基于NIST网络安全框架的勒索软件风险管理内部报告

©2022云安全联盟大中华区-版权所有1 ©2022云安全联盟大中华区-版权所有2目录致谢....................................................................................................................................3基于NIST网络安全框架的勒索软件风险管理内部报告................................................4摘要......................................................................................................................................5关键词..................................................................................................................................51.引言..................................................................................................................................51.1勒索软件的挑战..................................................................................................51.2适用对象..............................................................................................................81.3其他指导性资源..................................................................................................92、勒索软件风险管理........................................................................................................9参考文献：........................................................................................................................33附录A.................................................................................................................................34 ©2022云安全联盟大中华区-版权所有3致谢云安全联盟大中华区（简称：CSAGCR）隐私与个人信息保护法律工作组在2021年4月成立。由原浩、方婷担任工作组联席组长，工作组专家来自竹辉律师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟科技、美云智数、上海CA、上海网综所、埃森哲、亚萨合莱、360政企安全、软通动力信息、艾贝链动等十多个单位。本报告由CSA大中华区隐私与个人信息保护法律工作组专家翻译，感谢以下专家的贡献（排名不分先后）：联席组长：原浩原创作者：高健凯贺志生张元恺沈勇审核专家：郭鹏程赵晔原浩姚凯研究协调员：高健凯贡献单位：北森云计算有限公司原文作者：WilliamC.Barker、WilliamFisher、KarenScarfone和MurugiahSouppaya版权、专利和其他原始权利归属于NISTIR8374中所指称的相关方。（出版物的声明部分从略）关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看，如本白皮书有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn；云安全联盟CSA公众号： ©2022云安全联盟大中华区-版权所有4基于NIST网络安全框架的勒索软件风险管理内部报告（NISTIR 8374）[中文版说明]2022 年2 月，美国商务部下设的国家标准与技术研究所（NIST）发布了最终版《基于NIST 网络安全框架的勒索软件风险管理内部报告》，这是对2020 年以来重大勒索攻击事件从技术和管理层面的整体策略回应，同时也是履行其基于2014年《网络安全促进法》和制定、完善《提升关键基础设施网络安全框架》（Framework for Improving Critical Infrastructure Cybersecurity，2018 年1.1 版本，本文统称网络安全框架，下同）的行政职责。CSA 大中华区隐私与个人信息保护法律工作组翻译了该文件（有删减），以及对国内的关键信息基础设施保障和提高应对勒索攻击的能力上有所借鉴，特别是在支持《关键信息基础设施安全保护条例》制度落地的方法论和策略方面，且在具体的应用场景上与网络安全等级保护的措施形成有益的补充和对照。值得注意的是，本报告的风险控制主要是在组织层面实现，这与《关键信息基础设施安全保护条例》专章突出行业、领域的保护工作部门的机制有所不同，企业在参考时应予以关注和区别。 ©2022云安全联盟大中华区-版权所有5摘要勒索软件（攻击）是一种恶意攻击，攻击者加密组织的数据，并要求付款以恢复访问。