获得即时访问
这个蓝图

安全图标

创建一个勒索软件事件响应计划

不要成为下一个头条. 确定您当前的准备情况、应对计划和项目,以弥补差距.

  • 勒索软件是一种引人注目的威胁,需要立即予以关注. 受到勒索软件攻击的大大小小的组织每周都会成为新闻.
  • 高管们希望得到保证,但又不准备开空头支票. 改进必须具有针对性和合理性.
  • 没有人是刀枪不入的, 因此,从勒索软件攻击中恢复(而不仅仅是防止)的能力至关重要. 然而,通常缺乏备份和灾难恢复能力.

我们的建议

关键的见解

  • 勒索软件是高管们最关心的问题. 然而, 大多数勒索软件受害者都知道自己很容易受到攻击, 但直到为时已晚,差距才缩小.
  • Ransomware is constantly evolving; your existing security 和 灾难恢复 (DR) practices may not be enough.
  • 攻击往往是复杂的, 多阶段突袭,旨在在关键数据已经泄露之前不会触发警报.

影响和结果

  • 对当前的安全性和DR实践执行系统评估,以确定差距和快速取胜.
  • 量化勒索软件风险,优先投资和驱动安全意识.
  • 对勒索软件攻击进行桌面计划演练,以构建更有效的事件响应计划,并进一步确定项目以缩小差距.

创建一个勒索软件事件响应计划研究 & 工具

1. 勒索软件事件响应研究-一个系统的方法来评估和改进您的组织当前的勒索软件准备情况.

勒索软件引起了每个领导团队的注意. 挑战在于将这种关注转化为具体的行动,以提高您的勒索软件准备工作. This research includes assessing the organization's maturity to determine your ransomware readiness 和 identify specific areas that need improvement; undertaking a 业务影响分析 to quantify the impact of a ransomware attack 和 set appropriate recovery targets; performing tabletop planning to drive a practical 事件响应 plan that captures how your organization would need to respond to a ransomware attack; 和 creating a project roadmap to address gaps 和 meet business resiliency requirements.

2. 勒索软件成熟度评估工具-一个结构化的评估工具,让您的组织为潜在的勒索软件攻击做好准备.

确定需要改进的特定领域,并定义用于度量和报告进展的基线度量标准. 使用此评估工具评估事故响应的每个阶段(包括事故后)的预防措施,以及您组织的灾难恢复计划(组成)和业务连续性计划(BCP)的状态, 在发生勒索软件攻击时,这两者都可能是必需的.

3. 勒索软件业务影响分析工具-业务影响分析(BIA)的范例文档,可用于量化勒索软件攻击的潜在影响.

至关重要的是要沟通风险,并对需要最大保护的组织的系统和数据进行优先排序. 这一简化的, 实用的评估可以加快IT和业务领导人就风险和恢复目标达成一致. 这反过来又将指导安全和灾难恢复战略和投资.

4. 勒索软件响应工作流模板-一个可编辑的例子,在一个示例勒索软件事件响应中,一个可视化的简要概述和涉众.

工作流的目标是团队领导者,他们需要在事件响应的每个阶段协调行动, 从检测到恢复.

5. 勒索软件项目路线图工具-一个典型的项目路线图工具,用于识别特定的任务和项目,帮助您的组织解决差距,提高其预防和响应勒索软件攻击的能力.

这个已完成的路线图工具在执行仪表板中为您提供了项目时间表. 利用该工具来推动必要的讨论,以改善组织的勒索软件准备情况.

6. 勒索软件准备情况摘要演示模板-一个您可以为您的组织编辑和定制的演示示例.

总结您目前的准备情况,并提出一个优先级的项目路线图,以提高勒索软件的预防和恢复能力.


会员推荐

在每一次信息技术体验之后, 我们要求我们的成员量化实时储蓄, 货币的影响, 和 我们的研究帮助他们实现了项目改进. 请参阅我们的顶级成员的经验为这个蓝图和 我们的客户想说什么.

9.6/10


总体影响

$112,329


平均美元救了

16


平均一天救了

客户端

经验

影响

美元了

天救了

政府的努

指导实施

10/10

$1M

50

北安大略医学院

指导实施

10/10

$2,000

5

Eswatini铁路

指导实施

9/10

$9,919

20

导盲犬公司.

车间

10/10

$19,839

10

俄亥俄州公共事业委员会

指导实施

9/10

$34,099

10

牙买加民航局

指导实施

10/10

$30,999

20

奥尔德里奇电

车间

10/10

$61,999

20

武装部队福利协会

车间

10/10

$40,299

32

统一医疗保健

指导实施

10/10

$61,999

10

加州牙科协会

指导实施

10/10

$12,399

5

去度假 & 赌场

指导实施

8/10

$12,399

2

统一医疗保健

指导实施

10/10

$61,999

20

奥利里亚市的公司

指导实施

9/10

N/A

5

Cascades,技术中心

指导实施

10/10

N/A

N/A

统一医疗保健

指导实施

10/10

$58,899

20

亲爱的成分

指导实施

8/10

N/A

N/A

首都地区区

车间

10/10

$13,000

10

Technologent

指导实施

10/10

$11,156

4

包装机械制造商协会

指导实施

10/10

$7,238

10

货币监理署

指导实施

10/10

$11,305

20


现场研讨会:创建勒索软件事件响应计划

现场研讨会提供了一种简单的方法来加速您的项目. 如果你不能自己做这个项目, 一个引导实现是不够的, 我们提供低成本的现场交付我们的项目车间. 我们将带您完成项目的每个阶段,并确保您有一个路线图,以成功地完成项目.

模块1:评估您的勒索软件准备情况

目的

度量您的组织当前的准备情况,首先确定要关注的关键系统.

关键好处

  • 确定一个基线成熟度度量来度量随着时间的推移所取得的进展.
  • 确定现有安全流程和技术中的漏洞.

活动

输出

1.1

进行成熟度评估.

  • 成熟度评估,包括基线度量和要解决的差距
1.2

检查选定的系统和依赖关系.

  • 定义良好的范围,以便更深入地评估准备和响应情况

模块2:进行业务改进分析

目的

开展风险评估以提高风险意识并设定恢复目标. 量化勒索软件攻击的业务影响,以传达风险,并优先考虑需要最大保护的系统和数据.

关键好处

  • 在业务部门和IT部门之间就系统关键性、风险和恢复目标达成一致.

活动

输出

2.1

记录系统和依赖关系.

  • 影响分析的上下文
2.2

完成所选系统和数据集的影响分析.

  • 估计因勒索软件攻击而停机和数据丢失的影响
  • 基于业务影响的系统优先级和可接受的RTOs/RPOs分配

模块3:创建勒索软件响应工作流和运行本

目的

  • 使用桌面计划来驱动一个更准确和更有效的事件响应计划.

关键好处

开发以下:

  • 事件响应工作流,为团队领导提供一目了然的视图
  • 一个运行手册,概述了执行勒索软件响应的具体操作

活动

输出

3.1

记录你的威胁升级协议.

  • 确定了利益相关者和严重程度驱动的升级指南
3.2

使用桌面计划来确定应对步骤和差距.

  • 提供练习记录的桌面计划结果流程图, 当前状态响应工作流, 还有需要解决的问题
3.3

更新您的勒索软件响应工作流程和运行簿.

  • 更准确和全面的事件响应文档

模块4:构建项目路线图以缩小差距

目的

创建一个总结您组织当前的勒索软件准备情况的执行演示文稿和一个优先级的项目路线图,以提高您的预防和恢复能力.

关键好处

  • 向高层领导沟通当前的风险、差距和建议.

活动

输出

4.1

确定改善勒索软件准备情况的措施.

  • 差距和倡议的汇总列表
4.2

将计划按优先次序排列,以缩小项目路线图中的差距.

  • Ransomware项目路线图

创建一个勒索软件事件响应计划

不要成为下一个头条. 确定您当前的准备情况、应对计划和项目,以弥补差距.

执行官短暂

分析的角度

勒索软件可以说是当今对您的组织的最大威胁.

弗兰克它起码的照片

勒索软件引起了每个管理团队的注意. 挑战在于将这种关注转化为具体的行动,以提高您的勒索软件准备工作.

例如, 作为一种预防措施, 每个安全从业者都希望限制本地管理权限和远程桌面功能. 但企业往往会抵制这样的政策,因为内部摩擦似乎比潜在的安全威胁更明显.

在事件响应方面, 您的组织可能已经为传统的安全事件或灾难做好了准备, 但不是一个勒索软件攻击,主动寻求感染备份,以给攻击者更大的影响力.

