2024勒索軟件風(fēng)險(xiǎn)管理報(bào)告

PAGEPAGE1基于NIST網(wǎng)絡(luò)安全框架的勒索軟件風(fēng)險(xiǎn)管理內(nèi)部報(bào)告22目 錄安全框架的勒索軟件風(fēng)險(xiǎn)管理內(nèi)部報(bào)告 4摘要 5關(guān)鍵詞 5引言 5勒索軟件的挑戰(zhàn) 5適用對(duì)象 8其他指導(dǎo)性資源 92、勒索軟件風(fēng)險(xiǎn)管理 9附錄A 34PAGE12PAGE12摘要勒索軟件（攻擊）攻擊者也可能竊取組織的信息，并要求額外的付款，以換取不向當(dāng)局、競(jìng)爭(zhēng)對(duì)手或公眾披露信息。本報(bào)告確定了網(wǎng)絡(luò)安全框架1.1版下的安全目標(biāo)，支持識(shí)別、防范、檢測(cè)，以應(yīng)對(duì)勒索軟件事件并從中恢復(fù)。本報(bào)告可作為管理勒索軟件事件風(fēng)險(xiǎn)的指南，為衡量組織在應(yīng)對(duì)勒索軟件威脅和處理事件潛在后果方面的準(zhǔn)備程度提供支持。關(guān)鍵詞網(wǎng)絡(luò)安全框架；檢測(cè)；識(shí)別；保護(hù)；勒索軟件；恢復(fù)；響應(yīng)；風(fēng)險(xiǎn)；安全引言本報(bào)告可幫助組織和個(gè)人管理勒索軟件事件的風(fēng)險(xiǎn)，為衡量組織在應(yīng)對(duì)勒索軟件威脅和處理事件潛在后果方面的準(zhǔn)備程度提供支持；也可作為是改善網(wǎng)絡(luò)安全的契機(jī)，幫助挫敗勒索軟件（攻擊等威脅）。本報(bào)告確定了《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》1.1版下的安全目標(biāo)，支持識(shí)別、防范、檢測(cè)，以應(yīng)對(duì)勒索軟件事件并從中恢復(fù)。勒索軟件的挑戰(zhàn)勒索軟件是一種惡意軟件，它加密組織的數(shù)據(jù)，并要求付款作為恢復(fù)對(duì)該數(shù)關(guān)鍵基礎(chǔ)設(shè)施，擾亂或中止組織的運(yùn)營(yíng)，給管理層帶來(lái)兩難選擇：支付贖金并希望攻擊者遵守恢復(fù)訪問(wèn)且不泄露數(shù)據(jù)的承諾；或者不支付贖金并嘗試恢復(fù)運(yùn)營(yíng)。使用勒索軟件進(jìn)入某個(gè)組織的信息系統(tǒng)，在廣泛的網(wǎng)絡(luò)攻擊中是很常見(jiàn)的方法，但其（特點(diǎn)）旨在強(qiáng)制（受害者）支付贖金。并且攻擊者不斷嘗試采用新的手段向受害者施加壓力，用于傳播勒索軟件的技術(shù)也在繼續(xù)發(fā)生變化。勒索軟件攻擊與其他網(wǎng)絡(luò)安全事件不同。在其他網(wǎng)絡(luò)安全事件中，攻擊者可能會(huì)隱蔽（不會(huì)直接影響業(yè)務(wù)運(yùn)營(yíng)）的獲取知識(shí)產(chǎn)權(quán)、信用卡數(shù)據(jù)或個(gè)人身份信息等資料，然后披露這些信息以獲取收益；勒索軟件卻可能會(huì)對(duì)業(yè)務(wù)的運(yùn)營(yíng)產(chǎn)生直接影響。在勒索軟件（攻擊）事件發(fā)生后，企業(yè)可能沒(méi)有充分時(shí)間緩解或補(bǔ)救影響、恢復(fù)系統(tǒng)，或通過(guò)必要的業(yè)務(wù)、合作伙伴和公共關(guān)系渠道溝通。出于這個(gè)原因，組織做出準(zhǔn)備尤為關(guān)鍵。這包括教育網(wǎng)絡(luò)系統(tǒng)的用戶、響應(yīng)團(tuán)隊(duì)和業(yè)務(wù)決策者，讓他們?cè)跐撛诶账魇录l(fā)生之前，了解預(yù)防和處理這些危害的流程和程序。幸運(yùn)的是，企業(yè)可以遵循建議的步驟準(zhǔn)備和減少勒索軟件攻擊得逞的可能性。（于協(xié)助組織開(kāi)展這些工作。它們包括來(lái)自美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）、聯(lián)邦調(diào)查局（FBI）和國(guó)土安全部（DHS）ANIST的其他資源。本報(bào)告表1中的安全能力和措施支持預(yù)防和緩解勒索軟件事件的詳細(xì)方法。認(rèn)識(shí)到采取所有這些措施超出了一般人員的能力范圍，下面的文本僅包含了組織可以采取的基本預(yù)防措施，以防勒索軟件威脅。并非所有這些措施都適用于所有組織的所有情況。本報(bào)告中的指導(dǎo)意見(jiàn)可視為最佳實(shí)踐，但并非法律或監(jiān)管要求?！净镜睦账鞑《咎崾尽考词共徊扇”緢?bào)告中描述的所有措施，組織現(xiàn)在也可以采取一些基本的預(yù)防措施，防止勒索軟件威脅并從中恢復(fù)。這些措施包括：教育員工如何避免勒索軟件的感染。不要打開(kāi)來(lái)源不明的文件和鏈接，除非首先掃描病毒或仔細(xì)檢查鏈接。避免在辦公計(jì)算機(jī)上使用個(gè)人網(wǎng)站和個(gè)人應(yīng)用程序（如電子郵件、聊天和社交媒體）。未經(jīng)事先授權(quán)，不要將個(gè)人擁有的設(shè)備連接到工作網(wǎng)絡(luò)。避免在系統(tǒng)中出現(xiàn)勒索軟件可能利用的漏洞。保持相關(guān)系統(tǒng)完全打好補(bǔ)丁。定期檢查可用的補(bǔ)丁程序，并在可行的情況下盡快安裝這些補(bǔ)丁。在所有網(wǎng)絡(luò)系統(tǒng)中采用零信任原則。管理所有網(wǎng)絡(luò)功能的訪問(wèn)，在可行的情況下對(duì)內(nèi)部網(wǎng)絡(luò)分區(qū)，以防惡意軟件在潛在的目標(biāo)系統(tǒng)中擴(kuò)散。只允許安裝和執(zhí)行授權(quán)的應(yīng)用程序。配置操作系統(tǒng)和/或第三方軟件，使其只運(yùn)行授權(quán)的應(yīng)用程序?？梢越彶闄C(jī)制予以支持，在可信應(yīng)用列表中添加或刪除授權(quán)的應(yīng)用程序。向技術(shù)供應(yīng)商告知期望（如使用合同語(yǔ)言），推動(dòng)供應(yīng)鏈采取措施阻止勒索軟件攻擊?？焖贆z測(cè)并阻止勒索軟件攻擊和感染。無(wú)論什么時(shí)候都使用惡意應(yīng)用檢測(cè)軟件，如防病毒軟件，將其設(shè)置為自動(dòng)掃描電子郵件和移動(dòng)存儲(chǔ)設(shè)備。持續(xù)監(jiān)測(cè)目錄服務(wù)（和其他主要用戶存儲(chǔ)），發(fā)現(xiàn)疑似或主動(dòng)攻擊的跡象。禁止訪問(wèn)不受信任的網(wǎng)絡(luò)資源。使用的產(chǎn)品或服務(wù)屏蔽已知的惡意或疑似惡意的服務(wù)器名稱、IP地址或端口和協(xié)議。包括使用為地址的域名部分提供完整性保護(hù)的產(chǎn)品和服務(wù)（如\hhacker@）。