基于NIST網(wǎng)絡(luò)安全框架的勒索軟件風(fēng)險(xiǎn)管理內(nèi)部報(bào)告

2022022安聯(lián)大華-權(quán)有 1于T告R）中文版說明]2022年2月，美國商務(wù)部下設(shè)的國家標(biāo)準(zhǔn)與技術(shù)研究所（NST）發(fā)布了最終版《基于NST網(wǎng)絡(luò)安全框架的勒索軟件風(fēng)險(xiǎn)管理內(nèi)部報(bào)告》，這是對(duì)2020年以重大勒索攻擊事件從技術(shù)和管理層面的整體策略回應(yīng)，同時(shí)也是履行其基于204年《網(wǎng)絡(luò)安全促進(jìn)法》和制定、完善《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》（Frameorkformproigritialnfraruurebereuri，2018年11版本，本文統(tǒng)稱網(wǎng)絡(luò)安全框架，下同）的行政職責(zé)。A大中華區(qū)隱私與個(gè)人信息保護(hù)法律工作組翻譯了該文件（有刪減），以對(duì)國內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施保障和提高應(yīng)對(duì)勒索攻擊的能力上有所借鑒，特別是在支持《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》制度落地的方法論和策略方面，且在具體的應(yīng)用場(chǎng)景上與網(wǎng)絡(luò)安全等級(jí)保護(hù)的措施形成有益的補(bǔ)充和對(duì)照。值得注意的是，本報(bào)告的風(fēng)險(xiǎn)控制主要是在組織層面實(shí)現(xiàn)，這與《關(guān)鍵信息礎(chǔ)設(shè)施安全保護(hù)條例》專章突出行業(yè)、領(lǐng)域的保護(hù)工作部門的機(jī)制有所不同，企在參考時(shí)應(yīng)予以關(guān)注和區(qū)別。摘要勒索軟件（攻擊）是一種惡意攻擊，攻擊者加密組織的數(shù)據(jù)，并要求付款以訪問。攻擊者也可能竊取組織的信息，并要求額外的付款，以換取不向當(dāng)局、競(jìng)爭(zhēng)對(duì)手或公眾披露信息。本報(bào)告確定了網(wǎng)絡(luò)安全框架11版下的安全目標(biāo)，支持識(shí)別、防范、檢測(cè)，以應(yīng)對(duì)勒索軟件事件并從中恢復(fù)。本報(bào)告可作為管理勒索軟件事件風(fēng)險(xiǎn)的指南，為量組織在應(yīng)對(duì)勒索軟件威脅和處理事件潛在后果方面的準(zhǔn)備程度提供支持。關(guān)鍵詞網(wǎng)絡(luò)安全框架；檢測(cè)；識(shí)別；保護(hù)；勒索軟件；恢復(fù)；響應(yīng)；風(fēng)險(xiǎn)；安全引言本報(bào)告可幫助組織和個(gè)人管理勒索軟件事件的風(fēng)險(xiǎn)，為衡量組織在應(yīng)對(duì)勒索件威脅和處理事件潛在后果方面的準(zhǔn)備程度提供支持；也可作為是改善網(wǎng)絡(luò)安全契機(jī)，幫助挫敗勒索軟件（攻擊等威脅）。本報(bào)告確定了《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)安全框架》11版下的安全目標(biāo)，支持識(shí)別、防范、檢測(cè)，以應(yīng)對(duì)勒索軟件事件并從中恢復(fù)。勒索軟件的挑戰(zhàn)勒索軟件是一種惡意軟件，它加密組織的數(shù)據(jù)，并要求付款作為恢復(fù)對(duì)該數(shù)據(jù)訪問的條件。勒索軟件還可以用來竊取組織的信息，并要求支付額外的費(fèi)用，換取不將信息披露給當(dāng)局、競(jìng)爭(zhēng)對(duì)手或公眾。勒索軟件攻擊的目標(biāo)是組織的數(shù)據(jù)關(guān)鍵基礎(chǔ)設(shè)施，擾亂或中止組織的運(yùn)營，給管理層帶來兩難選擇：支付贖金并希攻擊者遵守恢復(fù)訪問且不泄露數(shù)據(jù)的承諾；或者不支付贖金并嘗試恢復(fù)運(yùn)營。使勒索軟件進(jìn)入某個(gè)組織的信息系統(tǒng)，在廣泛的網(wǎng)絡(luò)攻擊中是很常見的方法，但其（特點(diǎn)）旨在強(qiáng)制（受害者）支付贖金。并且攻擊者不斷嘗試采用新的手段向受者施加壓力，用于傳播勒索軟件的技術(shù)也在繼續(xù)發(fā)生變化。勒索軟件攻擊與其他網(wǎng)絡(luò)安全事件不同。在其他網(wǎng)絡(luò)安全事件中，攻擊者可會(huì)隱蔽（不會(huì)直接影響業(yè)務(wù)運(yùn)營）的獲取知識(shí)產(chǎn)權(quán)、信用卡數(shù)據(jù)或個(gè)人身份信息資料，然后披露這些信息以獲取收益；勒索軟件卻可能會(huì)對(duì)業(yè)務(wù)的運(yùn)營產(chǎn)生直接響。在勒索軟件（攻擊）事件發(fā)生后，企業(yè)可能沒有充分時(shí)間緩解或補(bǔ)救影響、復(fù)系統(tǒng)，或通過必要的業(yè)務(wù)、合作伙伴和公共關(guān)系渠道溝通。出于這個(gè)原因，組做出準(zhǔn)備尤為關(guān)鍵。這包括教育網(wǎng)絡(luò)系統(tǒng)的用戶、響應(yīng)團(tuán)隊(duì)和業(yè)務(wù)決策者，讓他在潛在勒索事件發(fā)生之前，了解預(yù)防和處理這些危害的流程和程序。幸運(yùn)的是，企業(yè)可以遵循建議的步驟準(zhǔn)備和減少勒索軟件攻擊得逞的可能性。括以下內(nèi)容：識(shí)別和保護(hù)關(guān)鍵數(shù)據(jù)、系統(tǒng)和設(shè)備；盡早發(fā)現(xiàn)勒索軟件事件（最好是在勒索軟件侵入之前）；并應(yīng)對(duì)任何勒索軟件事件和從中恢復(fù)。有許多資源可用于協(xié)助組織開展這些工作。它們包括來自美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NST）、聯(lián)邦調(diào)查局（F）和國土安全部（DS）的信息。本文附錄A中列出了NST的其他資源。本報(bào)告表1中的安全能力和措施支持預(yù)防和緩解勒索軟件事件的詳細(xì)方法。認(rèn)識(shí)到采取所有這些措施超出了一般人員的能力范圍，下面的文本僅包含了組織以采取的基本預(yù)防措施，以防勒索軟件威脅。并非所有這些措施都適用于所有組的所有情況。本報(bào)告中的指導(dǎo)意見可視為最佳實(shí)踐，但并非法律或監(jiān)管要求?！净镜睦账鞑《咎崾尽考词共徊扇”緢?bào)告中描述的所有措施，組織現(xiàn)在也可以采取一些基本的預(yù)防施，防止勒索軟件威脅并從中恢復(fù)。這些措施包括：教育員工如何避免勒索軟件的感染。不要打開來源不明的文件和鏈接，除非首先掃描病毒或仔細(xì)檢查鏈接。避免在辦公計(jì)算機(jī)上使用個(gè)人網(wǎng)站和個(gè)人應(yīng)用程序（如電子郵件、聊天和交媒體）。未經(jīng)事先授權(quán)，不要將個(gè)人擁有的設(shè)備連接到工作網(wǎng)絡(luò)。避免在系統(tǒng)中出現(xiàn)勒索軟件可能利用的漏洞。