IT领导者需要一个系统的方法来量化勒索软件的风险,以推动业务的参与. 领导人需要评估其现有的事件应对计划,以确定需要解决的具体差距,并向领导人提出优先项目路线图,以提高预防和恢复能力.

弗兰克它起码

研究主任,基础设施和运营

信息技术研究小组

执行概要

你的挑战

勒索软件是一种引人注目的威胁,需要立即关注:

  • 受到勒索软件攻击的大大小小的组织每周都会成为新闻. 每个人都是目标.
  • 高管们希望得到保证,但不准备开空头支票. 改进必须具有针对性和合理性.
  • 没有人是刀枪不入的, 因此,恢复(而不仅仅是防止)勒索软件攻击的能力至关重要, 然而,备份和容灾能力往往缺乏.

常见的障碍

勒索软件的影响和恢复比其他安全漏洞更复杂:

  • 勒索软件攻击者使用多个攻击载体. 他们甚至可以让勒索软件处于休眠状态, 所以它渗入了你的备份系统, 容灾站点, 在它被激活之前还有更多的端点.
  • Data loss is bad; data loss plus the inability to restore from backups is devastating.
  • Ransomware is constantly evolving; traditional security 和 DR practices may not be enough.

信息技术的方法

没有人是刀枪不入的, 但是如果你被击中,你可以降低你的风险并提高你的恢复能力:

  • 检查您的策略和技术的当前状态.
  • 确定最关键的系统和数据,以便对安全工作和投资进行优先排序.
  • 开发一个安全响应计划,说明勒索软件事件.
  • 优先安排项目,以提高预防和恢复能力.

信息技术的见解

大多数勒索软件受害者都知道自己易受攻击,但直到为时已晚才弥补这些差距——尽管勒索软件是高管们最关心的问题. 这是没有将关注转化为必要的步骤,以确定具体的弱点,并推动消除这些差距的明确行动.

新闻标题提醒人们,勒索软件威胁不断

In 2019, 勒索软件达到了危机的程度,有针对性的攻击“影响了至少966个政府机构”, 教育机构和医疗保健提供者的潜在成本超过7美元.50亿年.” 来源:Emisoft

“路易斯安那州再次遭受重大勒索软件攻击” (《澳博体育app下载》,11月20日. 2019)

英国银行遭黑客攻击通济隆外汇公司遭黑客攻击 (CNBC, 1月9日. 2020)

“Ryuk勒索软件使用局域网唤醒加密离线设备” (哔哔声电脑,1月14日. 2020)

“‘混乱就是重点’:俄罗斯黑客和喷子在2020年变得更偷偷” (《澳博体育app》1月10日报道. 2020)

“勒索软件团伙现在盯上了不付款的受害者企业” (克雷布森证券公司,12月16日. 2019)

“巴尔的摩将购买2000万美元的网络保险,以支付帮助该市从勒索软件中恢复的承包商” (《澳博体育app下载》,10月16日. 2019)

“佛罗里达市政府将支付黑客60万美元,以夺回其电脑系统。” (《澳博体育app下载》,2019年6月20日)

“公司因勒索软件倒闭,假期前300人失业” (ZDNet 3 1月. 2020)

“Sodinokibi勒索软件首次发布被盗数据” (哔哔的电脑,1月11日. 2020)

“勒索软件在4个月内两次袭击学区” (美联社,9月10日. 2019)

一些级别设置:基本的勒索软件攻击

下面是一个基本的勒索软件攻击的高级示例:

一个基本的勒索软件攻击模型. 1. 恶意软件被交付(e.g. 通过钓鱼邮件). 2. 更衣柜勒索软件:锁定受害者的屏幕或系统. 或者加密勒索软件:发现数据并加密它. 3. 通过赎金通知通知受害者妥协.
  • 恶意软件 锁系统和/或加密数据 经济勒索和/或网络间谍.
  • 勒索软件像大多数其他恶意软件一样传播(不仅仅是通过网络钓鱼邮件): 驱动下载、应用程序漏洞等. 因此,预防可以利用许多现有的安全最佳实践.
  • 一个关键的区别是广泛的业务中断, 这就是为什么勒索软件必须被当作 安全事件和容灾(DR)或业务连续性(BC)事件.

勒索软件是恶意软件的一种形式,所以恶意软件预防的最佳实践仍然适用. 不同的是大规模的业务中断. 至关重要的是恢复能力,而不仅仅是遏制和根除能力.

许多攻击不会立即触发警报

威胁参与者可以使用各种工具和方法来绕过外围安全和端点保护. 这些工具仍然很重要,但不要指望它们能阻止所有的攻击. 因此需要制定事故响应计划, 支持可靠的备份和灾难恢复能力.

勒索软件攻击的工作流示例:

给出了一个勒索软件攻击工作流的例子.

网络钓鱼仍然是最常见的入门方法,但这只是开始.

一旦进入你的网络, 攻击者感染尽可能多的关键系统,以获得最大的影响力, 在采取可能触发警报的行动之前. 例如,攻击者会:

  • 使用合法的命令浏览你的网络, 找到一个管理员级别的帐户, 然后破解这个账户(e.g. 使用密码喷洒和/或其他常见技术).
  • 泄露数据以获得更大的影响力.
  • 加密尽可能多的关键系统和数据集, 包括备份, 来限制你的恢复选择

如果漏洞没有被关闭,黑客不会羞于再次攻击你

勒索软件攻击者依赖于让组织措手不及,并且不怕两次攻击同一个目标. 此外, 没有勒索软件事件应对计划, 与计划外复苏相关的成本可能会飙升.

路易斯安那州标志图片

尽管尽了最大努力, 包括在2017年资助一个网络安全委员会, 2019年,路易斯安那州两次受到勒索软件的袭击. 第一次袭击发生在夏天,袭击了学校和地区办公室, 而第二次袭击发生在去年秋天. 2019年12月,新奥尔良市也遭受了勒索软件的袭击, 表明攻击者将继续利用目标,直到组织加强了他们的安全性并关闭了脆弱的攻击.

巴尔的摩市的标志图片

无论你被击中一次还是多次,成本影响都是毁灭性的. 巴尔的摩市估计,与其勒索软件攻击相关的成本达到了 1000万美元 在违约后的成本中,除了 800万美元 在收入损失.

勒索软件不仅仅是预算紧张的行业的问题

所有行业都很脆弱,包括一些你意想不到的行业

  • 政府(特别是 ), 医疗保健、教育 是受影响最严重的吗, 至少部分原因是IT预算紧张导致了安全漏洞,而他们的敏感数据使他们成为目标
  • 然而,其他行业如 专业服务技术 你认为一个强大的安全系统也会受到重创吗, 他们的弱点也让他们的客户处于危险之中. 不要再看了 SolarWinds 攻击就是这种风险的一个例子,尽管它并不是一种勒索软件攻击
  • 关键的结论是:没有人是刀枪不入的,所以要投资于事件响应计划, 除了预防. 假设你会被击中,并知道你将如何应对攻击并从攻击中恢复.
图中显示的是2020年各个行业被公开报道的勒索软件攻击的百分比.

弹性依赖于安全响应和容灾能力

当组织需要数周的时间来恢复时——基本上是重建他们的环境——这通常是因为他们的备份或DR解决方案不够充分, 除了他们的安全反应可能存在的漏洞.

这个蓝图将专注于建设你的 勒索软件事件响应计划 关闭勒索软件安全漏洞.

有关建立灾难响应计划(组成)组件的援助,请参阅information - tech的 创建大小合适的容灾恢复计划 蓝图. 另外, 还要利用勒索软件事件响应计划确定的需求.

勒索软件事件计划的模型.

信息技术公司创建勒索软件事件响应计划的方法

评估你的勒索软件准备情况 开展风险评估以提高风险意识并设定恢复目标 创建勒索软件响应工作流和运行簿 构建项目路线图以缩小差距
阶段步骤
  1. 进行成熟度评估
  2. 检查选定的系统和依赖关系
  1. 记录信息技术领域的系统和依赖关系 组成业务影响分析工具
  2. 完成所选系统和数据集的影响分析
  1. 记录你的威胁升级协议
  2. 使用桌面计划来确定应对步骤和差距
  3. 更新您的勒索软件响应工作流程和运行簿
  1. 确定改善勒索软件准备情况的措施
  2. 在项目路线图中确定计划的优先级
  3. 沟通你的现状和建议
阶段成果
  • 成熟度评估(包括确定政策和技术差距)
  • 业务影响分析
  • 桌面规划结果
  • Ransomware响应工作流程
  • Ransomware响应Runbook
  • Ransomware项目路线图
  • Ransomware准备总结

注意: 这项研究可以作为一个自己动手的项目来执行, 指导实施(一系列咨询电话), 或便利的资讯科技工作坊.