讓勒索軟件更難傳播。盡可能使用具有多因子認(rèn)證的標(biāo)準(zhǔn)用戶賬戶，非管理權(quán)限的賬戶。引入認(rèn)證延期登錄或設(shè)置賬戶自動(dòng)鎖定，預(yù)防密碼猜測(cè)。為組織的所有資產(chǎn)和軟件分配和管理憑證授權(quán)，并定期驗(yàn)證每個(gè)賬戶只擁有必要的訪問(wèn)權(quán)限，遵循最小特權(quán)原則。以固定格式存儲(chǔ)數(shù)據(jù)（這樣，當(dāng)有新數(shù)據(jù)時(shí)，數(shù)據(jù)庫(kù)不會(huì)自動(dòng)覆蓋舊數(shù)據(jù)）。只允許外部人員通過(guò)安全的虛擬專用網(wǎng)絡(luò)（VPN）連接訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。更易于從未來(lái)的勒索軟件事件中恢復(fù)存儲(chǔ)的信息。制定一個(gè)事件恢復(fù)計(jì)劃。制定、實(shí)施并定期演練事件恢復(fù)計(jì)劃，明確決策的角色和策略。該計(jì)劃應(yīng)顯示關(guān)鍵服務(wù)和其它商業(yè)基礎(chǔ)服務(wù)，以便確定業(yè)務(wù)恢復(fù)的優(yōu)先次序。事件恢復(fù)計(jì)劃可以是業(yè)務(wù)連續(xù)性計(jì)劃的一部分。策略，并保護(hù)和隔離重要數(shù)據(jù)的備份。執(zhí)法部門、法律顧問(wèn)和事件響應(yīng)資源。適用對(duì)象本報(bào)告的適用對(duì)象是擁有可能遭受勒索軟件攻擊的網(wǎng)絡(luò)資源的任何組織，無(wú)論所在行業(yè)或規(guī)模如何。任何組織：中小型企業(yè)（SMB）、小型聯(lián)邦機(jī)構(gòu)和其他小型組織，以及工業(yè)控制系統(tǒng)（ICS）或運(yùn)營(yíng)技術(shù)（OT）的運(yùn)營(yíng)商都可以利用本報(bào)告，并鼓勵(lì)他們進(jìn)一步考慮查閱網(wǎng)絡(luò)安全框架，其中許多措施可以在不耗費(fèi)大量資源的情況下進(jìn)行。以下兩類組織均可獲得相應(yīng)參考價(jià)值：熟悉NIST網(wǎng)絡(luò)安全框架，以幫助識(shí)別、評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并希望通過(guò)解決勒索軟件問(wèn)題改善其風(fēng)險(xiǎn)狀況。不熟悉網(wǎng)絡(luò)安全框架，但希望實(shí)施風(fēng)險(xiǎn)管理框架以應(yīng)對(duì)勒索軟件威脅。其他指導(dǎo)性資源除了前述引用的資源外，NIST的國(guó)家網(wǎng)絡(luò)安全卓越中心（NCCoE）還編制了支持、緩解勒索軟件威脅的指南。NIST還有許多其他資源，雖然不是專門針對(duì)勒索軟件的，但包含了關(guān)于識(shí)別、防范、檢測(cè)、響應(yīng)勒索軟件事件并從中恢復(fù)的有價(jià)值信NIST。勒索軟件風(fēng)險(xiǎn)管理本報(bào)告將組織的勒索軟件預(yù)防和緩解要求、目標(biāo)、風(fēng)險(xiǎn)偏好和資源與NIST網(wǎng)絡(luò)安全框架的要素保持一致，幫助組織確定并優(yōu)先考慮提高其安全性和抗擊勒索軟件攻擊的能力。組織可以使用本報(bào)告作為分析自身準(zhǔn)備度的指南。這樣做將有助于組織確定當(dāng)前的概況或狀態(tài)，并設(shè)定一個(gè)目標(biāo)概況以確定差距。表1定義了勒索軟件風(fēng)險(xiǎn)管理。前兩欄列出了網(wǎng)絡(luò)安全框架中的相關(guān)類別和子類別，組織可將其作為勒索軟件風(fēng)險(xiǎn)管理計(jì)劃的目標(biāo)結(jié)果。第三欄簡(jiǎn)要說(shuō)明了每個(gè)子類別如何幫助識(shí)別、防范、檢測(cè)、應(yīng)對(duì)勒索軟件事件并從中恢復(fù)。本簡(jiǎn)介還引用了參考資料。這些是關(guān)鍵基礎(chǔ)設(shè)施部門中常見(jiàn)的標(biāo)準(zhǔn)、指南和實(shí)踐的具體部分，說(shuō)明了實(shí)現(xiàn)每個(gè)子類別相關(guān)結(jié)果的方法。網(wǎng)絡(luò)安全框架中的參考資料是說(shuō)明性的，基于框架開(kāi)發(fā)過(guò)程中最常用的跨部門指南，但并不窮盡。例如，表1的第二欄引用了網(wǎng)絡(luò)安全框架中包括的兩個(gè)信息參考資料中的相關(guān)要求。這兩個(gè)信息參考資料是國(guó)際標(biāo)準(zhǔn)化組織/國(guó)際電工委員會(huì)（ISO/IEC）27001:2013和NISTSP800-53第5版。網(wǎng)絡(luò)安全框架為每個(gè)子類別列出了額外的信息參考資料。這些參考資料將在本指導(dǎo)文件的在線版本中不時(shí)更新?！疚宸N網(wǎng)絡(luò)安全框架功能類別】識(shí)別——形成一種組織理解，管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)和性能的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。識(shí)別功能中的活動(dòng)是有效使用該框架的基礎(chǔ)。了解組織業(yè)務(wù)背景、了解投入關(guān)鍵功能的資源以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，使得組織能夠聚焦和分級(jí)投入，與組織風(fēng)險(xiǎn)策略和業(yè)務(wù)（安全）需求一致。保護(hù)——制定并實(shí)施適當(dāng)?shù)谋Ｕ洗胧?，確保關(guān)鍵服務(wù)的正常運(yùn)行。保護(hù)功能的作用能夠遏制潛在網(wǎng)絡(luò)安全事件影響的蔓延。檢測(cè)——制定并實(shí)施適當(dāng)?shù)臋C(jī)制，識(shí)別網(wǎng)絡(luò)安全事件的發(fā)生。檢測(cè)功能能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。響應(yīng)——針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件，制定并實(shí)施適當(dāng)?shù)膽?yīng)對(duì)活動(dòng)。應(yīng)對(duì)的作用能夠防止?jié)撛诰W(wǎng)絡(luò)安全事件影響的蔓延。恢復(fù)——制定并實(shí)施適當(dāng)?shù)幕顒?dòng)，維護(hù)恢復(fù)計(jì)劃，恢復(fù)因網(wǎng)絡(luò)攻擊期間受損的任何服務(wù)或性能?