保持相關(guān)系統(tǒng)完全打好補(bǔ)丁。定期檢查可用的補(bǔ)丁程序，并在可行的情況下快安裝這些補(bǔ)丁。在所有網(wǎng)絡(luò)系統(tǒng)中采用零信任原則。管理所有網(wǎng)絡(luò)功能的訪問，在可行的情下對(duì)內(nèi)部網(wǎng)絡(luò)分區(qū)，以防惡意軟件在潛在的目標(biāo)系統(tǒng)中擴(kuò)散。只允許安裝和執(zhí)行授權(quán)的應(yīng)用程序。配置操作系統(tǒng)和或第三方軟件，使其運(yùn)行授權(quán)的應(yīng)用程序?？梢越彶闄C(jī)制予以支持，在可信應(yīng)用列表中添加或刪除授權(quán)的應(yīng)用程序。向技術(shù)供應(yīng)商告知期望（如使用合同語言），推動(dòng)供應(yīng)鏈采取措施阻止勒索件攻擊?？焖贆z測(cè)并阻止勒索軟件攻擊和感染。無論什么時(shí)候都使用惡意應(yīng)用檢測(cè)軟件，如防病毒軟件，將其設(shè)置為自動(dòng)掃電子郵件和移動(dòng)存儲(chǔ)設(shè)備。持續(xù)監(jiān)測(cè)目錄服務(wù)（和其他主要用戶存儲(chǔ)），發(fā)現(xiàn)疑似或主動(dòng)攻擊的跡象。禁止訪問不受信任的網(wǎng)絡(luò)資源。使用的產(chǎn)品或服務(wù)屏蔽已知的惡意或疑似惡的服務(wù)器名稱、P地址或端口和協(xié)議。包括使用為地址的域名部分提供完整性保護(hù)的產(chǎn)品和服務(wù)（如haerpoero）。讓勒索軟件更難傳播。盡可能使用具有多因子認(rèn)證的標(biāo)準(zhǔn)用戶賬戶，非管理權(quán)限的賬戶引入認(rèn)證延期登錄或設(shè)置賬戶自動(dòng)鎖定，預(yù)防密碼猜測(cè)。為組織的所有資產(chǎn)和軟件分配和管理憑證授權(quán)，并定期驗(yàn)證每個(gè)賬戶只擁有要的訪問權(quán)限，遵循最小特權(quán)原則。以固定格式存儲(chǔ)數(shù)據(jù)（這樣，當(dāng)有新數(shù)據(jù)時(shí)，數(shù)據(jù)庫不會(huì)自動(dòng)覆蓋舊數(shù)據(jù)）只允許外部人員通過安全的虛擬專用網(wǎng)絡(luò)（VP）連接訪問內(nèi)部網(wǎng)絡(luò)資源。更易于從未來的勒索軟件事件中恢復(fù)存儲(chǔ)的信息。制定一個(gè)事件恢復(fù)計(jì)劃。制定、實(shí)施并定期演練事件恢復(fù)計(jì)劃，明確決策的色和策略。該計(jì)劃應(yīng)顯示關(guān)鍵服務(wù)和其它商業(yè)基礎(chǔ)服務(wù)，以便確定業(yè)務(wù)恢復(fù)的優(yōu)先次序。事件恢復(fù)計(jì)劃可以是業(yè)務(wù)連續(xù)性計(jì)劃的一部分。備份數(shù)據(jù)，安全備份和測(cè)試恢復(fù)。謹(jǐn)慎制定策略、實(shí)施和測(cè)試數(shù)據(jù)備份和恢策略，并保護(hù)和隔離重要數(shù)據(jù)的備份。保留聯(lián)系方式。維護(hù)一份最新的勒索軟件攻擊的內(nèi)外部聯(lián)系人名單，名單包執(zhí)法部門、法律顧問和事件響應(yīng)資源。適用對(duì)象本報(bào)告的適用對(duì)象是擁有可能遭受勒索軟件攻擊的網(wǎng)絡(luò)資源的任何組織，無所在行業(yè)或規(guī)模如何。任何組織：中小型企業(yè)（SM）、小型聯(lián)邦機(jī)構(gòu)和其他小型組織，以及工業(yè)控制系統(tǒng)（S）或運(yùn)營技術(shù)（T）的運(yùn)營商都可以利用本報(bào)告，并鼓勵(lì)他們進(jìn)一步考慮查閱網(wǎng)絡(luò)安全框架，其中許多措施可以在不耗費(fèi)大量資源情況下進(jìn)行。以下兩類組織均可獲得相應(yīng)參考價(jià)值：熟悉NST網(wǎng)絡(luò)安全框架，以幫助識(shí)別、評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并希望過解決勒索軟件問題改善其風(fēng)險(xiǎn)狀況。不熟悉網(wǎng)絡(luò)安全框架，但希望實(shí)施風(fēng)險(xiǎn)管理框架以應(yīng)對(duì)勒索軟件威脅。其他指導(dǎo)性資源除了前述引用的資源外，NST的國家網(wǎng)絡(luò)安全卓越中心（NoE）還編制了支持、緩解勒索軟件威脅的指南。NST還有許多其他資源，雖然不是專門針對(duì)勒索軟件的，但包含了關(guān)于識(shí)別、防范、檢測(cè)、響應(yīng)勒索軟件事件并從中恢復(fù)的有價(jià)值信息。有關(guān)參考資料的清單，請(qǐng)參見參考資料部分；有關(guān)NST資源的更廣泛清單請(qǐng)參見附錄。勒索軟件風(fēng)險(xiǎn)管理本報(bào)告將組織的勒索軟件預(yù)防和緩解要求、目標(biāo)、風(fēng)險(xiǎn)偏好和資源與NST網(wǎng)絡(luò)安全框架的要素保持一致，幫助組織確定并優(yōu)先考慮提高其安全性和抗擊勒索件攻擊的能力。組織可以使用本報(bào)告作為分析自身準(zhǔn)備度的指南。這樣做將有助組織確定當(dāng)前的概況或狀態(tài)，并設(shè)定一個(gè)目標(biāo)概況以確定差距。表1定義了勒索軟件風(fēng)險(xiǎn)管理。前兩欄列出了網(wǎng)絡(luò)安全框架中的相關(guān)類別和子類別，組織可將其作為勒索軟件風(fēng)險(xiǎn)管理計(jì)劃的目標(biāo)結(jié)果。第三欄簡(jiǎn)要說明了個(gè)子類別如何幫助識(shí)別、防范、檢測(cè)、應(yīng)對(duì)勒索軟件事件并從中恢復(fù)。本簡(jiǎn)介還引用了參考資料。這些是關(guān)鍵基礎(chǔ)設(shè)施部門中常見的標(biāo)準(zhǔn)、指南和踐的具體部分，說明了實(shí)現(xiàn)每個(gè)子類別相關(guān)結(jié)果的方法。網(wǎng)絡(luò)安全框架中的參考料是說明性的，基于框架開發(fā)過程中最常用的跨部門指南，但并不窮盡。例如，表1的第二欄引用了網(wǎng)絡(luò)安全框架中包括的兩個(gè)信息參考資料中的關(guān)要求。這兩個(gè)信息參考資料是國際標(biāo)準(zhǔn)化組織國際電工委員會(huì)（S/EC）2701:013和NSTSP80-53第5版。網(wǎng)絡(luò)安全框架為每個(gè)子類別列出了額外的信息參考資料。這些參考資料將在指導(dǎo)文件的在線版本中不時(shí)更新?！疚宸N網(wǎng)絡(luò)安全框架功能類別】識(shí)別——形成一種組織理解，管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)和性能的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。識(shí)別功能中的活動(dòng)是有效使用該框架的基礎(chǔ)。了解組織業(yè)務(wù)背景、了解入關(guān)鍵功能的資源以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，使得組織能夠聚焦和分級(jí)投入，與織風(fēng)險(xiǎn)策略和業(yè)務(wù)（安全）需求一致。