攻击者也可能窃取组织的信息，并要求额外的付款，以换取不向当局、竞争对手或公众披露信息。本报告确定了网络安全框架1.1版下的安全目标，支持识别、防范、检测，以应对勒索软件事件并从中恢复。本报告可作为管理勒索软件事件风险的指南，为衡量组织在应对勒索软件威胁和处理事件潜在后果方面的准备程度提供支持。关键词网络安全框架；检测；识别；保护；勒索软件；恢复；响应；风险；安全1.引言本报告可帮助组织和个人管理勒索软件事件的风险，为衡量组织在应对勒索软件威胁和处理事件潜在后果方面的准备程度提供支持；也可作为是改善网络安全的契机，帮助挫败勒索软件（攻击等威胁）。本报告确定了《提升关键基础设施网络安全框架》1.1版下的安全目标，支持识别、防范、检测，以应对勒索软件事件并从中恢复。1.1勒索软件的挑战勒索软件是一种恶意软件，它加密组织的数据，并要求付款作为恢复对该数据访问的条件。勒索软件还可以用来窃取组织的信息，并要求支付额外的费用，以换取不将信息披露给当局、竞争对手或公众。勒索软件攻击的目标是组织的数据或 ©2022云安全联盟大中华区-版权所有6关键基础设施，扰乱或中止组织的运营，给管理层带来两难选择：支付赎金并希望攻击者遵守恢复访问且不泄露数据的承诺；或者不支付赎金并尝试恢复运营。使用勒索软件进入某个组织的信息系统，在广泛的网络攻击中是很常见的方法，但其（特点）旨在强制（受害者）支付赎金。并且攻击者不断尝试采用新的手段向受害者施加压力，用于传播勒索软件的技术也在继续发生变化。勒索软件攻击与其他网络安全事件不同。在其他网络安全事件中，攻击者可能会隐蔽（不会直接影响业务运营）的获取知识产权、信用卡数据或个人身份信息等资料，然后披露这些信息以获取收益；勒索软件却可能会对业务的运营产生直接影响。在勒索软件（攻击）事件发生后，企业可能没有充分时间缓解或补救影响、恢复系统，或通过必要的业务、合作伙伴和公共关系渠道沟通。出于这个原因，组织做出准备尤为关键。这包括教育网络系统的用户、响应团队和业务决策者，让他们在潜在勒索事件发生之前，了解预防和处理这些危害的流程和程序。幸运的是，企业可以遵循建议的步骤准备和减少勒索软件攻击得逞的可能性。这包括以下内容：识别和保护关键数据、系统和设备；尽早发现勒索软件事件（最好是在勒索软件侵入之前）；并应对任何勒索软件事件和从中恢复。有许多资源可用于协助组织开展这些工作。它们包括来自美国国家标准与技术研究所（NIST）、联邦调查局（FBI）和国土安全部（DHS）的信息。本文附录A中列出了NIST的其他资源。本报告表1中的安全能力和措施支持预防和缓解勒索软件事件的详细方法。认识到采取所有这些措施超出了一般人员的能力范围，下面的文本仅包含了组织可以采取的基本预防措施，以防勒索软件威胁。并非所有这些措施都适用于所有组织的所有情况。本报告中的指导意见可视为最佳实践，但并非法律或监管要求。 ©2022云安全联盟大中华区-版权所有7【基本的勒索病毒提示】即使不采取本报告中描述的所有措施，组织现在也可以采取一些基本的预防措施，防止勒索软件威胁并从中恢复。这些措施包括：（1）教育员工如何避免勒索软件的感染。不要打开来源不明的文件和链接，除非首先扫描病毒或仔细检查链接。避免在办公计算机上使用个人网站和个人应用程序（如电子邮件、聊天和社交媒体）。未经事先授权，不要将个人拥有的设备连接到工作网络。（2）避免在系统中出现勒索软件可能利用的漏洞。保持相关系统完全打好补丁。定期检查可用的补丁程序，并在可行的情况下尽快安装这些补丁。在所有网络系统中采用零信任原则。管理所有网络功能的访问，在可行的情况下对内部网络分区，以防恶意软件在潜在的目标系统中扩散。只允许安装和执行授权的应用程序。配置操作系统和/或第三方软件，使其只运行授权的应用程序。可以建立审查机制予以支持，在可信应用列表中添加或删除授权的应用程序。向技术供应商告知期望（如使用合同语言），推动供应链采取措施阻止勒索软件攻击。（3）快速检测并阻止勒索软件攻击和感染。无论什么时候都使用恶意应用检测软件，如防病毒软件，将其设置为自动扫描电子邮件和移动存储设备。持续监测目录服务（和其他主要用户存储），发现疑似或主动攻击的迹象。 ©2022云安全联盟大中华区-版权所有8禁止访问不受信任的网络资源。使用的产品或服务屏蔽已知的恶意或疑似恶意的服务器名称、IP地址或端口和协议。包括使用为地址的域名部分提供完整性保护的产品和服务（如hacker@poser.com）。（4）让勒索软件更难传播。尽可能使用具有多因子认证的标准用户账户，非管理权限的账户。引入认证延期登录或设置账户自动锁定，预防密码猜测。为组织的所有资产和软件分配和管理凭证授权，并定期验证每个账户只拥有必要的访问权限，遵循最小特权原则。以固定格式存储数据（这样，当有新数据时，数据库不会自动覆盖旧数据）。只允许外部人员通过安全的虚拟专用网络（VPN）连接访问内部网络资源。（5）更易于从未来的勒索软件事件中恢复存储的信息。制定一个事件恢复计划。制定、实施并定期演练事件恢复计划，明确决策的角色和策略。该计划应显示关键服务和其它商业基础服务，以便确定业务恢复的优先次序。事件恢复计划可以是业务连续性计划的一部分。备份数据，安全备份和测试恢复。谨慎制定策略、实施和测试数据备份和恢复策略，并保护和隔离重要数据的备份。保留联系方式。维护一份最新的勒索软件攻击的内外部联系人名单，名单包括执法部门、法律顾问和事件响应资源。1.2适用对象本报告的适用对象是拥有可能遭受勒索软件攻击的网络资源的任何组织，无论所在行业或规模如何。任何组织：中小型企业（SMB）、小型联邦机构和其他小型组织，以及工业控制系统（ICS）或运营技术（OT）的运营商都可以利用本报告， ©2022云安全联盟大中华区-版权所有9并鼓励他们进一步考虑查阅网络安全框架，其中许多措施可以在不耗费大量资源的情况下进行。以下两类组织均可获得相应参考价值：熟悉NIST网络安全框架，以帮助识别、评估和管理网络安全风险，并希望通过解决勒索软