CSA 基于NIST网络安全框架的勒索软件风险管理内部报告在线下载,免费下载

m o c . 5 b u h t i g ©2022 云安全联盟大中华区-版权所有 1 目录致谢....................................................................................................................................3 基于 NIST 网络安全框架的勒索软件风险管理内部报告................................................4 摘要......................................................................................................................................5 m o 关键词..................................................................................................................................5 1.引言..................................................................................................................................5 c . 5 1.1 勒索软件的挑战..................................................................................................5 1.2 适用对象..............................................................................................................8 b u 1.3 其他指导性资源..................................................................................................9 2、勒索软件风险管理........................................................................................................9 h t i g 参考文献：........................................................................................................................33 附录 A.................................................................................................................................34 ©2022 云安全联盟大中华区-版权所有 2 致谢云安全联盟大中华区（简称：CSA GCR）隐私与个人信息保护法律工作组在 2021 年 4 月成立。由原浩、方婷担任工作组联席组长，工作组专家来自竹辉律师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟科技、美云智数、上海 CA、上海网综所、埃森哲、亚萨合莱、360 政企安全、软通动力信息、艾贝链动等十多个单位。本报告由 CSA 大中华区隐私与个人信息保护法律工作组专家翻译，感谢以下 m o 专家的贡献（排名不分先后）： c . 5 联席组长：原浩原创作者：高健凯贺志生张元恺沈勇 b u 审核专家：郭鹏程赵晔原浩姚凯研究协调员：高健凯 h t i g 贡献单位：北森云计算有限公司原文作者：William C. Barker、William Fisher、Karen Scarfone 和 Murugiah Souppaya 版权、专利和其他原始权利归属于 NISTIR 8374 中所指称的相关方。（出版物的声明部分从略）关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://c-csa.cn/researc h/）上查看，如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱： research@c-csa.cn；云安全联盟 CSA 公众号： ©2022 云安全联盟大中华区-版权所有 3 基于 NIST 网络安全框架的勒索软件风险管理内部报告（NISTIR 8374） [中文版说明] 2022 年 2 月，美国商务部下设的国家标准与技术研究所（NIST）发布了最终 m o 版《基于 NIST 网络安全框架的勒索软件风险管理内部报告》，这是对 2020 年以来重大勒索攻击事件从技术和管理层面的整体策略回应，同时也是履行其基于 2014 c . 