保護(hù)——制定并實(shí)施適當(dāng)?shù)谋Ｕ洗胧?，確保關(guān)鍵服務(wù)的正常運(yùn)行。保護(hù)功的作用能夠遏制潛在網(wǎng)絡(luò)安全事件影響的蔓延。檢測(cè)——制定并實(shí)施適當(dāng)?shù)臋C(jī)制，識(shí)別網(wǎng)絡(luò)安全事件的發(fā)生。檢測(cè)功能能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。響應(yīng)——針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件，制定并實(shí)施適當(dāng)?shù)膽?yīng)對(duì)活動(dòng)。應(yīng)對(duì)作用能夠防止?jié)撛诰W(wǎng)絡(luò)安全事件影響的蔓延?；謴?fù)——制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，維護(hù)恢復(fù)計(jì)劃，恢復(fù)因網(wǎng)絡(luò)攻擊期間受損的任何服務(wù)或性能?；謴?fù)功能支持及時(shí)恢復(fù)或重建正常運(yùn)營，減少網(wǎng)絡(luò)安全事件影響。表1：勒索軟件風(fēng)險(xiǎn)管理概況類別子類別和選定的信息參考應(yīng)用資料《關(guān)鍵信息基礎(chǔ)設(shè)施安全護(hù)條例》對(duì)應(yīng)要求NST的風(fēng)管理框架的功能要素對(duì)應(yīng)到具體的控項(xiàng)，并通過SO和NT的其他標(biāo)準(zhǔn)進(jìn)行補(bǔ)強(qiáng)解釋和詳細(xì)組織何進(jìn)行相應(yīng)控制增加本列，建立在關(guān)信息基礎(chǔ)設(shè)施領(lǐng)域進(jìn)行勒風(fēng)險(xiǎn)管理的映射，以供國I運(yùn)營者參考識(shí)別資產(chǎn)管理DAM1：清查組內(nèi)的物理設(shè)備和系統(tǒng)S/EC2701:013A811,A812NSTSP80-3e.5M-8,PM8.5應(yīng)該清點(diǎn)、審查維護(hù)物理設(shè)備，確保些設(shè)備不會(huì)受到勒索件的攻擊。在勒索軟攻擊后的恢復(fù)階段，果有必要重新安裝應(yīng)程序，擁有一份硬件單也是有益的。保護(hù)工作部門根據(jù)認(rèn)規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及時(shí)將認(rèn)定結(jié)果通知營者，并通報(bào)國務(wù)院公安門。（DA）：根據(jù)數(shù)據(jù)、人員、設(shè)備、系統(tǒng)和設(shè)施對(duì)組織目標(biāo)和組織風(fēng)險(xiǎn)戰(zhàn)略的相對(duì)重要程度，識(shí)別和管理使組織能夠?qū)崿F(xiàn)業(yè)務(wù)目的的數(shù)據(jù)、人員、設(shè)備、系統(tǒng)和設(shè)施。DAM2：清點(diǎn)組內(nèi)的軟件平臺(tái)和應(yīng)用程序軟件清單可以跟諸如軟件名稱和版本當(dāng)前安裝的設(shè)備、最后S/EC2701:013A811,A812的補(bǔ)丁日期和當(dāng)前已知的漏洞等信息。這些信NSTSP80-3e.5M-8,PM8.5息支持補(bǔ)救可能被勒索軟件攻擊利用的漏洞。DAM3：繪制組通信和數(shù)據(jù)流圖如果攻擊者在一環(huán)境中橫向移動(dòng)，有于列舉哪些信息或進(jìn)面臨風(fēng)險(xiǎn)。S/EC2701:013A1321,A1322NSTSP80-35A-4,A-3,A-9,P-8DAM4：對(duì)外部息系統(tǒng)編目這對(duì)于規(guī)劃與合伙伴的溝通及為應(yīng)對(duì)索軟件事件而暫時(shí)斷與外部系統(tǒng)連接的可行動(dòng)非常重要。識(shí)別些也將幫助組織規(guī)劃全控制措施的實(shí)施，確定可能與第三方共控制措施的領(lǐng)域。S/EC2701:013A1126NSTSP80-3e.5A-20,SA-9DAM5：資源（如，硬件、設(shè)備、數(shù)這對(duì)于了解勒索軟件事件的真正范圍和影響至關(guān)重要，而且對(duì)于未來勒索軟件事件、應(yīng)急響應(yīng)和恢復(fù)行動(dòng)的應(yīng)急計(jì)劃也很重要。有助于運(yùn)營和事件響應(yīng)者確定資源的優(yōu)先次序，并支持應(yīng)對(duì)未來勒索軟件事件、采取應(yīng)急響應(yīng)和恢復(fù)行動(dòng)的應(yīng)急計(jì)劃。如果有相關(guān)的工業(yè)控制系統(tǒng)（S），其關(guān)鍵能也應(yīng)納入應(yīng)急響應(yīng)和恢復(fù)行動(dòng)中。據(jù)、時(shí)間、人員和軟件）根據(jù)其分類、關(guān)鍵性和業(yè)務(wù)價(jià)值進(jìn)行優(yōu)先排序。S/EC2701:013A821NSTSP80-35P-2,A-2,A-9,S-6DAM6：為全體工和第三方利益相關(guān)者（如供應(yīng)商、客戶和作伙伴）確立網(wǎng)絡(luò)安重要的是，組織中的每個(gè)人都要了解他們?cè)诜乐估账鬈浖录矫娴淖饔煤拓?zé)任，以及角色和責(zé)任S/EC2701:013A611NSTSP80-3e.5P-2,P-1,PS-7在適用的情況下應(yīng)對(duì)索軟件事件并從中恢復(fù)。這些角色和責(zé)任正式記錄在事件響應(yīng)劃中。需要明確規(guī)定件響應(yīng)計(jì)劃定期演練（如至少每年執(zhí)行事響應(yīng)桌面模擬）。商業(yè)環(huán)境（DE）：了組織的使命、目標(biāo)、利益相關(guān)者和活動(dòng)，并確定其優(yōu)先次序；這一信息用于告知網(wǎng)絡(luò)安全的作用、責(zé)任和風(fēng)險(xiǎn)管理決策。DE-2：組織在關(guān)鍵基礎(chǔ)設(shè)施及其行業(yè)門的地位得到確認(rèn)和通S/EC2701:013A41NSTSP80-3e.5PM8這使國家計(jì)算機(jī)全事件響應(yīng)小組能夠好地了解目標(biāo)組織在鍵基礎(chǔ)設(shè)施環(huán)境中的位，并允許他們?cè)诔隹绮块T影響時(shí)及時(shí)作反應(yīng)。這也鼓勵(lì)該組及其外部利益相關(guān)者慮勒索軟件攻擊的下影響。DE-3：確定并傳達(dá)組織任務(wù)、目標(biāo)和動(dòng)的優(yōu)先次序NSTSP80-3e.5PM11,S-14這有助于運(yùn)營和件響應(yīng)者對(duì)資源進(jìn)行先排序。它支持應(yīng)對(duì)來勒索軟件事件的應(yīng)計(jì)劃、應(yīng)急響應(yīng)和恢行動(dòng)。DE-4：確定提供關(guān)鍵服務(wù)的依賴性和鍵職能S/EC2701:013A1122,A1123,A1213NSTSP80-35P-8,PE9,PE11,P-8,SA-20這有助于確定在支持組織的核心業(yè)務(wù)功能方面至關(guān)重要的二級(jí)和三級(jí)組件。