；謴?fù)功能支持及時(shí)恢復(fù)或重建正常運(yùn)營(yíng)，減少網(wǎng)絡(luò)安全事件的影響。表1：勒索軟件風(fēng)險(xiǎn)管理概況類別子類別和選定的信息性參考應(yīng)用資料《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》對(duì)應(yīng)要求NIST的風(fēng)險(xiǎn)管理框架的功能要素ISONIST的其他標(biāo)準(zhǔn)進(jìn)行補(bǔ)強(qiáng)解釋和詳細(xì)組織任何進(jìn)行相應(yīng)控制增加本列，建立在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域進(jìn)行勒索風(fēng)險(xiǎn)管理的映射，以供國(guó)內(nèi)CII運(yùn)營(yíng)者參考識(shí)別資產(chǎn)管理ID.AM-1：清查組織內(nèi)的物理設(shè)備和系統(tǒng)ISO/IEC27001:2013A.8.1.1,A.8.1.2NISTSP800-53Rev.5CM-8,PM-8.5應(yīng)該清點(diǎn)、審查和維護(hù)物理設(shè)備，確保這些設(shè)備不會(huì)受到勒索軟件的攻擊。在勒索軟件攻擊后的恢復(fù)階段，如果有必要重新安裝應(yīng)用程序，擁有一份硬件清單也是有益的。本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)門。（ID.AM）：根據(jù)數(shù)據(jù)、人員、設(shè)備、系統(tǒng)和設(shè)施對(duì)組織目標(biāo)和組織風(fēng)險(xiǎn)戰(zhàn)略的相對(duì)重要程度，識(shí)別和管理使組織能夠?qū)崿F(xiàn)業(yè)務(wù)目的的數(shù)據(jù)、人員、設(shè)備、系統(tǒng)和設(shè)施。ID.AM-2：清點(diǎn)組織內(nèi)的軟件平臺(tái)和應(yīng)用程序當(dāng)前安裝的設(shè)備、最后ISO/IEC27001:2013A.8.1.1,A.8.1.2的補(bǔ)丁日期和當(dāng)前已知的漏洞等信息。這些信NISTSP800-53Rev.5CM-8,PM-8.5息支持補(bǔ)救可能被勒索軟件攻擊利用的漏洞。ID.AM-3：繪制組織通信和數(shù)據(jù)流圖如果攻擊者在一個(gè)環(huán)境中橫向移動(dòng)，有助于列舉哪些信息或進(jìn)程面臨風(fēng)險(xiǎn)。ISO/IEC27001:2013A.13.2.1,A.13.2.2NISTSP800-53Rev.5AC-4,CA-3,CA-9,PL-8ID.AM-4：對(duì)外部信息系統(tǒng)編目這對(duì)于規(guī)劃與合作伙伴的溝通及為應(yīng)對(duì)勒索軟件事件而暫時(shí)斷開(kāi)與外部系統(tǒng)連接的可能行動(dòng)非常重要。識(shí)別這些也將幫助組織規(guī)劃安全控制措施的實(shí)施，并確定可能與第三方共享控制措施的領(lǐng)域。ISO/IEC27001:2013A.11.2.6NISTSP800-53Rev.5AC-20,SA-9ID.AM-5：資源（例如，硬件、設(shè)備、數(shù)這對(duì)于了解勒索軟件事件的真正范圍和影響至關(guān)重要，而且對(duì)于未來(lái)勒索軟件事件、應(yīng)急響應(yīng)和恢復(fù)行動(dòng)的應(yīng)急計(jì)劃也很重要。有助于運(yùn)營(yíng)和事件響應(yīng)者確定資源的優(yōu)先次序，并支持應(yīng)對(duì)未來(lái)勒索軟件事件、采取應(yīng)急響應(yīng)和恢復(fù)行動(dòng)的應(yīng)急計(jì)劃。如果有相關(guān)的工業(yè)控制系統(tǒng)（ICS），其關(guān)鍵功能也應(yīng)納入應(yīng)急響應(yīng)和恢復(fù)行動(dòng)中。據(jù)、時(shí)間、人員和軟件）根據(jù)其分類、關(guān)鍵性和業(yè)務(wù)價(jià)值進(jìn)行優(yōu)先排序。ISO/IEC27001:2013A.8.2.1NISTSP800-53Rev.5CP-2,RA-2,RA-9,SC-6ID.AM-6工和第三方利益相關(guān)者（作伙伴）重要的是，組織中的每個(gè)人都要了解他們?cè)诜乐估账鬈浖录矫娴淖饔煤拓?zé)任，以及角色和責(zé)任ISO/IEC27001:2013A.6.1.1NISTSP800-53Rev.5CP-2,PM-11,PS-7索軟件事件并從中恢件響應(yīng)計(jì)劃定期演練（如至少每年執(zhí)行事件響應(yīng)桌面模擬）。商業(yè)環(huán)境（ID.BE）：組織的使命、目標(biāo)、利益相關(guān)者和活動(dòng)，并確定其優(yōu)先次序；這一信息用于告知網(wǎng)絡(luò)安全的作用、責(zé)任和風(fēng)險(xiǎn)管理決策。ID.BE-2：組織在關(guān)鍵基礎(chǔ)設(shè)施及其行業(yè)部門的地位得到確認(rèn)和溝通ISO/IEC27001:2013A.4.1NISTSP800-53Rev.5PM-8這使國(guó)家計(jì)算機(jī)安全事件響應(yīng)小組能夠更好地了解目標(biāo)組織在關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中的地位，并允許他們?cè)诔霈F(xiàn)跨部門影響時(shí)及時(shí)作出反應(yīng)。這也鼓勵(lì)該組織及其外部利益相關(guān)者考慮勒索軟件攻擊的下游影響。ID.BE-3：確定并傳達(dá)組織任務(wù)、目標(biāo)和活動(dòng)的優(yōu)先次序NISTSP800-53Rev.5PM-11,SA-14這有助于運(yùn)營(yíng)和事件響應(yīng)者對(duì)資源進(jìn)行優(yōu)先排序。它支持應(yīng)對(duì)未來(lái)勒索軟件事件的應(yīng)急計(jì)劃、應(yīng)急響應(yīng)和恢復(fù)行動(dòng)。ID.BE-4：確定提供鍵職能ISO/IEC27001:2013A.11.2.2,A.11.2.3,A.12.1.3NISTSP800-53Rev.5CP-8,PE-9,PE-11,PM-8,SA-20這有助于確定在支持組織的核心業(yè)務(wù)功能方面至關(guān)重要的二級(jí)和三級(jí)組件。這對(duì)于確定應(yīng)對(duì)未來(lái)事件的應(yīng)急計(jì)劃和對(duì)勒索軟件事件的應(yīng)急響應(yīng)的優(yōu)先次序是必要的。如果有相關(guān)的ICS，其關(guān)鍵功能應(yīng)包括在應(yīng)急響應(yīng)和恢復(fù)行動(dòng)中。