iT邦幫忙

2022 iThome 鐵人賽

DAY 16
2

企業最害怕的勒索事件,駭客最喜歡的勒索事件

勒索軟體是一種惡意攻擊,駭客透過勒索軟體加密組織的數據,並要求付款以解除被加密的資料。駭客還可能同時竊取組織的資料並要求支付額外費用(多重勒索),以換取不能告知檢調單位或其他人員,確保駭客的安全。 來源:NISTIR 8374 | Ransomware Risk Management: A Cybersecurity Framework Profile

以下會介紹 NISTIR 8374的內容,如何事前準備好面對勒索事件,以降低衝擊。
此NISTIR 8374 確定了 NIST CSF V1.1 的安全目標,藉以支援NIST CSF 框架中5大核心功能的識別、保護、偵測、應變和從勒索事件中復原。NISTIR 8374配置文件可用作管理勒索事件的風險指南,包括幫助衡量組織應對勒索軟體威脅和處理事件的潛在後果之準備程度。

勒索軟體造成的管理困境:付贖金? 不付贖金?
勒索軟體進入組織資訊系統的方法在廣泛的網路攻擊中很常見,它們的目的是強制支付贖金。
隨著駭客不斷尋找新方法來增加攻擊的成功率,勒索軟體的技術將持續進化。

幸運的是,組織可以按照推薦的步驟為勒索軟體攻擊做好準備並減少成功攻擊的可能性:

  • 透過 識別和保護 關鍵資料、系統和設備;
  • 及早建置檢測勒索軟體事件的能力( 最好在中勒索軟體前 );
  • 準備應變和復原的任何勒索軟體事件的計畫與資源。

有許多資源可用於協助組織進行,包括來自美國國家標準與技術研究院(NIST)、聯邦調查局 (FBI) 和國土安全部 (DHS) 的資訊,以供參考。


如何用(HOW TO) NISTIR 8374
該文件是免費的,可以透過 NIST下載( NISTIR 8374 | Ransomware Risk Management: A Cybersecurity Framework Profile)。

主要使用的方法為參照:文件中的Table,以下介紹文件中其中之一的Table 1: Ransomware Risk Management Profile。

  • 編號1:Table 表單名稱
  • 編號2:分類 (依據NIST CSF 5大功能分類)
  • 編號3:子類別及參考的安控措施。 (有提供很多可以參考的安控措施,包含ISO 27001,NIST sp800-53)
  • 編號4:勒索軟體應對建議
  • 編號5:Identify 識別 (NIST CSF 5大功能之一)
  • 編號6:ISO27001:2013 對應附錄A
  • 編號7:NIST sp800-53 對應控制措施
  • 編號8:對應的具體建議

https://ithelp.ithome.com.tw/upload/images/20220916/20102269GSVQxFPTF8.png


如果覺得 NISTIR 8734很複雜,也可以直接先使用 快速指南"quick start guide",Getting Started with Cybersecurity Risk Management: Ransomware

另外針對不熟悉的人員,不想使用該文件的組織,也提供以下指引,以緩解勒索軟體的威脅。
預防機制:

  • 始終使用防毒軟體。將您的軟體設置為自動掃描電子郵件和快閃記憶體驅動器。
  • 保持電腦完整及最新的更新。執行定期檢查以識別可用更新,並盡快安裝這些更新。
  • 網段區隔。對內部網路進行分段以防止惡意軟體在潛在目標系統之間擴散。
  • 持續監控目錄服務(AD、LDAP等)。對特殊權限帳號使用者存取監控,以獲取危害或主動攻擊的指標。
  • 阻止存取潛在的惡意網路資源。使用可以阻止存取功能的設備或功能,以阻止組織內部存取惡意網站、服務、IP和port。
  • 只允許授權的應用程式(白名單)。將作業系統 及 協力廠商軟體配置為 只能運行授權的程式,並建立審核流程,才能放行。
  • 在工作網路上限制個人擁有的設備。
  • 避免在工作電腦上使用個人應用程式(例如電子郵件、聊天和社交媒體)。
  • 對員工進行社交工程教育。例如教育訓練員工運行防病毒掃描或仔細查看信件中的超連結,否則不要打開文件或點擊可疑或未知的超連結。
  • 為所有企業資產和軟體分配和管理授權憑證,並定期(每周、每月、每季或每半年)驗證每個帳戶是否只有適當的存取權限。

面對事前勒索軟體事件的復原準備步驟如下:

  • 制定事件復原計畫。制定和實施具有明確角色和決策策略的事件復原計劃(筆者註:R&R很重要,權責不清,事發當下無法運作)。可以是業務持續計畫的一部分。該計畫應確定"關鍵業務"以決定復原的優先順序。
  • 備份資料。確保安全備份(筆者註:不能僅有同步備份,萬一中勒索,剛好一起同步連勒索一起備份一起加密)和測試復原的可行性及有效性。仔細規劃、實施和測試資料備份和復原策略,並保護和隔離重要資料的備份。
  • 保持聯繫。維護及即時更新,組織遭勒索軟體攻擊時的緊急內外部連絡人列表,包括執法部門(調查局、偵九隊)。

後記:
千言萬語講不清,一張好圖就搞定「一圖在手,希望你有,盡在不言中」


上一篇
Day15 演練,讓人優雅面對事件
下一篇
Day17 社交工程事件, 從NIST CSF 到 OWASP CDM框架
系列文
可以狼狽,也可以優雅:從資安治理到資安應變的修養之道30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言