這對(duì)于確定應(yīng)對(duì)未來事件的應(yīng)急計(jì)劃和對(duì)勒索軟件事件的應(yīng)急響應(yīng)的優(yōu)先次序是必要的。如果有相關(guān)的S，其關(guān)鍵功能應(yīng)包在應(yīng)急響應(yīng)和恢復(fù)行動(dòng)中。治理DV-：制定并達(dá)組織網(wǎng)絡(luò)安全政策S/EC2701:013A511NSTSP80-3e.5A-01,-01,A-01,M-0,P-0,A-011，ir-0，pe01,l-0，pm-01，A0、SA-0、S-01、S-01建立和溝通預(yù)防緩解勒索軟件事件所的政策是至關(guān)重要的也是所有其他預(yù)防和解活動(dòng)的基礎(chǔ)。在實(shí)情況下，應(yīng)定期審查些政策，以反映風(fēng)險(xiǎn)動(dòng)態(tài)性質(zhì)和需要不斷整的現(xiàn)實(shí)。（DV）：管和監(jiān)測(cè)組織的監(jiān)專門安全管理機(jī)構(gòu)具負(fù)責(zé)本單位的關(guān)鍵信息基管、法律、風(fēng)設(shè)施安全保護(hù)工作，履行下險(xiǎn)、環(huán)境和運(yùn)營列職責(zé)：要求的政策、程序和流程得到理（一）建立健全網(wǎng)絡(luò)安解，并告知（內(nèi)全管理、評(píng)價(jià)考核制度，擬外部相關(guān)者）網(wǎng)訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保絡(luò)安全風(fēng)險(xiǎn)管理護(hù)計(jì)劃……政策和策略。DV-：了解并管這對(duì)于制定網(wǎng)絡(luò)全政策和確立應(yīng)對(duì)未勒索軟件事件的應(yīng)急劃的優(yōu)先次序尤為必要。理有關(guān)網(wǎng)絡(luò)安全的法律和監(jiān)管要求，包括對(duì)隱私和公民自由的義務(wù)S/EC2701:013A1811,A1812,A1813,A1814,A1815NSTSP80-3e.5A-07,A-02DV-：治理和險(xiǎn)管理流程應(yīng)對(duì)網(wǎng)絡(luò)安必須將勒索軟件風(fēng)險(xiǎn)納入組織風(fēng)險(xiǎn)管治理，以建立適當(dāng)?shù)慕j(luò)安全政策。全風(fēng)險(xiǎn)S/EC2701:013A6NSTSP80-3PM53,PM7,9,P-1,PM11,SA-2DA-1：識(shí)別和錄資產(chǎn)的脆弱性S/EC2701:013A1261,A123NSTSP80-3e.5A-2,A-7,A-8,A-3,A-5,SA-5,SA-1,S-2,S-4,S-5識(shí)別和記錄組織產(chǎn)的漏洞對(duì)于制定緩或消除這些漏洞的計(jì)并確定其優(yōu)先次序至重要。這些行動(dòng)也是估和應(yīng)對(duì)未來勒索軟事件的應(yīng)急計(jì)劃的關(guān)鍵，將減少勒索軟件擊成功的可能性。專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下列職責(zé)：……風(fēng)險(xiǎn)評(píng)估（DA）：組了解網(wǎng)絡(luò)安全對(duì)組織運(yùn)作（包括任務(wù)、功能、形（二）組織推動(dòng)網(wǎng)絡(luò)全防護(hù)能力建設(shè)，開展網(wǎng)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估……象或聲譽(yù)）、組運(yùn)營者應(yīng)當(dāng)自行或者委織資產(chǎn)和個(gè)人的托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵風(fēng)險(xiǎn)。信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的安全問題及時(shí)整改，并按照保護(hù)工作部門要求報(bào)送情況。DA-2：從信息享論壇和來源獲得網(wǎng)絡(luò)從信息共享源接和使用網(wǎng)絡(luò)威脅情報(bào)可以減少對(duì)勒索軟件擊的暴露，并促進(jìn)對(duì)威脅的早期檢測(cè)。威脅情報(bào)S/EC2701:013A614NSTSP80-3e.5PM15,M16,S-5DA-4：確定潛的商業(yè)影響和可能性需要了解潛在勒軟件事件的業(yè)務(wù)影響支持網(wǎng)絡(luò)安全的成本益分析，并確定勒索件響應(yīng)和恢復(fù)計(jì)劃中活動(dòng)重點(diǎn)。了解潛在業(yè)務(wù)影響也有助于在生勒索軟件攻擊時(shí)做應(yīng)急響應(yīng)決定。S/EC2701:013A1616,612NSTSP80-3e.PM59,PM11,A-2,A-3,SA-20DA-6：確定風(fēng)應(yīng)對(duì)措施并排定優(yōu)先次應(yīng)對(duì)勒索軟件事并從中恢復(fù)的相關(guān)費(fèi)用，直接受到應(yīng)對(duì)預(yù)風(fēng)險(xiǎn)的應(yīng)急計(jì)劃的有性的影響。序S/EC2701:013A613NSTSP80-3e.PM54,PM39DM-：組織利相關(guān)者建立、管理并同意風(fēng)險(xiǎn)管理程序S/EC2701:013A613,83,93NSTSP80-3e.5PM4,P-9建立和執(zhí)行組織策、角色和責(zé)任取決利益相關(guān)者是否同意實(shí)施有效的風(fēng)險(xiǎn)管理程。這些流程應(yīng)考慮勒索軟件事件的風(fēng)險(xiǎn)應(yīng)定期審查這些政策以反映風(fēng)險(xiǎn)的動(dòng)態(tài)性和隨著時(shí)間推移需要整的現(xiàn)實(shí)。運(yùn)營者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障人力、財(cái)力、物力投入。運(yùn)營者的主要負(fù)責(zé)人對(duì)風(fēng)險(xiǎn)管理戰(zhàn)略（DM）：立組織的優(yōu)先事項(xiàng)、約束條件、風(fēng)險(xiǎn)容忍度和假關(guān)鍵信息基礎(chǔ)設(shè)施安全保負(fù)總責(zé)，領(lǐng)導(dǎo)關(guān)鍵信息基設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)全事件處置工作，組織研解決重大網(wǎng)絡(luò)安全問題。設(shè)，并用于支運(yùn)營風(fēng)險(xiǎn)決策運(yùn)營者應(yīng)當(dāng)保障專門全管理機(jī)構(gòu)的運(yùn)行經(jīng)費(fèi)、備相應(yīng)的人員，開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當(dāng)有專門安全管理機(jī)構(gòu)人員參與。