治理ID.GV-1：制定并傳達(dá)組織網(wǎng)絡(luò)安全政策ISO/IEC27001:2013A.5.1.1NISTSP800-53Rev.5AC-01,AU-01,CA-01,CM-01,CP-01,IA-01.01，ir-01，pe-01,pl-01，pm-01，RA01、SA-01、SC-01、SI-01建立和溝通預(yù)防或緩解勒索軟件事件所需的政策是至關(guān)重要的，也是所有其他預(yù)防和緩解活動(dòng)的基礎(chǔ)。在實(shí)際情況下，應(yīng)定期審查這些政策，以反映風(fēng)險(xiǎn)的動(dòng)態(tài)性質(zhì)和需要不斷調(diào)整的現(xiàn)實(shí)。（ID.GV）：管理和監(jiān)測(cè)組織的監(jiān)專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)管、法律、風(fēng)設(shè)施安全保護(hù)工作，履行下險(xiǎn)、環(huán)境和運(yùn)營(yíng)列職責(zé)：要求的政策、程序和流程得到理（一）建立健全網(wǎng)絡(luò)安解，并告知（內(nèi)全管理、評(píng)價(jià)考核制度，擬外部相關(guān)者）網(wǎng)訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保絡(luò)安全風(fēng)險(xiǎn)管理護(hù)計(jì)劃……政策和策略。ID.GV-3：了解并管劃的優(yōu)先次序尤為必要。理有關(guān)網(wǎng)絡(luò)安全的法律和監(jiān)管要求，包括對(duì)隱私和公民自由的義務(wù)ISO/IEC27001:2013A.18.1.1,A.18.1.2,A.18.1.3,A.18.1.4,A.18.1.5NISTSP800-53Rev.5CA-07,RA-02ID.GV-4：治理和風(fēng)險(xiǎn)管理流程應(yīng)對(duì)網(wǎng)絡(luò)安必須將勒索軟件的風(fēng)險(xiǎn)納入組織風(fēng)險(xiǎn)管理治理，以建立適當(dāng)?shù)木W(wǎng)絡(luò)安全政策。全風(fēng)險(xiǎn)ISO/IEC27001:2013A6NISTSP800-53Rev.PM-53,PM-7,9,PM-10,PM-11,SA-2ID.RA-1錄資產(chǎn)的脆弱性ISO/IEC27001:2013A.12.6.1,A.18.2.3NISTSP800-53Rev.5CA-2,CA-7,CA-8,RA-3,RA-5,SA-5,SA-11,SI-2,SI-4,SI-5事件的應(yīng)急計(jì)劃的關(guān)擊成功的可能性。專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下列職責(zé)：……風(fēng)險(xiǎn)評(píng)估（ID.RA）：了解網(wǎng)絡(luò)安全對(duì)組織運(yùn)作（包括任務(wù)、功能、形（二）安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估……象或聲譽(yù)）、組運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委織資產(chǎn)和個(gè)人的托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵風(fēng)險(xiǎn)。信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改，并按照保護(hù)工作部門要求報(bào)送情況。ID.RA-2：從信息共享論壇和來(lái)源獲得網(wǎng)絡(luò)從信息共享源接收和使用網(wǎng)絡(luò)威脅情報(bào)，可以減少對(duì)勒索軟件攻擊的暴露，并促進(jìn)對(duì)新威脅的早期檢測(cè)。威脅情報(bào)ISO/IEC27001:2013A.6.1.4NISTSP800-53Rev.5PM-15,PM-16,SI-5ID.RA-4：確定潛在的商業(yè)影響和可能性需要了解潛在勒索軟件事件的業(yè)務(wù)影響，支持網(wǎng)絡(luò)安全的成本效益分析，并確定勒索軟件響應(yīng)和恢復(fù)計(jì)劃中的活動(dòng)重點(diǎn)。了解潛在的業(yè)務(wù)影響也有助于在發(fā)生勒索軟件攻擊時(shí)做出應(yīng)急響應(yīng)決定。ISO/IEC27001:2013A.16.1.6,6.1.2NISTSP800-53Rev.PM-59,PM-11,RA-2,RA-3,SA-20ID.RA-6：確定風(fēng)險(xiǎn)應(yīng)對(duì)措施并排定優(yōu)先次并從中恢復(fù)的相關(guān)費(fèi)性的影響。序ISO/IEC27001:2013A.6.1.3NISTSP800-53Rev.PM-54,PM-39ID.RM-1：組織利益相關(guān)者建立、管理并同意風(fēng)險(xiǎn)管理程序ISO/IEC27001:2013A.6.1.3,8.3,9.3NISTSP800-53Rev.5PM-4,PM-9建立和執(zhí)行組織政策、角色和責(zé)任取決于利益相關(guān)者是否同意并實(shí)施有效的風(fēng)險(xiǎn)管理流程。這些流程應(yīng)考慮到勒索軟件事件的風(fēng)險(xiǎn)。應(yīng)定期審查這些政策，以反映風(fēng)險(xiǎn)的動(dòng)態(tài)性質(zhì)和隨著時(shí)間推移需要調(diào)整的現(xiàn)實(shí)。運(yùn)營(yíng)者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障人力、財(cái)力、物力投入。運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)風(fēng)險(xiǎn)管理戰(zhàn)略（ID.RM）：立組織的優(yōu)先事項(xiàng)、約束條件、風(fēng)險(xiǎn)容忍度和假關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)，領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問(wèn)題。設(shè)，并用于支持運(yùn)營(yíng)風(fēng)險(xiǎn)決策。運(yùn)營(yíng)者應(yīng)當(dāng)保障專門安全管理機(jī)構(gòu)的運(yùn)行經(jīng)費(fèi)、配備相應(yīng)的人員，開(kāi)展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當(dāng)有專門安全管理機(jī)構(gòu)人員參與。