蓝图可交付成果

这一蓝图的每一步都伴随着支持交付物,以帮助您实现您的目标:

Info-Tech的勒索软件成熟度评估工具的截图

勒索软件成熟度评估工具

衡量您当前的准备情况,并确定需要解决的政策和技术差距.

Info-Tech的勒索软件业务影响分析工具的截图-示例

勒索软件业务影响分析工具-示例

量化勒索软件攻击对业务的影响,以传达风险并确定投资的优先级.

信息技术公司的勒索软件响应工作流程的截图 & Runbook模板

Ransomware响应工作流程 & Runbook模板

概览工作流捕获了所有涉众的关键步骤,运行簿提供了更多的细节.

信息技术公司的勒索软件项目路线图示例截图 & 总结模板

勒索软件项目路线图示例 & 总结模板

优先级的路线图和勒索软件准备情况摘要模板可以帮助您概述当前状态和下一步步骤.

关键可交付成果:

勒索软件准备情况摘要演示模板

用这个执行演示来传达现状的风险, 介绍推荐的后续步骤, 并推动利益相关者的买入.

信息技术公司的勒索软件准备情况摘要演示模板的截图

蓝图的好处

它的好处
  • 为您的组织提供一个结构化的方法来识别差距, 量化的风险, 并与管理层沟通以推动他们的参与.
  • 创建一个实用的勒索软件事件响应计划,结合高层, 一个详细的运行簿,以协调恢复和确保关键步骤被遵循的一瞥工作流.
  • 提供对执行人员友好的项目路线图,使您能够总结您的计划,以解决组织的差距.
商业利益
  • 让领导基于风险, 在资源和投资方面做出明智的决定,以改善勒索软件的准备情况.
  • 量化勒索软件攻击对组织的潜在影响,以提高风险意识.
  • 找出现有的差距,以便加以解决, 无论是政策, 反应计划, 技术, 或者它们的任意组合.

本图纸测量值

现在就计划,否则以后再付钱

没有做好准备的组织不得不在任何地方支付 20万到1000万美元 基于勒索软件事件的规模、范围和影响.

现在就提前计划,而不是以后支付更多.

  • $667,627: 伍德斯托克市(安大略省, 加拿大)不得不花费从勒索软件攻击中恢复-不是为了赎金, 但专业服务费用和新硬件需要收回.
  • $84,116: 2019年第四季度的平均赎金支付, 比之前41美元的平均价格上涨了104%,2019年第三季度为179.
  • 47500美元,10/10: 我们的客户根据这个蓝图报告了一个测量价值、美元影响和评级的例子.

高管简要案例研究

工业: 政府

来源: 信息技术研讨会的结果

地区政府利用一个研讨会来快速跟踪其勒索软件事件响应计划

一个地区政府利用信息技术公司的方法来评估和改进其勒索软件的准备情况.

勒索软件攻击和准备回应

在该组织开发安全程序的时候, 包括为最终用户推出安全意识培训,并投资于基础以外的安全解决方案, 员工们知道他们还有很多漏洞需要填补. 例如, 安全解决方案尚未完全部署, 政策缺乏, 也没有记录在案的勒索软件事件应对计划.

研讨会的结果

对现有程序的系统审查, 政策, 而且,技术发现了组织总体准备工作中的关键缺口. 影响分析量化了潜在的影响和业务风险, 在提高人们对安全项目的认识和投入方面,哪些是重要的. Info-Tech的桌面计划演练为组织的实际响应计划提供了基础:一个勒索软件响应工作流和一个更详细运行手册的框架. 研讨会还帮助工作人员进一步确定他们在勒索软件场景中恢复能力的差距, 例如不适当的备份. 最终的结果是一个当前状态的应对计划, 与业务需求保持一致的适当的功能目标, 以及实现组织所需的勒索软件准备状态的项目路线图.

此蓝图的工具和模板的截图.

信息技术提供各种级别的支持,以最适合您的需求

DIY工具包

“我们的团队已经将这个关键项目列为优先事项, 我们有时间和能力, 但在这一过程中,一些指导将会有所帮助."

指导实施

“我们的团队知道我们需要修复一个过程,但我们需要帮助来确定重点在哪里. 在这个过程中,一些签到会帮助我们保持在正轨上."

车间

这个人说:“我们必须马上开始这个项目. 一旦我们有了一个框架和策略,我们的团队就有能力接手这个工作."

咨询

“我们的团队没有时间或知识来接手这个项目. 我们整个项目都需要协助."

在所有四个选项中都使用诊断和一致的框架.

第一阶段

评估你的勒索软件准备情况

显示了四个阶段的模型,并列出了每个阶段的活动. 第一阶段突出显示.

这一阶段将引导你完成以下步骤:

  • 进行成熟度评估
  • 检查选定的系统和依赖关系

这一阶段包括以下参与者:

  • 保安事故应变小组
  • 系统主题专家(如果不是SIRT的一部分)

步骤1.1

进行成熟度评估

活动

1.1.1回顾过去的事件、挑战和司机

1.1.完成你的成熟度评估

此步骤将指导您完成以下活动:

  • 回顾过去的事件、挑战和司机
  • 完成你的成熟度评估

这一步骤涉及以下参与者:

  • 保安事故应变小组

这一步的结果

  • 在团队中设置挑战和驱动级别
  • 当前期限、目标和初始差距分析

1.1.回顾过去的事件,挑战和车手,使整个团队达到水平

1小时

通过这种头脑风暴练习,你可以首先理解团队中需要解决的挑战和关卡设置. 计划在这个阶段限制解决方案,但一定要记录建议,以便以后审议. 在头脑风暴会议中,记录以下例子:

过去的事故和其他司机

  • 过去发生的事情(具体说):
    • 过去的安全事件(勒索软件和其他)
    • 比分接近的比赛(e.g. 在损坏前发现部分漏洞)
  • 审计发现
  • 新闻事件
  • 其他?

安全挑战

  • 缺乏或薄弱的政策
  • 缺乏安全意识
  • 预算限制
  • 其他?

Input

  • 了解现有的安全能力和过去发生的事件

Output

  • 记录过去的事件和挑战
  • 在团队中设置挑战和驱动级别

材料

  • 白板或挂图(或远程工作人员共享的屏幕)

参与者

  • 保安事故应变小组

这个蓝图中的成熟度级别使用CMMI框架...

成熟度级别基于能力成熟度模型集成(CMMI)框架. 此上下文的修改概述如下.

CMMI成熟度级别—默认描述:

  • 一级-初始: 不可预知的和反应性的. 工作虽然完成了,但经常被推迟,而且超出预算.
  • 级别2 -管理: 在项目层面进行管理. 计划、执行、测量和控制项目.
  • 3级-定义: 主动而非被动. 组织范围的标准提供了跨项目、计划和项目组合的指导.
  • 等级4 -定量管理: 测量和控制. 组织是数据驱动的,量化的绩效改进目标是可预测的,并符合内部和外部利益相关者的需求.
  • 5级-优化: 稳定的和灵活的. 组织关注于持续改进,并对机会和变化作出反应. 组织的稳定性为敏捷性和创新提供了一个平台.

CMMI成熟度级别-针对此评估修改:

  • 一级-初始/特别: 没有很好的定义,本质上是临时的.
  • 2级-发展阶段: 建立的,但不一致和不完整的.
  • 3级-定义: 正式建立的、文档化的和可重复的.
  • 四级-管理和测量: 使用定性和定量数据进行管理,以确保与业务需求保持一致.
  • 5级-优化: 定性和定量数据被用来持续改进.

(资料来源:CMMI研究所,CMMI能力和性能水平)

并遵循标准的安全事件管理框架

该蓝图中的成熟度评估和事件响应工作流使用了下面概述的框架(改编自NIST SP 800 - 61转速). 2).

显示标准安全事件管理框架的模型.

注意: 在这个记分卡上 恢复 部分的重点是恢复受感染系统的能力, 这可能包括从备份中清除和恢复. 为了完整性,评估还包括 组成BCP 因为勒索软件攻击可能需要调用组成来故障转移到灾备站点和BCP来维护关键业务操作,而安全漏洞正在被控制和解决.

来源:工艺改编自NIST SP 800 - 61转速. 2

1.1.2完成成熟度评估

1 - 2小时

使用 勒索软件成熟度评估工具 跨标准安全事件管理框架的组件识别当前状态和目标状态.