供應(yīng)鏈風(fēng)險(xiǎn)DS-5：與供應(yīng)商和第三方供應(yīng)商一起行響應(yīng)和恢復(fù)規(guī)劃和試S/EC2701:013A1713NSTSP80-3e.P-5,P-,-3,-4,-6,-8,-9勒索軟件應(yīng)急計(jì)應(yīng)與供應(yīng)商和第三方應(yīng)商協(xié)調(diào)，并應(yīng)包括試計(jì)劃活動(dòng)。該計(jì)劃包括組織、其供應(yīng)商第三方供應(yīng)商都受到索軟件影響的情況。運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品服務(wù)，應(yīng)當(dāng)按照國家有關(guān)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供簽訂安全保密協(xié)議，明確供者的技術(shù)支持和安全保義務(wù)與責(zé)任，并對(duì)義務(wù)與任履行情況進(jìn)行監(jiān)督。管理（DS）：組織的優(yōu)先事項(xiàng)、約束條件、風(fēng)險(xiǎn)容忍和假設(shè)已經(jīng)確立，并用于支持與管理供應(yīng)鏈風(fēng)險(xiǎn)相關(guān)的風(fēng)險(xiǎn)決策。該組織已經(jīng)建立并實(shí)施了識(shí)別、評(píng)估和管理供應(yīng)鏈風(fēng)險(xiǎn)的程序。保護(hù)身份管理、PA-1：發(fā)放、理、驗(yàn)證、撤銷和審計(jì)授權(quán)設(shè)備、用戶和流程的身份和憑證。S/EC2701:013A921,A922,A923,A924,A926,A931,A942,A943NSTSP80-3e.A-1,A-2,A-1,A-2,A-3,A-4,A-5,A-4,A-5，A-6,A7,A-8,A-9,A-10,A-11大多數(shù)勒索軟件攻擊都是通過網(wǎng)絡(luò)連進(jìn)行的，勒索軟件的擊往往從憑證泄露開（如未經(jīng)授權(quán)分享或獲登錄身份和密碼）適當(dāng)?shù)膽{證管理至關(guān)要，盡管不是唯一需的緩解措施。專門安全管理機(jī)構(gòu)具負(fù)責(zé)本單位的關(guān)鍵信息基設(shè)施安全保護(hù)工作，履行列職責(zé)：……（七）對(duì)關(guān)信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)運(yùn)行、維護(hù)等服務(wù)實(shí)施安管理……認(rèn)證和訪問控制（PA）。對(duì)物理和邏輯資產(chǎn)及相關(guān)設(shè)施的訪問僅限于授權(quán)的用戶、流程和設(shè)備，其管理與（被非授權(quán)訪問的）風(fēng)險(xiǎn)評(píng)估結(jié)果保持一致。PA-3：遠(yuǎn)程訪得到管理大多數(shù)勒索軟件擊都在遠(yuǎn)程進(jìn)行。管與遠(yuǎn)程訪問相關(guān)的權(quán)可以幫助保持系統(tǒng)和據(jù)文件的完整性，防惡意代碼的插入和數(shù)的滲出。使用多因子證是減少賬戶被破壞能性的一個(gè)關(guān)鍵而且易實(shí)現(xiàn)的方法。S/EC2701:013A621,A622,A1126,A1311,A1321NSTSP80-3e5A-1,A-17,A-1,A-20,S-15PA-4：訪問權(quán)和授權(quán)的管理，包括最許多勒索軟件事通過攻破用戶憑證或用對(duì)系統(tǒng)有不必要的權(quán)訪問的進(jìn)程而發(fā)生這是預(yù)防此類事件的個(gè)非常重要的管理步驟。小特權(quán)和職責(zé)分離的原則。S/EC2701:013A612,A912,A923,A941,A944,A945NSTSP80-3A-1,A-2,3,A-5,A-6,A-14,A-31、A-24PA-5：網(wǎng)絡(luò)完整網(wǎng)絡(luò)分割或隔離可以防止惡意軟件在潛在的目標(biāo)系統(tǒng)中擴(kuò)散，從而限制勒索軟件事件的范圍（如從商業(yè)信息技術(shù)網(wǎng)絡(luò)轉(zhuǎn)移到運(yùn)營技術(shù)或控制系統(tǒng)）。將T和T網(wǎng)絡(luò)分開并定期驗(yàn)證其獨(dú)立性至關(guān)重要。這不僅降低了T系統(tǒng)被壞的風(fēng)險(xiǎn)，而且還可以在業(yè)務(wù)T系統(tǒng)從勒索軟件中恢復(fù)時(shí)繼續(xù)進(jìn)行低級(jí)別的關(guān)鍵操作。這對(duì)包括安全儀表系統(tǒng)（SS）在內(nèi)的關(guān)鍵S功能特別重要。性得到保護(hù)（例如網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)分段）。S/EC2701:013A1311,A1313,A1321,A1412,A1413NSTSP80-3e.5A-4,A-10,S-7PA-6：身份被明并與憑證綁定，并在被破壞的憑證是索軟件事件中常見的擊媒介。身份應(yīng)該被明，然后與憑證綁定（如正式授權(quán)個(gè)人的因素認(rèn)證），以限制證被破壞或發(fā)放給未權(quán)個(gè)人的可能性?；?dòng)中被斷言。S/EC2701:013A711,A921NSTSP80-3e.A-1、A-、A-3、16、A-1、A-2。A-1,A2,A-,A-5,A-8,PE-,PS3意識(shí)和培訓(xùn)PAT-：所有用都應(yīng)告知并接受培訓(xùn)S/EC2701:013A722,A1221NSTSP80-3e.5AT-,P-13大多數(shù)勒索軟件攻擊是由從事不安全為的用戶、實(shí)施不安配置的管理員、或安培訓(xùn)不足的開發(fā)人員成的。專門安全管理機(jī)構(gòu)具負(fù)責(zé)本單位的關(guān)鍵信息基設(shè)施安全保護(hù)工作，履行列職責(zé)：……（四）認(rèn)定絡(luò)安全關(guān)鍵崗位，組織開網(wǎng)絡(luò)安全工作考核，提出勵(lì)和懲處建議；（五）組織網(wǎng)絡(luò)安全育、培訓(xùn)；……（PAT）：向組織的人員和合作伙伴提供網(wǎng)絡(luò)安全意識(shí)教育，并對(duì)其進(jìn)行培訓(xùn)，以便根據(jù)相關(guān)政策、程序和協(xié)議履行與網(wǎng)絡(luò)安全有關(guān)的職責(zé)和責(zé)任。數(shù)據(jù)安全PDS-：保持足的容量以確保可用性S/EC2701:013A1213,A1721NSTSP80-3e.A-54,P-2,S-5確保數(shù)據(jù)的充分用性可以減少勒索軟的影響。這包括保持地和離線數(shù)據(jù)備份的力，在必要時(shí)測(cè)試平恢復(fù)時(shí)間和系統(tǒng)冗余度。專門安全管理機(jī)構(gòu)具負(fù)責(zé)本單位的關(guān)鍵信息基設(shè)施安全保護(hù)工作，履行列職責(zé)：……（六）履行人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和據(jù)安全保護(hù)制度……（PDS）：信息和記錄（數(shù)據(jù)）的管理符合組織的風(fēng)險(xiǎn)戰(zhàn)略，以保護(hù)信息的保密性、完整性和可用性。