供應(yīng)鏈風(fēng)險(xiǎn)ID.SC-5：與供應(yīng)商和第三方供應(yīng)商一起進(jìn)行響應(yīng)和恢復(fù)規(guī)劃和測(cè)試ISO/IEC27001:2013A.17.1.3NISTSP800-53Rev.CP-52,CP-4,IR-3,IR-4,IR-6,IR-8,IR-9勒索軟件應(yīng)急計(jì)劃應(yīng)與供應(yīng)商和第三方供應(yīng)商協(xié)調(diào)，并應(yīng)包括測(cè)試計(jì)劃活動(dòng)。該計(jì)劃應(yīng)包括組織、其供應(yīng)商和第三方供應(yīng)商都受到勒索軟件影響的情況。運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議，明確提供者的技術(shù)支持和安全保密義務(wù)與責(zé)任，并對(duì)義務(wù)與責(zé)任履行情況進(jìn)行監(jiān)督。管理（ID.SC）：組織的優(yōu)先事項(xiàng)、約束條件、風(fēng)險(xiǎn)容忍和假設(shè)已經(jīng)確立，并用于支持與管理供應(yīng)鏈風(fēng)險(xiǎn)相關(guān)的風(fēng)險(xiǎn)決策。該組織已經(jīng)建立并實(shí)施了識(shí)別、評(píng)估和管理供應(yīng)鏈風(fēng)險(xiǎn)的程序。保護(hù)身份管理、PR.AC-1：發(fā)放、管理、驗(yàn)證、撤銷和審計(jì)授權(quán)設(shè)備、用戶和流程的身份和憑證。ISO/IEC27001:2013A.9.2.1,A.9.2.2,A.9.2.3,A.9.2.4,A.9.2.6,A.9.3.1,A.9.4.2,A.9.4.3NISTSP800-53Rev.AC-1,AC-2,IA-1,IA-2,IA-3,IA-4,IA-5,IA-4,IA-5，IA-6,IA-7,IA-8,IA-9,IA-10,IA-11大多數(shù)勒索軟件的攻擊都是通過(guò)網(wǎng)絡(luò)連接進(jìn)行的，勒索軟件的攻擊往往從憑證泄露開(kāi)始（如未經(jīng)授權(quán)分享或捕獲登錄身份和密碼）。適當(dāng)?shù)膽{證管理至關(guān)重要，盡管不是唯一需要的緩解措施。專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下列職責(zé)：……（七）對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理……認(rèn)證和訪問(wèn)控制（PR.AC）。對(duì)物理和邏輯資產(chǎn)及相關(guān)設(shè)施的訪問(wèn)僅限于授權(quán)的用戶、流程和設(shè)備，其管理與（被非授權(quán)訪問(wèn)的）風(fēng)險(xiǎn)評(píng)估結(jié)果保持一致。PR.AC-3：遠(yuǎn)程訪問(wèn)得到管理大多數(shù)勒索軟件攻擊都在遠(yuǎn)程進(jìn)行。管理與遠(yuǎn)程訪問(wèn)相關(guān)的權(quán)限可以幫助保持系統(tǒng)和數(shù)據(jù)文件的完整性，防止惡意代碼的插入和數(shù)據(jù)的滲出。使用多因子認(rèn)證是減少賬戶被破壞可能性的一個(gè)關(guān)鍵而且容易實(shí)現(xiàn)的方法。ISO/IEC27001:2013A.6.2.1,A.6.2.2,A.11.2.6,A.13.1.1,A.13.2.1NISTSP800-53Rev.5AC-1,AC-17,AC-19,AC-20,SC-15PR.AC-4：訪問(wèn)權(quán)限和授權(quán)的管理，包括最個(gè)非常重要的管理步驟。小特權(quán)和職責(zé)分離的原則。ISO/IEC27001:2013A.6.1.2,A.9.1.2,A.9.2.3,A.9.4.1,A.9.4.4,A.9.4.5NISTSP800-53Rev.AC-1,AC-2,3,AC-5,AC-6,AC-14,AC-316、AC-24PR.AC-5：網(wǎng)絡(luò)完整網(wǎng)絡(luò)分割或隔離可以防止惡意軟件在潛在的目標(biāo)系統(tǒng)中擴(kuò)散，從而限制勒索軟件事件的范圍（如從商業(yè)信息技術(shù)網(wǎng)絡(luò)轉(zhuǎn)移到運(yùn)營(yíng)技術(shù)或控制系統(tǒng)）。將IT和OT網(wǎng)絡(luò)分開(kāi)并定期驗(yàn)證其獨(dú)立性至關(guān)重要。這不僅降低了OT系統(tǒng)被破壞的風(fēng)險(xiǎn)，而且還可以在業(yè)務(wù)IT系統(tǒng)從勒索軟件中恢復(fù)時(shí)繼續(xù)進(jìn)行低級(jí)別的關(guān)鍵操作。這對(duì)包括安全儀表系統(tǒng)（SIS）在內(nèi)的關(guān)鍵ICS功能特別重要。性得到保護(hù)（例如網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)分段）。ISO/IEC27001:2013A.13.1.1,A.13.1.3,A.13.2.1,A.14.1.2,A.14.1.3NISTSP800-53Rev.5AC-4,AC-10,SC-7PR.AC-6：身份被證明并與憑證綁定，并在被破壞的憑證是勒索軟件事件中常見(jiàn)的攻擊媒介。身份應(yīng)該被證明，然后與憑證綁定（如正式授權(quán)個(gè)人的雙因素認(rèn)證），以限制憑證被破壞或發(fā)放給未授權(quán)個(gè)人的可能性?；?dòng)中被斷言。ISO/IEC27001:2013A.7.1.1,A.9.2.1NISTSP800-53Rev.AC-1、AC-2、AC-3、AC-16、AC-19、AC-24。IA-1,IA-2,IA-4,IA-5,IA-8,PE-2,PS-3意識(shí)和培訓(xùn)PR.AT-1：所有用戶都應(yīng)告知并接受培訓(xùn)ISO/IEC27001:2013A.7.2.2,A.12.2.1NISTSP800-53Rev.5AT-2,PM-13大多數(shù)勒索軟件的攻擊是由從事不安全行為的用戶、實(shí)施不安全配置的管理員、或安全培訓(xùn)不足的開(kāi)發(fā)人員造成的。列職責(zé)：……（四）勵(lì)和懲處建議；（五）育、培訓(xùn)；……（PR.AT）：向組織的人員和合作伙伴提供網(wǎng)絡(luò)安全意識(shí)教育，并對(duì)其進(jìn)行培訓(xùn)，以便根據(jù)相關(guān)政策、程序和協(xié)議履行與網(wǎng)絡(luò)安全有關(guān)的職責(zé)和責(zé)任。數(shù)據(jù)安全PR.DS-4：保持足夠的容量以確?？捎眯訧SO/IEC27001:2013A.12.1.3,A.17.2.1NISTSP800-53Rev.AU-54,CP-2,SC-5恢復(fù)時(shí)間和系統(tǒng)冗余度。列職責(zé)：……（六）人信息和數(shù)據(jù)安全保護(hù)責(zé)據(jù)安全保護(hù)制度……（PR.DS）：信息和記錄（數(shù)據(jù)）的管理符合組織的風(fēng)險(xiǎn)戰(zhàn)略，以保護(hù)信息的保密性、完整性和可用性。