提示: 考虑等到第三阶段完成后再确定差距计划,这样您就可以考虑来自第二阶段和第三阶段的额外差距和上下文.

结果:

  • 基线度量,这样你就可以测量进度.
    • 低分很常见. 有助于证明证券投资的合理性.
  • 安全宽度澄清.
    • 安全与灾难恢复和业务连续性相交叉——两者对事件响应都至关重要.
  • 确认关键差距.
    • 把更多的时间分配给分数较低的部分.
    • 至少每年重复一次记分卡,以明确剩余的需要解决的问题.

Input

  • 了解当前的安全和组成/BCP实践

Output

  • 当前的成熟度、目标和差距

材料

  • 勒索软件成熟度评估工具

参与者

  • 保安事故应变小组

Info-Tech的勒索软件成熟度评估截图

步骤1.2

检查选定的系统和依赖关系

活动:

1.2.缩小你的视野以支持更深的下潜

1.2.2绘制环境图,以阐明上下文、依赖关系和挑战

这一步将引导你完成以下活动:

  • 缩小你的视野以支持更深的潜水
  • 绘制环境图,以阐明上下文、依赖关系和挑战

这一步骤涉及以下参与者:

  • 保安事故应变小组
  • 系统主题专家(如果不是SIRT的一部分)

这一步的结果

  • 管理您的范围,以便更深入地了解关键系统, 提供此方法的上下文, 并建立一个可重复的流程来评估和改进整个环境的准备情况.

1.2.1狭窄的范围以支持更深的潜水

30分钟

关注几个关键的系统可以更容易地深入了解勒索软件的准备情况——而不仅仅是在预防方面, 也包括应对和恢复能力.

  1. 在白板或活动挂图纸上,列出可能包含的系统列表. 考虑:
    • 支持关键业务操作的关键应用程序. (注意: 第二阶段 will clarify criticality; for now, use your existing knowledge of what’s critical.)
    • 支持多个关键应用程序的数据库.
    • 保存敏感数据的系统.g. 带有个人身份信息的数据[PII]).
  2. 从上面的列表中选择5到10个系统来关注. 目的:
    • 选择支持不同业务操作的系统,以提供更广泛的潜在影响和恢复挑战样本.
    • 包括一个或两个非关键系统,以显示该方法如何处理一系列关键性和上下文.

Input

  • 对关键业务操作和数据集有高层次的理解

Output

  • 在这个方法中,首先要关注的系统样本

材料

  • 白板或挂图(或远程工作人员共享的屏幕)

参与者

  • 保安事故应变小组

1.2.2绘制环境图,以阐明上下文、依赖关系和挑战

30分钟

高级拓扑或架构图是识别依赖关系的有效方法, 外包服务, 安全与恢复挑战, 等等. 从WAN图开始, 然后是生产数据中心, 接下来的几张幻灯片将对每个系统进行概述.

注意:

  • 如果您有已存在的图,您可以检查它们. 但是,如果它们过于详细,可以绘制一个更高级的图来提供上下文. 即使是一个粗略的草图对参与者来说也是一个有用的参考工具.
  • 保持图纸的整洁和高水准. 在您开始在白板上绘制之前,可视化最终的图表,以帮助确定间距和位置.
  • 与相关的中小企业合作,以确定依赖性.

Input

  • 理解所选系统的依赖关系

Output

  • 澄清上下文、依赖关系、安全和恢复挑战

材料

  • 白板或挂图(或远程工作人员共享的屏幕)

参与者

  • 保安事故应变小组
  • 系统中小企业(如不包括在SIRT成员范围内)

对于WAN图,请关注数据中心和业务位置

从这样的高级网络图开始, 然后再深入挖掘(见下面的幻灯片)以提供更多的上下文. 下面是一个例子; of course, your sketched diagrams may be rougher.

显示WAN图. 从一个高级图开始显示.

绘制生产数据中心图,为范围内的系统提供上下文

创建高级关系图提供了创建组成所涉及的跨不同IT规程的上下文. 如果您有多个生产数据中心, 重点关注与所选系统相关的数据中心. 下面是一个例子.

展示了包含生产数据中心的高级图.

绘制每个选择的系统图,以确定特定的依赖关系和冗余

绘制每个系统的“生态系统”图,确定服务器、存储和网络依赖关系. 这可能与生产数据中心图有重叠——但在这里要具体说明. 下面是一个示例,演示了前端和后端组件.

当你达到这个层次的细节时,利用这个机会与团队进行水平设定. 考虑以下:

  • 现有安全 (这些系统是否受到现有安全监控和威胁检测工具的保护?).
  • 安全挑战 (e.g. 面向公众系统).
  • 复苏的挑战 (e.g. 有限或不频繁的备份).
图显示每个选择的系统

请注意您的安全、备份和容灾解决方案的局限性

使用网络和系统图作为上下文来进一步了解您的局限性. 所选系统中确定的差距通常会应用到环境的其他方面. 是什么:

  1. 安全限制? 是否存在任何已知的安全漏洞或风险,例如外部访问(e.g. 对于客户门户)? 如果是这样,这些风险是否减轻了? 现有的安全解决方案是否得到充分利用?
  2. 备份的局限性? 采取了哪些步骤来确保备份的完整性(e.g. 通过内联或备份后扫描,或使用不可变备份)? 是否有多个恢复点来提供更细的粒度,以确定需要追溯到多远的地方进行彻底备份?
  3. 灾难恢复的局限性? 您的容灾解决方案是否能够应对勒索软件攻击,还是仅设计用于单向故障转移(i.e. 对于冒烟的场景)?

在第一至第三阶段发现的差距将在第四阶段进行审查 确定将提高复原力的举措并确定优先级. 现在,记下这些空白,然后继续下一个阶段.

第二阶段

开展风险评估以提高风险意识并设定恢复目标

显示了四个阶段的模型,并列出了每个阶段的活动. 第二阶段突出显示.

这个阶段将指导您完成以下步骤:

  • 在BIA工具中记录系统和依赖关系
  • 比较所选系统和数据集的影响分析

这一阶段包括以下参与者:

  • 保安事故应变小组
  • 系统主题专家(如果不是SIRT的一部分)

步骤2.1

在BIA工具中记录系统和依赖关系

活动

2.1.1明确识别关键数据集

此步骤将指导您完成以下活动:

  • 显式地识别关键数据集

这一步骤涉及以下参与者:

  • 保安事故应变小组

这一步的结果

  • 澄清在方法学的这一阶段所进行的影响分析的范围和背景.

理解为什么应该进行业务影响分析(BIA)

IT领导们努力让执行部门接受降低安全风险的策略和解决方案, 尽管董事会要求确保勒索软件准备就绪. 这是一种将风险纳入商业术语的失败.

要从广泛的安全命令转变为具体的行动(其中许多行为可能不受企业欢迎),您需要具体的数据来量化勒索软件攻击的潜在影响. 此外,BIA流程本身并不需要很繁琐. 一个管理良好的BIA是简单明了的,好处是有形的.

显示两个柱状图. 其中一个显示了BIA对适当的rto的影响. 另一份报告显示了BIA对适当支出的影响.

回顾组成 BIA工具说明书

勒索软件业务影响分析工具-示例说明了如何执行BIA来量化勒索软件事件的潜在业务影响. 如果你已经进行了BIA, 重新审视它,确保它解释了勒索软件的潜在影响. 有关详细的工具说明和最新版本的源工具, 是指信息技术的 创建大小合适的容灾恢复计划 蓝图,包括 组成业务影响分析工具.

在此评估中使用的一个关键调整是明确列出可能受到影响的关键数据集. 这使得评估和报告数据丢失的影响变得更加容易, 在不仅主要数据可能丢失的勒索软件攻击中,哪一点尤为重要, 但也备份. 或者,像往常一样运行BIA (i.e. 不要明确地列出数据集, 但将它们作为系统依赖关系的一部分), 但是在评估每个系统时要特别注意数据的影响.

组成 BIA工具的截图示例

下载 勒索软件业务影响分析工具-示例.

2.1.1明确识别BIA中的关键数据集

1小时

中的系统和依赖项记录 组成业务影响分析工具 (查看组成 BIA工具说明). 适当地重命名工具,例如.g. “勒索软件业务影响分析.”

  1. 对于每个应用程序/系统,确定它的所有依赖关系,包括关键数据库. 这提供了一个需要恢复的总体足迹的清晰画面.
  2. 在下一行中,列出系统的关键数据依赖关系. 这确实意味着在两行上重复依赖关系,但将允许您明确地评估数据丢失对单独一行的影响. 例如,在这个例子中:
    • “ERP”行包括它的所有依赖项,包括ERP数据库. 这确保您对需要恢复的所有依赖项有一个清晰的了解. 使用这条线来评估停机的影响.
    • “ERP数据”一行列出了关键的数据依赖关系. 使用这一行来评估数据丢失的影响.
  3. 对所有相关的应用程序/系统重复此步骤.