PDS-：防止數(shù)泄漏的保護(hù)措施得到實(shí)雙重勒索：既要付款以恢復(fù)數(shù)據(jù)訪問又要求不在其他地方售或公布數(shù)據(jù)是很常的，所以數(shù)據(jù)泄漏預(yù)解決方案很重要。施S/EC2701:013A1213,A1721NSTSP80-3e.A-54,P-2,S-5PDS-：使用完整完整性檢查機(jī)制以檢測(cè)到被篡改的軟更新，這些軟件可以用于插入啟用勒索軟事件的惡意軟件。性檢查機(jī)制驗(yàn)證軟件、固件和信息的完整性S/EC2701:013A1221,A1251,A1412,A1413,A1424NSTSP80-3e.5S-16,S-7PDS-：開發(fā)和試環(huán)境與生產(chǎn)環(huán)境是分將開發(fā)和測(cè)試環(huán)與生產(chǎn)環(huán)境分離，可防止勒索軟件從開發(fā)測(cè)試系統(tǒng)發(fā)布到生產(chǎn)統(tǒng)。離的。S/EC2701:013A1214NSTSP80-3e.5M-2PP-1：創(chuàng)建和維護(hù)信息技術(shù)/工業(yè)控制統(tǒng)的基線配置，并納入安全原則（如最小功能概念）。S/EC2701:013A1212,A1251,A1262,A1422,A1423,A1424NSTSP80-3e.5M-2,-3,M-4,M-5,M-6,M-7,M-,SA-10基線對(duì)于建立一系統(tǒng)需要執(zhí)行的功能有用，這樣就可以對(duì)何偏離該基線的行為估，確定潛在的網(wǎng)絡(luò)險(xiǎn)。未經(jīng)授權(quán)的配置更可以作為惡意攻擊一個(gè)指標(biāo)，可能會(huì)導(dǎo)引入勒索軟件。運(yùn)營者應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)，并對(duì)專門安全信息保護(hù)過管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位程和程序人員進(jìn)行安全背景審查。（PP）：安政策（涉及目的、范圍、角色、責(zé)任、管理承諾和組織實(shí)體專門安全管理機(jī)構(gòu)具負(fù)責(zé)本單位的關(guān)鍵信息基設(shè)施安全保護(hù)工作，履行列職責(zé)：間的協(xié)調(diào)）、流（一）建立健全網(wǎng)絡(luò)安程和程序維護(hù)并全管理、評(píng)價(jià)考核制度，擬用于管理信息系訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保統(tǒng)和資產(chǎn)的保護(hù)計(jì)劃；……（七）對(duì)關(guān)鍵護(hù)。信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理；PP-3：配置變更適當(dāng)?shù)呐渲米兏炭梢詭椭鷪?zhí)行軟件及時(shí)安全更新，維護(hù)要的安全配置設(shè)置，阻止用含有惡意軟件不滿足訪問管理策略產(chǎn)品替換代碼?？刂屏鞒桃呀?jīng)就緒S/EC2701:013A1212,A1251,A1262,A1422,A1423,A1424NSTSP80-3e.5M-3,M-4,SA-0PP-4：備份、護(hù)和測(cè)試信息定期維護(hù)和測(cè)試備份對(duì)于及時(shí)和相對(duì)痛地從勒索軟件事件恢復(fù)至關(guān)重要。備份該是安全的，確保不被勒索軟件破壞或被擊者刪除。備份應(yīng)離存儲(chǔ)。S/EC2701:013A1231,A1712,A1713,A1813NSTSP80-3e.P-5,P-,P-9PP-9：響應(yīng)計(jì)劃（事件響應(yīng)和業(yè)務(wù)連續(xù)響應(yīng)和恢復(fù)計(jì)劃應(yīng)性）和恢復(fù)計(jì)劃（事件包括勒索軟件事件。響恢復(fù)和災(zāi)難恢復(fù)）已經(jīng)應(yīng)計(jì)劃的副本應(yīng)保持離就緒并得到管理線狀態(tài)，以防事件發(fā)生時(shí)取消了對(duì)目標(biāo)網(wǎng)絡(luò)內(nèi)S/EC2701:013A1611,A1711,A1712,A1713的軟拷貝的訪問。在件分級(jí)過程中，應(yīng)適地對(duì)勒索軟件事件進(jìn)行NSTSP80-35P-2,P-,P-1,P-13,-7,-8,-9,PE-7優(yōu)先排序，目的是立遏制勒索軟件的傳播PP-1：測(cè)試響和恢復(fù)計(jì)劃應(yīng)定期測(cè)試?yán)账鬈浖捻憫?yīng)和恢復(fù)計(jì)劃，確保風(fēng)險(xiǎn)和響應(yīng)假設(shè)及流程在不斷變化的勒索軟件威脅方面是最新的。響應(yīng)和恢復(fù)計(jì)劃的測(cè)試應(yīng)包括任何相關(guān)的S。流程需要更新和護(hù)，以適應(yīng)不斷變化的組織需求和結(jié)構(gòu)，以及新的勒索軟件類型和策略。測(cè)試培訓(xùn)了需要執(zhí)行該計(jì)劃的人員。S/EC2701:013A1713NSTSP80-3e.5P-4,-3,PM1·PMA-：組織產(chǎn)的遠(yuǎn)程維護(hù)得到批遠(yuǎn)程維護(hù)提供了個(gè)進(jìn)入網(wǎng)絡(luò)和技術(shù)的道。如果管理不善，法或犯罪人員可能會(huì)用這種訪問改變配置允許引入惡意軟件?？椈蚱涔?yīng)商對(duì)所有統(tǒng)組件的遠(yuǎn)程維護(hù)必得到驗(yàn)證，確保這一程不會(huì)為T或T網(wǎng)絡(luò)提供后門訪問。專門安全管理機(jī)構(gòu)具負(fù)責(zé)本單位的關(guān)鍵信息基設(shè)施安全保護(hù)工作，履行列職責(zé)：……（七）對(duì)關(guān)信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)運(yùn)行、維護(hù)等服務(wù)實(shí)施安管理；維護(hù)準(zhǔn)、記錄，并防止未經(jīng)（PMA）：根政策和程序，維護(hù)和修理工業(yè)控制和信息系統(tǒng)組件。授權(quán)訪問。S/EC2701:013A1124,A1511,A1521NSTSP80-3e.5MA4保護(hù)性技術(shù)PPT-：根據(jù)政確定、記錄、實(shí)施和審查審計(jì)/日志記錄S/EC2701:013A1241,A1242,A1243,A1244,A1271NSTSP80-3A-1,A-A-2,,A-4,A-5,A-6,A-。A-8、A-、A-1、A-1、A-13、A-、A-16審計(jì)日志記錄的用性可以幫助檢測(cè)意外行為，支持取證響應(yīng)和恢復(fù)過程。