PR.DS-5：防止數(shù)據(jù)泄漏的保護(hù)措施得到實(shí)雙重勒索：既要求付款以恢復(fù)數(shù)據(jù)訪問(wèn)，又要求不在其他地方出售或公布數(shù)據(jù)是很常見(jiàn)的，所以數(shù)據(jù)泄漏預(yù)防解決方案很重要。施ISO/IEC27001:2013A.12.1.3,A.17.2.1NISTSP800-53Rev.AU-54,CP-2,SC-5PR.DS-6：使用完整完整性檢查機(jī)制可以檢測(cè)到被篡改的軟件更新，這些軟件可以被用于插入啟用勒索軟件事件的惡意軟件。性檢查機(jī)制驗(yàn)證軟件、固件和信息的完整性ISO/IEC27001:2013A.12.2.1,A.12.5.1,A.14.1.2,A.14.1.3,A.14.2.4NISTSP800-53Rev.5SC-16,SI-7PR.DS-7：開(kāi)發(fā)和測(cè)試環(huán)境與生產(chǎn)環(huán)境是分將開(kāi)發(fā)和測(cè)試環(huán)境與生產(chǎn)環(huán)境分離，可以防止勒索軟件從開(kāi)發(fā)和測(cè)試系統(tǒng)發(fā)布到生產(chǎn)系統(tǒng)。離的。ISO/IEC27001:2013A.12.1.4NISTSP800-53Rev.5CM-2PR.IP-1：創(chuàng)建和維護(hù)信息技術(shù)/工業(yè)控制系統(tǒng)的基線配置，并納入安全原則（如最小功能概念）。ISO/IEC27001:2013A.12.1.2,A.12.5.1,A.12.6.2,A.14.2.2,A.14.2.3,A.14.2.4NISTSP800-53Rev.5CM-2,CM-3,CM-4,CM-5,CM-6,CM-7,CM-9,SA-10基線對(duì)于建立一套系統(tǒng)需要執(zhí)行的功能很有用，這樣就可以對(duì)任何偏離該基線的行為評(píng)估，確定潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)。未經(jīng)授權(quán)的配置變更可以作為惡意攻擊的一個(gè)指標(biāo)，可能會(huì)導(dǎo)致引入勒索軟件。運(yùn)營(yíng)者應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)，并對(duì)專門安全信息保護(hù)過(guò)管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位程和程序人員進(jìn)行安全背景審查。（PR.IP）：政策（涉及目的、范圍、角色、責(zé)任、管理承諾和組織實(shí)體專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下列職責(zé)：間的協(xié)調(diào)）、流（一）建立健全網(wǎng)絡(luò)安程和程序維護(hù)并全管理、評(píng)價(jià)考核制度，擬用于管理信息系訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保統(tǒng)和資產(chǎn)的保護(hù)計(jì)劃；……（七）對(duì)關(guān)鍵護(hù)。信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理；PR.IP-3：配置變更適當(dāng)?shù)呐渲米兏鞒炭梢詭椭鷪?zhí)行軟件的及時(shí)安全更新，維護(hù)必要的安全配置設(shè)置，并阻止用含有惡意軟件或不滿足訪問(wèn)管理策略的產(chǎn)品替換代碼。控制流程已經(jīng)就緒ISO/IEC27001:2013A.12.1.2,A.12.5.1,A.12.6.2,A.14.2.2,A.14.2.3,A.14.2.4NISTSP800-53Rev.5CM-3,CM-4,SA-10PR.IP-4：備份、維護(hù)和測(cè)試信息定期維護(hù)和測(cè)試的備份對(duì)于及時(shí)和相對(duì)無(wú)痛地從勒索軟件事件中恢復(fù)至關(guān)重要。備份應(yīng)該是安全的，確保不會(huì)被勒索軟件破壞或被攻擊者刪除。備份應(yīng)離線存儲(chǔ)。ISO/IEC27001:2013A.12.3.1,A.17.1.2,A.17.1.3,A.18.1.3NISTSP800-53Rev.CP-54,CP-6,CP-9（事件響應(yīng)和業(yè)務(wù)連續(xù)響應(yīng)和恢復(fù)計(jì)劃應(yīng)性）和恢復(fù)計(jì)劃（事件包括勒索軟件事件。響恢復(fù)和災(zāi)難恢復(fù)）已經(jīng)應(yīng)計(jì)劃的副本應(yīng)保持離就緒并得到管理線狀態(tài)，以防事件發(fā)生時(shí)取消了對(duì)目標(biāo)網(wǎng)絡(luò)內(nèi)ISO/IEC27001:2013A.16.1.1,A.17.1.1,A.17.1.2,A.17.1.3地對(duì)勒索軟件事件進(jìn)行NISTSP800-53Rev.5CP-2,CP-7,CP-12,CP-13,IR-7,IR-8,IR-9,PE-17優(yōu)先排序，目的是立即遏制勒索軟件的傳播。PR.IP-10：測(cè)試響應(yīng)和恢復(fù)計(jì)劃應(yīng)定期測(cè)試?yán)账鬈浖捻憫?yīng)和恢復(fù)計(jì)劃，確保風(fēng)險(xiǎn)和響應(yīng)假設(shè)及流程在不斷變化的勒索軟件威脅方面是最新的。響應(yīng)和恢復(fù)計(jì)劃的測(cè)試應(yīng)包括任何相關(guān)的ICS護(hù)，以適應(yīng)不斷變化的組織需求和結(jié)構(gòu)，以及新的勒索軟件類型和策略。測(cè)試培訓(xùn)了需要執(zhí)行該計(jì)劃的人員。ISO/IEC27001:2013A.17.1.3NISTSP800-53Rev.5CP-4,IR-3,PM-14·PR.MA-2：組織資產(chǎn)的遠(yuǎn)程維護(hù)得到批OTIT網(wǎng)絡(luò)提供后門訪問(wèn)。專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下列職責(zé)：……（七）對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理；維護(hù)準(zhǔn)、記錄，并防止未經(jīng)（PR.MA）：根據(jù)政策和程序，維護(hù)和修理工業(yè)控制和信息系統(tǒng)組件。授權(quán)訪問(wèn)。