Input

  • 系统和依赖关系

Output

  • 待评估的系统和数据集

材料

  • 组成业务影响分析工具

参与者

  • 保安事故应变小组

Info-Tech的组成业务影响分析工具的截图.

步骤2.2

完成所选系统和数据集的影响分析

活动

2.2.1建立评分标准

2.2.2根据业务影响,分配关键级别、RTOs和RPOs

2.2.3完成漏洞评估,识别宕机风险(可选)

此步骤将指导您完成以下活动:

  • 建立评分标准
  • 根据业务影响分配关键级别、RTOs和RPOs
  • 完成漏洞评估以识别停机风险(可选)

这一步骤涉及以下参与者:

  • 保安事故应变小组
  • 系统主题专家(如果不是SIRT的一部分)
  • 相关利益相关者和决策者

这一步的结果

  • 一个可重复的过程,为恢复力投资和从事故中恢复的系统划分优先级.
  • 就可接受的停机时间和数据丢失达成协议, 哪些将驱动安全性和恢复需求, e.g. 可接受的安全限制、备份频率和容灾解决方案.

2.2.1建立评分标准

1 - 2小时

定义你的评分标准 组成业务影响分析工具 (查看组成 BIA工具说明)

  1. 选择适当的评分标准 为你的组织. 该工具提供了默认条件,但您不需要使用列出的所有条件. 考虑与您的组织最相关的影响类型,并相应地更改默认标准.
  2. 定义每个标准的评分标准 (标签2). 对于直接的成本影响,使用您的财务数据来调整值. 至于商誉标准,则考虑是否需要设定上限. 例如, 如果有100个,000个客户,但最多只有1个,他们中有000人可能在某一天与你互动, 调整客户影响描述,以表明影响的百分比不为1,000(不是100分,000).
  3. 在“影响分析”选项卡(选项卡3)上确认您的标准更改。. 例如, 如果你将“对客户的影响”改为“对居民的影响”,确认更改后的文字将自动转入此选项卡.

Input

  • 了解潜在的业务影响(收入、商誉、合规、健康状况) & 安全)

Output

  • 客观的标准评分量表来评估整个组织的影响

材料

  • 组成业务影响分析工具

参与者

  • 保安事故应变小组

2.2.2根据业务影响,分配关键级别、RTOs和RPOs

1 - 2小时

评估停机时间和数据丢失的影响 组成业务影响分析工具 (查看组成 BIA工具说明)

  1. 准备得分: 删除示例分数,否则会影响你的结果, 然后隐藏您不使用的评分列. 同时删除示例RTOs和RPOs, 但不要删除“Total 影响”单元格或RTO/RPO间隙, 因为这些是计算过的值.
  2. 使用示例评分标准作为分配影响评分的指南. 为了方便, 您可能希望在另一个屏幕上显示该工具的副本,并打开评分标准TAB以供参考.
  3. 分配临界评级, 使用总影响分数作为指导. 如果您已经分离出数据集,您可以对数据和. 该系统. 例如, 系统可能是Tier 2, 但它的数据是第一级——频繁备份和适当的安全性比. 有一个热备份系统.
  4. 根据影响分配RTOs和RPOs. 如果已经分离出数据集,则为系统分配RTO,为数据分配RPO.
  5. 与适当的涉众一起检查您的结果. 首先与选定的涉众进行评审,以纳入反馈,并确保您的评估是合理的. 然后与适当的决策者进行审查,以提高风险意识,并正式批准恢复目标.

Input

  • 了解潜在的业务影响(收入、商誉、合规、健康状况) & 安全)

Output

  • 量化潜在影响以提高风险意识.
  • 记录系统/数据优先级和恢复目标.

材料

  • 组成业务影响分析工具

参与者

  • 保安事故应变小组

2.2.3完成漏洞评估,识别宕机风险 (可选)

1 - 2小时

在您的应用程序中,估计单个依赖关系中断的可能性和影响 组成业务影响分析工具 (查看组成 BIA工具说明)

注意: 本练习主要针对的是容灾规划而非安全性, 目标是确定在组成中需要更多冗余和/或强调的潜在单点故障. 考虑将此推迟到您的组成计划中.

  1. 按照组成业务影响分析工具中的说明进行 分配可能性和影响分数. “漏洞评估”选项卡(选项卡4)包括标注,其中包含填充选项卡和完成评分的具体说明.
  2. 审查结果. 结果见表5, “脆弱性报告,,以了解哪些依赖项存在较高的停机风险. 使用它来通知您的基础架构和/或组成项目路线图.

Input

  • 理解单个系统依赖关系的可靠性

Output

  • 哪些依赖项存在较高的停机风险的摘要, 因此,应该在项目中优先考虑,以提高弹性.

材料

  • 组成业务影响分析工具

参与者

  • 保安事故应变小组.
  • 系统中小企业(如不包括在SIRT成员范围内)

第三阶段

创建勒索软件响应工作流和运行簿

显示了四个阶段的模型,并列出了每个阶段的活动. 第一阶段突出显示.

这个阶段将指导您完成以下步骤:

  • 记录你的威胁升级协议
  • 确定应对步骤和差距
  • 更新您的响应工作流和运行簿

这一阶段包括以下参与者:

  • 保安事故应变小组

步骤3.1

记录你的威胁升级协议

活动

3.1.查看工作流和运行本模板

3.1.更新/定义您的威胁升级协议

这一步将引导你完成以下活动:

  • 回顾示例工作流和运行簿
  • 更新并定义您的威胁升级协议

这一步骤涉及以下参与者:

  • 保安事故应变小组

这一步的结果

  • 明确关键事件的升级路径
  • 对将导致事件升级的事件严重程度的共同理解

3.1.查看工作流和运行本模板

30分钟

这个蓝图包括勒索软件响应工作流模板和勒索软件响应运行手册模板中的示例信息,可以作为第三阶段步骤的起点, 包括记录你的威胁升级协议.

  • 勒索软件响应工作流模板包含一个高级安全事件管理的例子 工作流 因为勒索软件攻击. 这为桌面规划练习提供了一个可遵循的结构,并为您的勒索软件响应工作流提供了一个起点.
  • 工作流是针对事件指挥官和团队领导的. 它提供了高层步骤和利益相关者之间的交互的概览,以帮助领导者协调响应.

  • 勒索软件响应运行手册模板 这是一个勒索软件攻击的安全事件管理运行手册的例子吗. 其中包括可以作为起点使用的威胁升级协议部分.
  • Runbook的目标是执行响应的团队. 它提供了需要在事件响应的每个阶段执行的更具体的操作.

Input

  • 不需要输入

Output

  • 形象化最终目标

材料

  • 本蓝图中的工作流和运行本示例

参与者

  • 保安事故应变小组

信息技术公司的勒索软件响应运行手册的截图

下载 勒索软件响应工作流模板.

3.1.更新/定义您的威胁升级协议

1 - 2小时

文档中的“威胁升级协议”部分 勒索软件响应工作流模板 或者回顾/更新您现有的运行簿. 威胁升级协议定义了在事件管理过程中涉及哪些涉众, 取决于影响和范围. 具体来说,你需要定义以下内容:

  1. 影响和范围标准: “影响”考虑系统/数据的关键性等因素, PII是否有风险, 是否需要公开通知. 范围考虑有多少系统或用户受到影响.
  2. 严重程度评估: 根据影响和范围标准定义严重级别.
  3. 利益相关方: 确定需要通知的每个严重级别的涉众,这可以包括外部涉众.

如果你需要额外的指导,请参阅信息技术 制定和实施安全事故管理计划 蓝图,更广泛地看安全事件.

Input

  • 当前升级过程(正式或非正式).

Output

  • 定义严重级别和相关涉众的标准.

材料

  • 勒索软件响应工作流模板

参与者

  • 保安事故应变小组

使用的例子 勒索软件响应运行手册模板 作为指导.