運(yùn)營者依照本條例和關(guān)法律、行政法規(guī)的規(guī)定及國家標(biāo)準(zhǔn)的強(qiáng)制性要求在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基上，采取技術(shù)保護(hù)措施和他必要措施，應(yīng)對(duì)網(wǎng)絡(luò)安事件，防范網(wǎng)絡(luò)攻擊和違犯罪活動(dòng)，保障關(guān)鍵信息礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，維數(shù)據(jù)的完整性、保密性和用性。（PPT）：管理技術(shù)安全解決方案，確保系統(tǒng)和資產(chǎn)的安全和復(fù)原力，與相關(guān)政策、程序和協(xié)議保持一致。PPT-：通過配系統(tǒng)，只提供必要的功保持最小功能原可能會(huì)阻止?jié)撛谀繕?biāo)統(tǒng)之間的移動(dòng)（如從理網(wǎng)絡(luò)移動(dòng)到操作過控制系統(tǒng)）。能，體現(xiàn)最小功能原則S/EC2701:013A912NSTSP80-3e.5A-3,M-37檢測(cè)多個(gè)來源和傳感器協(xié)同安全信息和事件管理（SE）解決方案高了網(wǎng)絡(luò)的可見性，有助于在早期發(fā)現(xiàn)勒索軟件，并有助于了解勒索軟件如何通過網(wǎng)絡(luò)傳播。專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下異?；顒?dòng)和事件檢測(cè)異?；顒?dòng)了解事件的潛DEAE3：從多個(gè)源和傳感器收集事件數(shù)據(jù)并關(guān)聯(lián)S/EC2701:013A1241,A1617列職責(zé)：……（二）組織推動(dòng)網(wǎng)絡(luò)全防護(hù)能力建設(shè)，開展網(wǎng)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估；……影響。NSTSP80-3A-56,A-7,-4,-5,-8,S-4保護(hù)工作部門應(yīng)當(dāng)定組織開展本行業(yè)、本領(lǐng)域鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測(cè)，指導(dǎo)監(jiān)督運(yùn)營者及時(shí)整改安全隱患、完善安全措施。DEAE4：事件的響得到確定確定事件的影響以為確定勒索軟件攻的響應(yīng)和恢復(fù)優(yōu)先級(jí)供信息。S/EC2701:013A1614NSTSP80-3e.5P-2,-4,A-3,S-4安全持續(xù)監(jiān)DEM-：監(jiān)測(cè)網(wǎng)絡(luò)以檢測(cè)潛在的網(wǎng)絡(luò)全事件NSTSP80-3e.5A-2,A-A-1,7,M-3,S-5,S-7,S-4網(wǎng)絡(luò)監(jiān)測(cè)可能會(huì)惡意代碼被插入或大信息被加密和泄露之檢測(cè)到入侵。測(cè)（DEM）：監(jiān)測(cè)信息系統(tǒng)和資產(chǎn)，識(shí)別網(wǎng)絡(luò)安全事件并驗(yàn)證保護(hù)措施的有效性。DEM-：監(jiān)測(cè)人員活動(dòng)，發(fā)現(xiàn)潛在的監(jiān)測(cè)人員活動(dòng)可會(huì)發(fā)現(xiàn)內(nèi)部威脅或不全的工作人員行為或露的憑證，并阻止?jié)摰睦账魇录?。絡(luò)安全事件S/EC2701:013A1241,A1243NSTSP80-3e.5A-2,A-A-1,13,A-7,M-1,M-1DEM-：檢測(cè)惡意代碼檢測(cè)可能表明，索軟件事件正在發(fā)生即將發(fā)生。惡意代碼常不會(huì)立即執(zhí)行，因在勒索軟件攻擊執(zhí)行前的插入惡意代碼和活惡意代碼階段之間能有時(shí)間檢測(cè)到惡意碼。S/EC2701:013A1221NSTSP80-3e.5S-3,S-8DEM-：監(jiān)測(cè)未經(jīng)授權(quán)的人員、連接設(shè)備和軟件未經(jīng)授權(quán)的人、連S/EC2701:013A1241,A1427,A1521接、設(shè)備和軟件是發(fā)動(dòng)勒索軟件攻擊的潛在源。監(jiān)測(cè)可以在勒索NSTSP80-3A-12,A-7,M-,M-8,PE-,PE-,PE-0,S-4件攻擊執(zhí)行之前發(fā)現(xiàn)。DEM-：進(jìn)行洞掃描勒索軟件攻擊期可能會(huì)利用漏洞。定掃描可以讓組織在執(zhí)勒索軟件之前檢測(cè)并解大多數(shù)漏洞。S/EC2701:013A1261NSTSP80-3e.5A-5檢測(cè)程序（DED）：維和測(cè)試檢測(cè)過程和程序，確保了DED-：明確檢的角色和職責(zé)有助于明確責(zé)任。S/EC2701:013A611,A722明確理解角色和責(zé)是可問責(zé)的關(guān)鍵，勵(lì)遵守組織政策和程序，幫助檢測(cè)勒索軟攻擊。解異常事件。NSTSP80-3e.5A-2,A-7,P-14DED-：檢測(cè)活符合所有適用的要求探測(cè)活動(dòng)應(yīng)按照織政策和程序進(jìn)行。S/EC2701:013A1814,A1822,A1823NSTSP80-3e.5A-25,A-2,A-7,PM-14,S-4,S-9DED-：檢測(cè)過經(jīng)過測(cè)試測(cè)試為基于勒索軟件的攻擊提供了正確檢測(cè)過程的保證，但并不是說所有的入侵嘗試會(huì)被檢測(cè)到。測(cè)試是需要執(zhí)行計(jì)劃的人員的培訓(xùn)。S/EC2701:013A1428NSTSP80-35A-2,A-7,PE3,PM-14,S-3,S-4DED-：溝通事檢測(cè)信息為了能夠在勒索件攻擊完全實(shí)現(xiàn)之前取補(bǔ)救措施，必須及溝通異常事件。S/EC2701:013A1612,A1613NSTSP80-3A-56,A-2,A-7,A-5,S-4DED-：檢測(cè)過不斷改進(jìn)勒索軟件攻擊中使用的策略在不斷完善，因此檢測(cè)過程必須不斷發(fā)展以跟上新的威脅S/EC2701:013A1616NSTSP80-35A-2,A-7,P-,PM-14,A-5,S-4響應(yīng)SP-1：在事中事后執(zhí)行響應(yīng)計(jì)劃S/EC2701:013A1615NSTSP80-3P-5,P-0,-4,-8立即執(zhí)行響應(yīng)計(jì)的公共關(guān)系和通信響部分是必要的，可以止惡化或持續(xù)的數(shù)據(jù)流，阻止感染擴(kuò)散到他系統(tǒng)和網(wǎng)絡(luò)，并及地傳遞信息，以盡量少進(jìn)一步的損害，包聲譽(yù)或法律方面的損害。專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)響應(yīng)規(guī)劃設(shè)施安全保護(hù)工作，履行下（SP）：執(zhí)行和維護(hù)響應(yīng)過程列職責(zé)：……和程序，確保對(duì)（三）按照國家及行業(yè)發(fā)現(xiàn)的網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制事件作出響應(yīng)。