ISO/IEC27001:2013A.11.2.4,A.15.1.1,A.15.2.1NISTSP800-53Rev.5MA-4保護(hù)性技術(shù)PR.PT-1確定、記錄、實(shí)施和審查審計(jì)/日志記錄ISO/IEC27001:2013A.12.4.1,A.12.4.2,A.12.4.3,A.12.4.4,A.12.7.1NISTSP800-53Rev.AU-1,AU-AU-2,3,AU-4,AU-5,AU-6,AU-7。A-8、A-9、A-10、A-12、A-13、A-14、A-16審計(jì)/日志記錄的可用性可以幫助檢測(cè)意外行為，支持取證響應(yīng)和恢復(fù)過(guò)程。運(yùn)營(yíng)者依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定以及國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，采取技術(shù)保護(hù)措施和其他必要措施，應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和違法犯罪活動(dòng)，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，維護(hù)數(shù)據(jù)的完整性、保密性和可用性。（PR.PT）：管理技術(shù)安全解決方案，確保系統(tǒng)和資產(chǎn)的安全和復(fù)原力，與相關(guān)政策、程序和協(xié)議保持一致。PR.PT-3：通過(guò)配置系統(tǒng)，只提供必要的功保持最小功能原則可能會(huì)阻止?jié)撛谀繕?biāo)系統(tǒng)之間的移動(dòng)（如從管理網(wǎng)絡(luò)移動(dòng)到操作過(guò)程控制系統(tǒng)）。能，體現(xiàn)最小功能原則ISO/IEC27001:2013A.9.1.2NISTSP800-53Rev.5AC-3,CM-37檢測(cè)多個(gè)來(lái)源和傳感器協(xié)同安全信息和事件管理（SIEM）高了網(wǎng)絡(luò)的可見(jiàn)性，有助于在早期發(fā)現(xiàn)勒索軟件，并有助于了解勒索軟件如何通過(guò)網(wǎng)絡(luò)傳播。專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下異?；顒?dòng)和事件DE.AE-3：從多個(gè)來(lái)源和傳感器收集事件數(shù)據(jù)并關(guān)聯(lián)ISO/IEC27001:2013A.12.4.1,A.16.1.7列職責(zé)：……（二）安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估；……影響。NISTSP800-53Rev.AU-56,CA-7,IR-4,IR-5,IR-8,SI-4鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測(cè)，指導(dǎo)監(jiān)督運(yùn)營(yíng)者及時(shí)整改安全隱患、完善安全措施。DE.AE-4：事件的影響得到確定確定事件的影響可以為確定勒索軟件攻擊的響應(yīng)和恢復(fù)優(yōu)先級(jí)提供信息。ISO/IEC27001:2013A.16.1.4NISTSP800-53Rev.5CP-2,IR-4,RA-3,SI-4安全持續(xù)監(jiān)DE.CM-1：監(jiān)測(cè)網(wǎng)絡(luò)以檢測(cè)潛在的網(wǎng)絡(luò)安全事件NISTSP800-53Rev.5AC-2,AU-CA-12,7,CM-3,SC-5,SC-7,SI-4網(wǎng)絡(luò)監(jiān)測(cè)可能會(huì)在惡意代碼被插入或大量信息被加密和泄露之前檢測(cè)到入侵。測(cè)（DE.CM）：監(jiān)測(cè)信息系統(tǒng)和資產(chǎn)，識(shí)別網(wǎng)絡(luò)安全事件并驗(yàn)證保護(hù)措施的有效性。DE.CM-3：監(jiān)測(cè)人員活動(dòng)，發(fā)現(xiàn)潛在的網(wǎng)監(jiān)測(cè)人員活動(dòng)可能會(huì)發(fā)現(xiàn)內(nèi)部威脅或不安全的工作人員行為或泄露的憑證，并阻止?jié)撛诘睦账魇录＝j(luò)安全事件ISO/IEC27001:2013A.12.4.1,A.12.4.3NISTSP800-53Rev.5AC-2,AU-AU-12,13,CA-7,CM-10,CM-11DE.CM-4：檢測(cè)到惡意代碼檢測(cè)可能表明，勒索軟件事件正在發(fā)生或即將發(fā)生。惡意代碼通常不會(huì)立即執(zhí)行，因此在勒索軟件攻擊執(zhí)行之前的插入惡意代碼和激活惡意代碼階段之間可能有時(shí)間檢測(cè)到惡意代碼。ISO/IEC27001:2013A.12.2.1NISTSP800-53Rev.5SI-3,SI-8DE.CM-7：監(jiān)測(cè)未經(jīng)授權(quán)的人員、連接、設(shè)備和軟件未經(jīng)授權(quán)的人、連ISO/IEC27001:2013A.12.4.1,A.14.2.7,A.15.2.1接、設(shè)備和軟件是發(fā)動(dòng)NISTSP800-53AU-12,CA-7,CM-3,CM-8,PE-3,PE-6,PE-20,SI-4件攻擊執(zhí)行之前發(fā)現(xiàn)。DE.CM-8：進(jìn)行漏洞掃描勒索軟件攻擊期間可能會(huì)利用漏洞。定期掃描可以讓組織在執(zhí)行勒索軟件之前檢測(cè)并緩解大多數(shù)漏洞。ISO/IEC27001:2013A.12.6.1NISTSP800-53Rev.5RA-5檢測(cè)程序（DE.DP）：和測(cè)試檢測(cè)過(guò)程和程序，確保了DE.DP-1：明確檢測(cè)的角色和職責(zé)有助于明確責(zé)任。ISO/IEC27001:2013A.6.1.1,A.7.2.2勵(lì)遵守組織政策和程攻擊。解異常事件。NISTSP800-53Rev.5CA-2,CA-7,PM-14DE.DP-2：檢測(cè)活動(dòng)符合所有適用的要求探測(cè)活動(dòng)應(yīng)按照組織政策和程序進(jìn)行。ISO/IEC27001:2013A.18.1.4,A.18.2.2,A.18.2.3NISTSP800-53Rev.5AC-25,CA-2,CA-7,PM-14,SI-4,SR-9DE.DP-3：檢測(cè)過(guò)程經(jīng)過(guò)測(cè)試測(cè)試為基于勒索軟件的攻擊提供了正確檢測(cè)過(guò)程的保證，但并不是說(shuō)所有的入侵嘗試都需要執(zhí)行計(jì)劃的人員的培訓(xùn)。ISO/IEC27001:2013A.14.2.8NISTSP800-53Rev.5CA-2,CA-7,PE-3,PM-14,SI-3,SI-4DE.DP-4：溝通事件檢測(cè)信息為了能夠在勒索軟件攻擊完全實(shí)現(xiàn)之前采取補(bǔ)救措施，必須及時(shí)溝通異常事件。