.PT):管理技术安全解决方案,确保系统和资产的安全和复原力,与相关政策、程序和协议保持一致。PR.PT-1:根据政策确定、记录、实施和审查审计/日志记录ISO/IEC 27001:2013A.12.4.1, A.12.4.2,A.12.4.3, A.12.4.4,A.12.7.1NIST SP 800-53 Rev.AU-1, AU- AU-2,3, AU-4,���AU-5,������� AU-6, AU-7。A-8、A-9、A-10、A-12、A-13、A-14、A-16审计/日志记录的可用性可以帮助检测意外行为,支持取证响应和恢复过程。运营者依照本条例和有关法律、行政法规的规定以及国
48、家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、�����保密性和可用性。PR.PT-3:通过配置系统,只提供必要的功能,体现最小功能原则ISO/IEC ����27001:2013A.9.1.2NIST SP 800-53 Rev.5 AC-3, CM-3 7保持最小功能原则可能会阻止潜在目标系统之间的移动(如从管理网络移动到操作过程控制系统)。2022 云安全联盟大中华区-版权所有23检测异常活动和事件(DE.AE):检测异常活动,了解事件的潜在影响。DE.AE-3:从多个来源和
49、传感器收集事件数据并关联ISO/IEC 27001:2013A.12.4.1, A.16.1.7NIST SP 800-53 Rev.AU-56, CA-7, IR-4, IR-5,IR-8, SI-4多个来源和传��感器协同安全信息和事件管理(SIEM)解决方案提高了网络的可见性,有助于在早期发现勒索软件,并有助于了解勒索软件如何通过网络传播。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;保护工作部门应当定期组织开展本行业、本领域关键信息基础设施����网络安全检查检测,指导监督运营者及时整改安全隐患、完
50、善安全措施。DE.AE-4:事件的影响得到确定ISO/IEC 27001:2013A.16�������.1.4NIST SP 800-53 Rev.5 CP-2, IR-4, RA-3, SI-4确定事件的影响可以为确定勒索软件攻击的响应和恢复优先级提供信息。安全持续监测(DE.CM):监测信息系统和资产,识别网络安全事件并验证保护措施的有效性。DE.CM-1:监测网络以检测潜在的网络安全事件NIST SP 800-53 Rev.5 AC-2, AU- CA-12,7, CM-3, SC-5, SC-7, SI-4网络监测可能会在恶意代码被插入或大量信息被加密和泄露之前检测到入侵。2022 云安全联盟大中
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产开发
传统产业
全球化
其它
扫码登录
手机快捷登录
账号登录