信息技术公司的勒索软件响应运行手册模板截图-威胁升级协议部分

步骤3.2

确定应对步骤和差距

活动

3.2.1为一系列事件定义场景

3.2.2在桌面上进行规划练习

此步骤将指导您完成以下活动:

  • 为一系列事件定义场景
  • 运行一个桌面计划练习

这一步骤涉及以下参与者:

  • 保安事故应变小组
  • 其他持份者(相关)

这一步的结果

  • 当前状态事件响应工作流,包括涉众、步骤、时间轴
  • 要解决的过程和技术差距

3.2.1为一系列事件定义场景

30分钟

作为一个群体, 协作定义场景,使您能够为各种潜在事件开发事件响应细节. 以下是示例场景:

  • 场景1:对一个关键系统的孤立攻击. 关键应用程序的数据库被破坏. 假设直到文件加密后才检测到攻击, 但是,您可以通过清除服务器并从备份中恢复来进行就地修复.
  • 场景2:站点范围的影响,需要更广泛的灾难恢复. 几个关键系统被破坏了. 原地修复要花很长时间, 所以您需要故障转移到您的容灾环境, 除了执行安全响应步骤之外. (注:如果你没有组成,请参阅信息技术 创建大小合适的容灾恢复计划 解集.)
  • 场景3:关键的外包服务或云服务受到威胁. 您需要与供应商合作,以确定影响的范围并执行响应. 这包括确定您的on-prem系统是否也被破坏.
  • 场景4:一个或多个终端用户设备被破坏. 您对上述场景的响应将包括评估最终用户设备可能的攻击源或二次攻击, 但是,这个场景将提供更多的关注于包含对终端用户设备的攻击.

注意:上面的内容太多了,不能在一个30分钟的会话中执行, 所以,按照下面的大纲计划一系列的练习.

Input

  • 不需要输入

Output

  • 确定桌面计划练习的范围

材料

  • 白板或挂图(或远程工作人员共享的屏幕)

参与者

  • 保安事故应变小组

通过进行一系列有重点的练习来优化参与者花费的时间

并不是所有的涉众都需要出现在每个桌面规划练习中. 您可以通过首先与IT进行练习(以关注IT响应),然后将非IT涉众包括进来,以更多地关注诸如危机沟通和与外部涉众合作(例如.g. 执法,cyberinsurance). 下面是一个时间表示例.

样品进度:

Q1:与相关的IT参与者一起举办两个运行场景1和场景2的会议(参见活动3.2.1). 这些会议的重点将主要放在技术应对方面. 例如, 包括通知领导及其在决策中的作用, 但不要进一步详述他们的过程细节. 类似的, 不要邀请非IT参与者参加这些会议,这样您可以首先关注于理解IT响应. 邀请高管参加第二阶段的活动,他们将有更多的机会参与其中.

Q2:与SIRT和非it利益相关者举行一次会议. 使用Q1练习的结果作为起点,并扩展非it响应步骤(e.g. 通知外部各方,关于响应选项的执行决定).

Q3和Q4:运行其他会话(如.g. 对于方案3和4)与相关的利益相关者. 确保您的勒索软件事件响应计划涵盖广泛的可能场景.

至少每年进行一次持续的锻炼. 一旦你有一个可靠的勒索软件事件响应计划, 将基于勒索软件的桌面计划演练纳入整体安全事件管理测试和维护计划.

信息技术的见解

提前安排这些会议,以确保有适当的资源可用. 在概述范围的年度测试计划摘要中记录这一点, 参与者, 还有计划好的会议的日期和时间.

3.2.2在桌面上进行规划练习

1 - 2小时

记住,目标是更深入地了解您将如何应对攻击,以便您能够明确步骤和差距. 这并不意味着仅仅是通读你的计划. 请遵循以下指引:

  1. 选择您的场景 并邀请相关参与者(见前面的幻灯片).
  2. 引导参与者通过事件 并捕获过程中的步骤和间隙. 在每个阶段中,每次关注一个涉众,但要确保从每个人那里获得输入. 例如, 重点关注服务台的检测步骤, 然后对其他利益相关者做同样的事情. 继续分析,做同样的事情. (提示:阶段之间的区别并不总是明确的,这没关系. 同样,根除和恢复可能是同一套步骤. Focus on capturing the detail; you can clarify the relevant phase later.)
  3. 记录结果 (e.g. 在Visio中捕获它)以供参考. (提示:您可以直接在Visio中运行这个练习. 然而,这一工具可能会让人分心. 招募一个精通Visio的抄写员,这样你就不需要等待信息被捕获,并计划保存详细的格式和修改供以后使用.)

指的是 勒索软件桌面规划结果-示例 作为捕捉的指南. 目标是获得比在您的勒索软件响应工作流中发现的更多的细节(但不是运行簿级别的详细信息).

Input

  • 基线勒索软件响应工作流

Output

  • 明确你的回复工作流程、能力和差距

材料

  • 白板、便签、索引卡或共享屏幕

参与者

  • 保安事故应变小组

Info-Tech的勒索软件响应桌面规划结果的截图-示例

下载 勒索软件桌面规划结果-示例.

步骤3.3

更新您的勒索软件响应工作流程和运行簿

活动

3.3.1更新您的勒索软件响应工作流程

3.3.2更新您的勒索软件响应运行手册

此步骤将指导您完成以下活动:

  • 更新您的勒索软件响应工作流程
  • 更新您的勒索软件响应运行簿

这一步骤涉及以下参与者:

  • 保安事故应变小组

这一步的结果

  • 基于当前功能更新的事件响应工作流和运行簿

3.3.1更新您的勒索软件响应工作流程

1小时

使用你桌面计划练习的结果(活动3.2.2)更新和澄清你的勒索软件响应工作流程. 例如:

  • 利益相关者泳道更新: 明确哪些利益相关者需要一条泳道.g. 需要澄清的群体之间的互动). 例如, 考虑一个SIRT泳道,它组合了相关的技术响应角色,但对SIRT与之交互的其他组有单独的泳道(例如.g. 服务台、执行团队).
  • 更新工作流程步骤: 使用桌面练习中的细节来澄清和/或添加步骤, 以及进一步定义泳道之间的交互. (提示:您的工作流需要考虑一系列的场景. 它通常不会像桌面规划结果那样具体,桌面规划结果只关注一个场景.)
  • 阐明整体工作流程: 寻找并纠正任何剩余的混乱和混乱的地方. 例如, 考虑添加“Go To”连接器,以最小化相互交叉的线, 添加颜色编码突出显示关键的相关步骤(e.g. 任何通信的步骤), 和/或调整泳道的大小,以减少工作流的总体大小,使其更容易阅读.
  • 每次练习后重复以上步骤: 根据需要继续改进工作流,直到您到达只需要验证您的工作流是否仍然准确的阶段.

Input

  • 桌面计划练习的结果(活动3.2.2)

Output

  • 澄清你的回复工作流程

材料

  • Ransomware响应工作流程

参与者

  • 保安事故应变小组

Info-Tech的勒索软件响应桌面规划结果的截图-带更新的例子

3.3.2更新您的勒索软件响应运行手册

1小时

使用你桌面计划练习的结果(活动3.2.2)更新你的勒索软件响应运行手册. 例如:

  • 使涉众部分与工作流程保持一致: 工作流中的每个涉众泳道都需要运行簿中自己的部分.
  • 更新事件响应步骤: 使用桌面练习中的细节来阐明每个涉众的指示. 这可以包括列出具体的行动, 定义要与哪些涉众合作, 并参考相关文件(e.g. 供应商文档,分步恢复过程). (提示:与工作流一样, 运行手册需要考虑一系列的场景, 因此,它将包括根据事件可能需要采取的行动列表, 如示例运行簿所示.)
  • 检查并更新您的威胁升级协议: 最好在桌面规划练习之前定义威胁升级协议,以帮助识别参与者并避免混淆. 现在使用练习结果来验证或更新文档.
  • 在每个练习之后重复上面的练习. 根据需要继续完善您的运行簿,直到您到达只需要验证您的运行簿仍然准确的阶段.

Input

  • 桌面计划练习的结果(活动3.2.2)

Output

  • 澄清反应runbook

材料

  • Ransomware响应Runbook

参与者

  • 保安事故应变小组

Info-Tech的勒索软件响应桌面规划结果示例截图, 和勒索软件响应运行手册

第四阶段

构建项目路线图以缩小差距

显示了四个阶段的模型,并列出了每个阶段的活动. 第四阶段突出显示.

这个阶段将指导您完成以下步骤:

  • 确定改善勒索软件准备情况的措施
  • 在项目路线图中确定计划的优先级
  • 沟通状况和建议

这一阶段包括以下参与者:

  • 保安事故应变小组

步骤4.1

确定改善勒索软件准备情况的措施

活动

4.1.1确定消除差距和提高复原力的举措

4.1.2审查更广泛的战略,以改善您的整体安全计划

这一步将引导你完成以下活动:

  • 确定消除差距和提高弹性的举措
  • 审查更广泛的策略,以改进您的整体安全程序

这一步骤涉及以下参与者:

  • 保安事故应变小组

这一步的结果

  • 根据对差距的审查提出具体的潜在倡议
  • 更广泛的潜在举措,以改善您的整体安全计划

4.1.1确定消除差距和提高复原力的举措

1小时

利用您已经完成的活动的结果来确定改善您的勒索软件准备情况的措施.