ISO/IEC27001:2013A.16.1.2,A.16.1.3NISTSP800-53Rev.AU-56,CA-2,CA-7,RA-5,SI-4DE.DP-5：檢測(cè)過(guò)程不斷改進(jìn)勒索軟件攻擊中使用的策略在不斷完善，因此檢測(cè)過(guò)程必須不斷發(fā)展以跟上新的威脅。ISO/IEC27001:2013A.16.1.6NISTSP800-53Rev.5CA-2,CA-7,PL-2,PM-14,RA-5,SI-4響應(yīng)RS.RP-1：在事中或事后執(zhí)行響應(yīng)計(jì)劃ISO/IEC27001:2013A.16.1.5NISTSP800-53Rev.CP-52,CP-10,IR-4,IR-8聲譽(yù)或法律方面的損害。專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)響應(yīng)規(guī)劃設(shè)施安全保護(hù)工作，履行下（RS.RP）：執(zhí)行和維護(hù)響應(yīng)過(guò)程列職責(zé)：……和程序，確保對(duì)（三）按照國(guó)家及行業(yè)發(fā)現(xiàn)的網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制事件作出響應(yīng)。定本單位應(yīng)急預(yù)案，定期開(kāi)展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件；……溝通RS.CO-1：需要響應(yīng)時(shí)，人員應(yīng)知道角色和行動(dòng)順序ISO/IEC27001:2013A.6.1.1,A.7.2.2,A.16.1.1NISTSP800-53Rev.CP-52,CP-3,IR-3,IR-8對(duì)勒索軟件事件的響應(yīng)包括技術(shù)和業(yè)務(wù)響應(yīng)。有效和高效的響應(yīng)需要所有各方了解其角色和責(zé)任。通信響應(yīng)角色應(yīng)正式記錄在事件響應(yīng)和恢復(fù)計(jì)劃中，并應(yīng)通過(guò)演練計(jì)劃加強(qiáng)。（RS.CO）：與內(nèi)部和外部的利益關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)相關(guān)者協(xié)調(diào)響應(yīng)重大網(wǎng)絡(luò)安全威脅時(shí)，運(yùn)營(yíng)活動(dòng)（如來(lái)自執(zhí)者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)法機(jī)構(gòu)的支工作部門、公安機(jī)關(guān)報(bào)告。持）。RS.CO-2：事件的報(bào)告符合既定標(biāo)準(zhǔn)對(duì)勒索軟件事件的響應(yīng)包括技術(shù)和業(yè)務(wù)響應(yīng)。有效和高效的響應(yīng)需要預(yù)先建立的報(bào)告標(biāo)準(zhǔn)，并在事件發(fā)生期間遵守這些標(biāo)準(zhǔn)。ISO/IEC27001:2013A.6.1.3,A.16.1.2NISTSP800-53Rev.AU5-6,IR-6,IR-8RS.CO-3：根據(jù)響應(yīng)計(jì)劃共享信息信息共享的重點(diǎn)包括阻止感染擴(kuò)散到其他系統(tǒng)和網(wǎng)絡(luò)，以及高效的信息傳遞。ISO/IEC27001:2013A.16.1.2,A.7.4,A.16.1.2NISTSP800-53Rev.5CA-2,CA-CP7,-2,IR-4,IR-8,PE-6,RA-5,SI-54RS.CO-4：根據(jù)應(yīng)對(duì)計(jì)劃與利益相關(guān)者協(xié)調(diào)與關(guān)鍵的內(nèi)外部利益相關(guān)者的協(xié)調(diào)對(duì)于阻止錯(cuò)誤信息的傳播和建立高效的信息傳遞等優(yōu)先事項(xiàng)非常重要。ISO/IEC27001:2013A.7.4NISTSP800-53Rev.5CP-2,IR-4,IR-8RS.CO-5：與外部利益相關(guān)者自愿分享信求的報(bào)告和共享的補(bǔ)充。息，以實(shí)現(xiàn)更廣泛的網(wǎng)絡(luò)安全態(tài)勢(shì)感知。ISO/IEC27001:2013A.6.1.4NISTSP800-53Rev.5PM-15,SI-5RS.AN-1：調(diào)查來(lái)自檢測(cè)系統(tǒng)的通知應(yīng)及時(shí)和全面調(diào)查來(lái)自檢測(cè)系統(tǒng)的通知，因?yàn)檫@些通知往往表明勒索軟件攻擊處于早期階段，可以預(yù)先阻止或減輕影響。分析（RS.AN）：進(jìn)行分析以確保有效的反應(yīng)并支持恢ISO/IEC27001:2013A.12.4.1,A.12.4.3,A.16.1.5復(fù)活動(dòng)。NISTSP800-53Rev.AU-56,CA-7,IR-4,IR-5,PE-6,SI-4了解影響將決定恢復(fù)計(jì)劃的實(shí)施。RS.AN-2：了解事件的影響企業(yè)應(yīng)設(shè)法了解勒索軟件攻擊的技術(shù)影響（如哪些系統(tǒng)不可ISO/IEC27001:2013A.16.1.4,A.16.1.6用），然后了解由此對(duì)業(yè)務(wù)產(chǎn)生的影響（如哪些業(yè)務(wù)流程無(wú)法交NISTSP800-53Rev.5CP-2,IR-4付）。這將有助于確保響應(yīng)和恢復(fù)工作有適當(dāng)?shù)膬?yōu)先次序和資源，同時(shí)可以實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃。取證有助于確定遏制和消除攻擊的根本原RS.AN-3：取證因，包括重設(shè)被攻擊者盜取的憑證密碼、刪除ISO/IEC27001:2013A.16.1.7攻擊者使用的惡意軟件、刪除攻擊者使用的NISTSP800-53Rev.5AU-7,IR-4持久性機(jī)制等。取證也可以為恢復(fù)過(guò)程提供信息，并協(xié)助報(bào)告和分享行動(dòng)。RS.AN-5：建立程序，接收、分析和應(yīng)對(duì)從內(nèi)外部來(lái)源（如內(nèi)部測(cè)試、安全公告或安全研究人員）織披露的漏洞。NISTSP800-53Rev.5PM-15,SI-5分析過(guò)程可以防止未來(lái)的成功攻擊和勒索軟件擴(kuò)散到其他系統(tǒng)和網(wǎng)絡(luò)。它還可以幫助恢復(fù)利益相關(guān)者的信心。RS.MI-1：事件得到控制ISO/IEC27001:2013A.12.2.1,A.16.1.5NISTSP800-53Rev.IR-54必須立即采取行ICS。關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或