定本單位應(yīng)急預(yù)案，定期開展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件；……溝通SO-1：需要響時(shí)，人員應(yīng)知道角色和行動(dòng)順序S/EC2701:013A611,A722,A1611NSTSP80-3e.P-5,P-,-3,-8對(duì)勒索軟件事件響應(yīng)包括技術(shù)和業(yè)務(wù)應(yīng)。有效和高效的響需要所有各方了解其色和責(zé)任。通信響應(yīng)色應(yīng)正式記錄在事件應(yīng)和恢復(fù)計(jì)劃中，并通過演練計(jì)劃加強(qiáng)。（SO）：與內(nèi)部和外部的利益關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)相關(guān)者協(xié)調(diào)響應(yīng)重大網(wǎng)絡(luò)安全威脅時(shí)，運(yùn)營活動(dòng)（如來自執(zhí)者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)法機(jī)構(gòu)的支工作部門、公安機(jī)關(guān)報(bào)告。持）。SO-2：事件的告符合既定標(biāo)準(zhǔn)對(duì)勒索軟件事件響應(yīng)包括技術(shù)和業(yè)務(wù)應(yīng)。有效和高效的響需要預(yù)先建立的報(bào)告準(zhǔn)，并在事件發(fā)生期遵守這些標(biāo)準(zhǔn)。S/EC2701:013A613,A1612NSTSP80-3e.A5-6,-6,-8SO-3：根據(jù)響計(jì)劃共享信息信息共享的重點(diǎn)括阻止感染擴(kuò)散到其系統(tǒng)和網(wǎng)絡(luò)，以及高的信息傳遞。S/EC2701:013A1612,A7,A1612NSTSP80-3e5A-2,A-P7,2,-4,-8,PE-,A-5,S-54SO-4：根據(jù)應(yīng)計(jì)劃與利益相關(guān)者協(xié)調(diào)與關(guān)鍵的內(nèi)外部益相關(guān)者的協(xié)調(diào)對(duì)于止錯(cuò)誤信息的傳播和立高效的信息傳遞等先事項(xiàng)非常重要。S/EC2701:013A74NSTSP80-3e.5P-2,-4,-8SO-5：與外部益相關(guān)者自愿分享信信息共享可能會(huì)取證帶來幫助，并減勒索軟件攻擊的影響利潤。自愿共享是對(duì)何監(jiān)管或其他合規(guī)性求的報(bào)告和共享的補(bǔ)充。息，以實(shí)現(xiàn)更廣泛的網(wǎng)絡(luò)安全態(tài)勢(shì)感知。S/EC2701:013A614NSTSP80-3e.5PM15,S-5SAN-1：調(diào)查來檢測(cè)系統(tǒng)的通知應(yīng)及時(shí)和全面調(diào)來自檢測(cè)系統(tǒng)的通知因?yàn)檫@些通知往往表勒索軟件攻擊處于早階段，可以預(yù)先阻止減輕影響。分析（SAN）：進(jìn)行分析以確保有的反應(yīng)并支持S/EC2701:013A1241,A1243,A1615復(fù)活動(dòng)。NSTSP80-3A-56,A-7,-4,-5,PE-,S-4了解影響將決定恢復(fù)計(jì)劃的實(shí)施。SAN-2：了解事的影響企業(yè)應(yīng)設(shè)法了解索軟件攻擊的技術(shù)影（如哪些系統(tǒng)不可S/EC2701:013A1614,A1616用），然后了解由此對(duì)業(yè)務(wù)產(chǎn)生的影響（如些業(yè)務(wù)流程無法交NSTSP80-3e.5P-2,-4付）。這將有助于確保響應(yīng)和恢復(fù)工作有適當(dāng)?shù)膬?yōu)先次序和資源，同時(shí)可以實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃。取證有助于確定遏制和消除攻擊的根本原SAN-3：取證因，包括重設(shè)被攻擊者盜取的憑證密碼、刪除S/EC2701:013A1617攻擊者使用的惡意軟件、刪除攻擊者使用的NSTSPe5A-7,-4持久性機(jī)制等。取證也可以為恢復(fù)過程提供信息，并協(xié)助報(bào)告和分享行動(dòng)。SAN-5：建立程序，接收、分析和應(yīng)從內(nèi)外部來源（如內(nèi)測(cè)試、安全公告或安研究人員）織披露的洞。NSTSP80-3e.5PM15,S-5分析過程可以防止未來的成功攻擊和勒索軟件擴(kuò)散到其他系統(tǒng)和網(wǎng)絡(luò)。它還可以幫助恢復(fù)利益相關(guān)者的信心。SM-1：事件得控制S/EC2701:013A1221,A1615NSTSP80-3e.-54必須立即采取行動(dòng)，防止勒索軟件擴(kuò)到其他系統(tǒng)和網(wǎng)絡(luò)，輕其影響，并解決該件。遏制勒索軟件包任何相關(guān)的S。關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí)，運(yùn)營者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告。緩解發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施（SM）：為止事件擴(kuò)大，減整體中斷運(yùn)行或者主要功能故障、國家基礎(chǔ)信息以及其輕其影響，并解他重要數(shù)據(jù)泄露、較大規(guī)模決事件而開展的個(gè)人信息泄露、造成較大經(jīng)活動(dòng)。濟(jì)損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時(shí)，保護(hù)工作部門應(yīng)當(dāng)在收到報(bào)告后，及時(shí)向國家網(wǎng)信部門、國務(wù)院公安部門報(bào)告。SM-2：事件得緩解必須立即采取行隔離勒索軟件，盡量少對(duì)數(shù)據(jù)的損害，防感染在網(wǎng)絡(luò)內(nèi)和其他統(tǒng)和網(wǎng)絡(luò)中擴(kuò)散，并量減少對(duì)任務(wù)或業(yè)務(wù)影響。S/EC2701:013A1221,A1615NSTSP80-3e.-54SM-3：新發(fā)現(xiàn)漏洞被緩解或被記錄為漏洞管理使勒索件攻擊成功的概率降最低。如果漏洞不能修補(bǔ)或緩解，記錄這風(fēng)險(xiǎn)至少可以將其納未來的決策中，并為能受到勒索軟件事件響的利益相關(guān)者提供明度?？山邮艿娘L(fēng)險(xiǎn)S/EC2701:013A1261NSTSP80-3e.-54改進(jìn)SM-1：應(yīng)對(duì)計(jì)中體現(xiàn)了經(jīng)驗(yàn)教訓(xùn)S/EC2701:013A1616,A10NSTSP80-3e.5P-2,-4,-8最大限度的減少未來勒索軟件攻擊成的概率，并有助于恢利益相關(guān)者的信心。（SM）:通過吸收從當(dāng)前和以前的檢測(cè)/響應(yīng)活動(dòng)中獲得的經(jīng)驗(yàn)教訓(xùn)，改進(jìn)組織的響應(yīng)活動(dòng)。SM-2：更新應(yīng)策略最大限度地減少未來勒索軟件攻擊成的概率，并有助于恢利益相關(guān)者的信心。S/EC2701:013A1616,A10N