  1. 建立一个有两列的空白电子表格,并将它们标注为“空白”和“计划”.(这样可以更容易地将空白和计划从电子表格中复制到你的项目路线图中, 而不是使用中的Gap Initiative列 勒索软件成熟度评估工具.)
  2. 回顾你的 桌面规划结果:
    • 在为该活动创建的电子表格的“差距”列中总结差距.
    • 对于每个差距,写下解决差距的潜在计划.
    • 在可能的情况下,将类似的差距和举措结合起来. 类似的, 同样的倡议可能会解决多个缺口, 所以,你不需要为每个缺口都找一个独特的创意.
  3. 回顾您在阶段1中完成的成熟度评估的结果,以在为该活动创建的电子表格中确定额外的差距和计划.

Input

  • 桌面规划结果
  • 成熟度评估

Output

  • 确定改善勒索软件准备情况的措施

材料

  • 空白的表格

参与者

  • 保安事故应变小组

4.1.2审查更广泛的战略,以改善您的整体安全计划

1小时

  1. 以下几张幻灯片概述了以下考虑因素:
    • 实施有效的安全计划的核心要素——策略、操作和政策. 在基于业务需求开发总体安全策略时,利用此蓝图中完成的工作来提供上下文并解决当前的缺口, 风险承受能力, 以及总体安全考虑. 安全操作和策略是执行总体安全策略和日常事件管理的关键.
    • 更新您的备份策略,以应对勒索软件攻击. 如果您的主要备份被感染,请考虑您现在的选择? 如果这些选项不是很好,那么您的备份策略需要刷新.
    • 考虑一个零信任策略. 零信任减少了对外围安全性的依赖,并将控制移动到用户访问资源的位置. 但是,它需要时间来实现. 评估您对这种方法的准备情况.
  2. 作为一个团队, 讨论这些策略在您的组织中的优点,并确定潜在的计划. 根据您已经具备的条件,项目可能需要评估选项(如.g. 如果您还没有启动零信任, 分配一个项目来评估你的选择和准备情况).

Input

  • 对现有安全实践和备份策略的理解

Output

  • 更广泛的行动,以改善勒索软件准备

材料

  • 白板或挂图(或远程工作人员共享的屏幕)

参与者

  • 保安事故应变小组

实施有效的安全计划的核心要素

没有灵丹妙药. 勒索软件的准备情况取决于基本的安全最佳实践. 在预算允许, 用更先进的基于人工智能的工具来识别异常行为,以检测正在进行的攻击.

利用以下蓝图来实现有效的安全计划的基本要素:

  • 制定资讯保安策略: 考虑信息安全的所有方面,包括人员、流程和技术. 然后将您的安全策略基于您的组织所面临的风险——而不仅仅是最佳实践——以确保与业务目标和需求保持一致.
  • 制定安全运营策略: 建立统一的安全操作,积极监控安全事件和威胁信息, 并将其转化为适当的安全防范措施, 检测, 分析, 和反应过程.
  • 制定和部署安全策略: 通过有效政策提升网络安全水平, 从针对终端用户的可接受的使用策略到针对IT操作的系统配置管理策略.

用基于人工智能的工具补充基本的最佳实践,以抵御更复杂的安全攻击:

  • 勒索软件团伙和作为服务的勒索软件的发展,意味着越来越多的黑客可以利用最复杂的工具绕过外围安全和端点保护.
  • 而不是立即激活勒索病毒, 攻击者将使用合法命令遍历网络,感染尽可能多的系统,并在不产生警报的情况下泄露数据, 最后加密受感染的系统.
  • 基于人工智能的工具可以了解什么是正常行为,因此可以在为时已晚之前识别出不寻常的流量(可能是正在进行的攻击). 例如,一个“用户”访问一个他们以前从未访问过的服务器.
  • 聘请信息技术分析师或咨询 Software评论 来审查将增加这一额外的基于人工智能的安全层的产品.

更新您的备份策略,以应对勒索软件攻击

应用深度防御策略. 每周进行一次离线磁盘备份是不够的.

除了将您现有的安全实践应用到您的备份解决方案(e.g. 反恶意软件,受限访问),考虑:

  • 创建多个恢复点. 您最近的备份可能被感染. 频繁的备份使您在确定需要回滚多远时能够更加细致.
  • 拥有异地备份并使用不同的存储媒体. 使用不同的存储介质(e.g. 磁盘、NAS、磁带)和备份位置(e.g. 离线). 如果你能让攻击者跳更多的圈, 您更有可能在所有备份被感染之前检测到攻击.
  • 投资不可变备份. 大多数领先的备份解决方案都提供了确保备份是不可变的(写入后不能更改)的选项。.
  • 使用您在第二阶段完成的BIA来帮助决定在哪里优先投资. 以上所有策略都会增加备份成本,而且可能对所有数据都不可行. 使用BIA结果来决定哪些数据集需要更高级别的保护.

这个示例策略组合了多个恢复点, 离线备份, 不同的存储媒体, 和不变的备份

针对勒索软件攻击的备份策略模型.

是指信息技术的 建立有效的数据保护计划 额外的蓝图

确定您的组织可以在何处以及如何采用零信任策略

零信任更多的是一套原则,而不是一套控制, 使其成为it安全战略的一个高度灵活和非常有效的方法.

考虑以下:

  • 零信任减少了对周边安全的依赖. 零信任是一种策略,它解决了如何超越对外围安全的依赖,并将控制转移到用户访问资源的位置. 经常, 零信任巩固了安全解决方案, 通过确保各个层面的数字环境安全,这既节省了运营开支,又使业务能够移动.
  • 零信任首先要让企业受益. IT安全将需要不断确定不同的零信任区域将如何影响核心业务流程. 这意味着零信任并不是IT安全的万能方法. 零信任是我们的目标——但有些组织只能做到这一点.
  • 不是每个人都能做到零信任,但每个人都能做到. 零信任对每个组织都是不同的,可能不适用于每个控制领域. 您的组织不需要迁移到云来实现零信任, 因为有一些控制可以实现,使得零信任在前提下和在云中都是可能的.

信息技术的见解

这可能需要一些时间. 美国.S. 空军AFWERX零信任飞行员发现,要完全实现零信任的好处,至少需要5年时间. 回顾一下零信任策略会涉及到什么,并评估你是否准备好利用信息技术来应对 确定你的零信任准备程度 蓝图.

步骤4.2

在项目路线图中确定计划的优先级

活动

4.2.1根据努力、成本和风险等因素对计划进行优先排序

4.2.2 .查看仪表盘,调整路线图

此步骤将指导您完成以下活动:

  • 根据工作、成本和风险等因素对计划进行优先级排序
  • 查看仪表板以调整您的路线图

这一步骤涉及以下参与者:

  • 保安事故应变小组

这一步的结果

  • 一个对执行人员友好的项目路线图仪表盘,总结了您的计划
  • 建议计划所需的优先级、工作和时间线的可视化表示

检查 组成路线图的工具

勒索软件项目路线图工具-示例包含在这个蓝图中,以说明可能与提高您的勒索软件准备相关的行动类型. 获取详细的工具说明和源项目路线图工具的最新版本, 是指信息技术的 创建大小合适的容灾恢复计划 蓝图, 组成路线图的工具. 虽然它被标记为组成,但同样的工具可以用于创建任何项目路线图.

Info-Tech的组成路线图工具的三个截图

下载 勒索软件项目路线图工具-示例.

4.2.1根据努力、成本和风险等因素对计划进行优先排序

1小时

优先考虑 组成路线图的工具. 根据您的组织对工具进行适当的重命名.g. “Ransomware项目路线图.”

  1. 在“Data Entry”选项卡上,复制步骤4中活动期间收集的空白和计划.1进入工具. (提示:在“路线图项目”列中为计划提供简短的名称(这是出现在选项卡3中的路线图仪表板上的内容).
  2. 在“设置”选项卡上:
    • 决定您希望在评估中包括哪些标准(超出诸如努力等必需的领域).
    • 对于您计划使用的条件,根据需要更新默认值(i.e. 为不同级别的工作定义价值).
  3. 回到“数据输入”选项卡:
    • 填写您希望使用的评估标准(考虑隐藏您不打算使用的列,以避免混淆).
    • 使用评估标准来通知您指定的优先级级别,以及时间线.