5 年《网络安全促进法》和制定、完善《提升关键基础设施网络安全框架》（Framework for Improving Critical Infrastructure Cybersecurity，2018 年 1.1 版本， b u 本文统称网络安全框架，下同）的行政职责。 h t i g CSA 大中华区隐私与个人信息保护法律工作组翻译了该文件（有删减），以及对国内的关键信息基础设施保障和提高应对勒索攻击的能力上有所借鉴，特别是在支持《关键信息基础设施安全保护条例》制度落地的方法论和策略方面，且在具体的应用场景上与网络安全等级保护的措施形成有益的补充和对照。值得注意的是，本报告的风险控制主要是在组织层面实现，这与《关键信息基础设施安全保护条例》专章突出行业、领域的保护工作部门的机制有所不同，企业在参考时应予以关注和区别。 ©2022 云安全联盟大中华区-版权所有 4 摘要勒索软件（攻击）是一种恶意攻击，攻击者加密组织的数据，并要求付款以恢复访问。攻击者也可能窃取组织的信息，并要求额外的付款，以换取不向当局、竞争对手或公众披露信息。本报告确定了网络安全框架 1.1 版下的安全目标，支持识别、防范、检测，以应对勒索软件事件并从中恢复。本报告可作为管理勒索软件事件风险的指南，为衡量组织在应对勒索软件威胁和处理事件潜在后果方面的准备程度提供支持。 m o c . 5 关键词 b u 网络安全框架；检测；识别；保护；勒索软件；恢复；响应；风险；安全 1.引言 h t i g 本报告可帮助组织和个人管理勒索软件事件的风险，为衡量组织在应对勒索软件威胁和处理事件潜在后果方面的准备程度提供支持；也可作为是改善网络安全的契机，帮助挫败勒索软件（攻击等威胁）。本报告确定了《提升关键基础设施网络安全框架》1.1 版下的安全目标，支持识别、防范、检测，以应对勒索软件事件并从中恢复。 1.1 勒索软件的挑战勒索软件是一种恶意软件，它加密组织的数据，并要求付款作为恢复对该数据访问的条件。勒索软件还可以用来窃取组织的信息，并要求支付额外的费用，以换取不将信息披露给当局、竞争对手或公众。勒索软件攻击的目标是组织的数据或 ©2022 云安全联盟大中华区-版权所有 5 关键基础设施，扰乱或中止组织的运营，给管理层带来两难选择：支付赎金并希望攻击者遵守恢复访问且不泄露数据的承诺；或者不支付赎金并尝试恢复运营。使用勒索软件进入某个组织的信息系统，在广泛的网络攻击中是很常见的方法，但其（特点）旨在强制（受害者）支付赎金。并且攻击者不断尝试采用新的手段向受害者施加压力，用于传播勒索软件的技术也在继续发生变化。勒索软件攻击与其他网络安全事件不同。在其他网络安全事件中，攻击者可能会隐蔽（不会直接影响业务运营）的获取知识产权、信用卡数据或个人身份信息等资料，然后披露这些信息以获取收益；勒索软件却可能会对业务的运营产生直接影 m o 响。在勒索软件（攻击）事件发生后，企业可能没有充分时间缓解或补救影响、恢复系统，或通过必要的业务、合作伙伴和公共关系渠道沟通。出于这个原因，组织 c . 5 做出准备尤为关键。这包括教育网络系统的用户、响应团队和业务决策者，让他们在潜在勒索事件发生之前，了解预防和处理这些危害的流程和程序。 b u 幸运的是，企业可以遵循建议的步骤准备和减少勒索软件攻击得逞的可能性。 h t i g 这包括以下内容：识别和保护关键数据、系统和设备；尽早发现勒索软件事件（最好是在勒索软件侵入之前）；并应对任何勒索软件事件和从中恢复。有许多资源可用于协助组织开展这些工作。它们包括来自美国国家标准与技术研究所（NIST）、联邦调查局（FBI）和国土安全部（DHS）的信息。本文附录 A 中列出了 NIST 的其他资源。本报告表 1 中的安全能力和措施支持预防和缓解勒索软件事件的详细方法。认识到采取所有这些措施超出了一般人员的能力范围，下面的文本仅包含了组织可以采取的基本预防措施，以防勒索软件威胁。并非所有这些措施都适用于所有组织的所有情况。本报告中的指导意见可视为最佳实践，但并非法律或监管要求。 ©2022 云安全联盟大中华区-版权所有 6 【基本的勒索病毒提示】即使不采取本报告中描述的所有措施，组织现在也可以采取一些基本的预防措施，防止勒索软件威胁并从中恢复。这些措施包括：（1）教育员工如何避免勒索软件的感染。不要打开来源不明的文件和链接，除非首先扫描病毒或仔细检查链接。避免在办公计算机上使用个人网站和个人应用程序（如电子邮件、聊天和社交媒体）。 m o 未经事先授权，不要将个人拥有的设备连接到工作网络。 c . 5 （2）避免在系统中出现勒索软件可能利用的漏洞。保持相关系统完全打好补丁。定期检查可用的补丁程序，并在可行的情况下尽 b u 快安装这些补丁。在所有网络系统中采用零信任原则。管理所有网络功能的访问，在可行的情况 h t i g 下对内部网络分区，以防恶意软件在潜在的目标系统中扩散。只允许安装和执行授权的应用程序。配置操作系统和/或第三方软件，使其只运行授权的应用程序。可以建立审查机制予以支持，在可信应用列表中添加或删除授权的应