Input

  • 在步骤4中确定的差距和倡议.1

Output

  • 项目路线图指示板

材料

参与者

  • 保安事故应变小组

信息技术的组成路线图工具的截图-路线图:数据入口

4.2.2查看仪表板以调整路线图

1小时

查看并更新您的 组成路线图的工具

  1. 在“路线图”标签上, 检查生成的仪表板(您可能需要运行数据刷新来更新仪表板). 例如,在审查过程中,确保:
    • 时间表是现实的(避免为短期计划多个高强度的项目).
    • 高优先级的项目会比低优先级的项目更快地被安排.
    • 短期内包括一些立竿见影的成果.g. 高优先级,少量付出项目)
    • 它全面支持你想要传达的故事.g. 解决差距的计划,以及所需的努力和时间表).
    • 提示:当您最终将仪表板展示给相关的涉众时, 使用筛选器细化消息或焦点. 突出高优先级任务, 通过业主的过滤提出可能的容量瓶颈, 等等.
  2. 根据您的检查,根据需要更新“Data Entry”选项卡上的值.

Input

  • 在步骤4中确定的差距和倡议.1

Output

  • 项目路线图指示板

材料

参与者

  • 保安事故应变小组

信息技术的组成路线图工具的截图-项目路线图

步骤4.3

沟通现状和建议

活动

4.3.在执行演示中总结状态和下一步

此步骤将指导您完成以下活动:

  • 在执行演示中总结状态和下一步

这一步骤涉及以下参与者:

  • 保安事故应变小组

这一步的结果

  • 通过与利益相关者沟通现状的风险和可实现的下一步来提高组织的勒索软件准备情况,从而获得利益相关者的支持

4.3.在执行演示中总结状态和下一步

1小时

通过与利益相关者沟通风险现状和降低风险的建议来获得利益. 具体来说,从这个蓝图中捕获并呈现以下内容:

  • 阶段1: 成熟度评估结果, 指示组织的总体准备情况以及需要改进的特定领域.
  • 阶段2: 业务影响结果,客观地量化停机和数据丢失的潜在影响.
  • 阶段3: 当前事件响应功能,包括步骤、时间轴和缺口.
  • 阶段4: 建议的项目,以弥补特定差距和改善整体的勒索软件准备情况.
  • 总的关键发现和下一步.

Input

  • 阶段1-4中所有活动的结果

Output

  • 高管表示

材料

  • 勒索软件准备情况摘要演示模板

参与者

  • 保安事故应变小组

勒索软件成熟度:Level 2(开发中)

下载 勒索软件准备情况摘要演示模板.

总结成就

项目概述

此蓝图帮助您为您的组织创建勒索软件事件响应计划, 以及确定具体的行动,以提高其整体的勒索软件预防和恢复能力.

项目阶段

阶段1: 评估你的勒索软件准备情况

阶段2: 开展风险评估以提高风险意识并设定恢复目标

阶段3: 创建勒索软件响应工作流和运行簿

阶段4: 构建项目路线图以缩小差距

项目可交付成果

  • 勒索软件成熟度评估: 衡量你目前的准备情况,然后确定要解决的人员、政策和技术差距.
  • 勒索软件业务影响分析: 量化勒索软件攻击的业务影响,以传达风险,并优先考虑需要最大保护的系统和数据.
  • Ransomware响应工作流程: 在事件管理的每个阶段,所有相关涉众的关键事件响应步骤的概要.
  • Ransomware响应Runbook: 包括每个涉众要执行的威胁升级协议和详细的响应步骤.
  • 勒索软件桌面规划结果: 深入了解勒索软件场景将帮助您开发更准确的事件管理工作流和运行簿, 以及找出需要解决的差距.
  • Ransomware项目路线图: 这一优先计划列表将解决具体的差距,并改善整体的勒索软件准备情况.
  • 勒索软件准备情况简介: 你的执行报告将传达现状的风险, 介绍推荐的后续步骤, 并推动利益相关者的买入.

相关信息技术研究

相关安全蓝图:

  • 建立资讯安全策略
    这个蓝图可以帮助您考虑信息安全的全范围, 包括人, 流程, 和技术. 将您的安全策略基于您组织面临的风险——而不仅仅是基于最佳实践——以确保与业务目标和需求保持一致.
  • 制定安全运营策略
    建立统一的安全操作,积极监控安全事件和威胁信息. 将其转换为适当的安全预防、检测、分析和响应流程.
  • 开发和部署安全策略
    通过有效政策提升网络安全水平, 从针对终端用户的可接受的使用策略到针对IT操作的系统配置管理策略.
  • 制定和实施安全事故管理计划
    为各种潜在的安全事件创建一个可伸缩的事件响应程序. 有关整体保安事故管理的更多细节,请参阅此蓝图.

相关灾难恢复蓝图:

  • 建立有效的数据保护计划
    归档相关数据需要根据业务需求选择相应的备份策略, 恢复, 和业务连续性.
  • 创建大小合适的容灾恢复计划
    避免配置过多或过少的灾难恢复(DR)解决方案. 优先考虑业务需求, 确定你满足这些要求的能力, 然后确定项目,以缩小当前DR能力与所需DR能力之间的差距.

研究人员及专家

艾拉·戈德斯坦的照片

爱尔兰共和军戈尔茨坦

首席运营官

Herjavec集团

席琳Gravelines的照片

席琳Gravelines

高级网络安全分析师

编号

丹·马西森的照片

丹·马西森

市长

斯特拉特福德市

凯文交叉

网络运营协调

卡纳瓦克的莫霍克委员会

卡纳瓦克的莫霍克委员会

另外两名匿名贡献者

参考书目

2019年数据泄露调查报告. 威瑞森,2019年5月.

2019年中安全综述:规避的威胁,持续的影响. 趋势科技,2019.

艾布拉姆斯,劳伦斯. “Ryuk勒索软件使用唤醒局域网加密离线设备.” 哔哔声电脑, 1月14日. 2020.

艾布拉姆斯,劳伦斯. “Sodinokibi勒索软件首次发布被盗数据.” 哔哔声电脑, 1月11日. 2020.

考斯拉,詹妮弗,迈克尔·埃克斯特罗姆,劳伦·拉斯提,朱利安·塞克斯顿,约翰·斯威特纳姆. 数据完整性:检测和响应勒索软件和其他破坏性事件. NIST,简. 2020.

考斯拉,詹妮弗,迈克尔·埃克斯特罗姆,劳伦·拉斯提,朱利安·塞克斯顿,约翰·斯威特纳姆. 数据完整性:识别和保护资产免受勒索软件和其他破坏性事件的影响. NIST,简. 2020.

Cichonski P., T. 米勒,T. 光亮型和K. Scarfone. “电脑保安事故处理指南”.” SP 800 - 61转速. 2. NIST 8月. 2012.

Cimpanu,铸塑酚醛塑料. “公司因为勒索软件而关闭,假期前300人失业.” ZDNet, 1月3. 2020.

Cimpanu,铸塑酚醛塑料. 勒索软件袭击了美国主要数据中心提供商.” ZDNet, 12月5日. 2019.

定义:备份vs. 灾难恢复和. 高可用性.” CVM它 & 云服务, 1月12. 2017.

不要成为勒索软件的目标-负责任地保护你的RDP访问.” Coveware, 2019.

全球安全态度调查. CrowdStrike 2019.

安德鲁·格雷厄姆,. 报告称,9月份的网络攻击让伍德斯托克公司损失了近67000美元.” 全球新闻, 12月10. 2019.

哈里斯,K. 加州2016年数据泄露报告.” 加州司法部, 2月. 2016.

希斯考克斯2019年网络就绪报告. Hiscox英国,2019.

Ikeda,斯科特. “LifeLabs数据违反, 加拿大有史以来最大的, 公司可能因集体诉讼损失超过10亿美元.” CPO杂志, 2020.

克雷布斯,布莱恩. “勒索软件团伙现在盯上了不付款的受害者企业.” Krebson安全, 12月16日. 2019.

在网络攻击暴露了B国1500万名客户的信息后,LifeLabs支付了赎金.C. 和安大略.” CBC新闻, 12月17日. 2019.

马修斯,李. 路易斯安那州再次遭受重大勒索软件攻击.” 《澳博体育app下载》 11月20日. 2019.

“勒索软件在4个月内两次袭击学区.美联社9月10日报道. 2019.

“随着Ryuk, Sodinokibi的扩散,勒索软件的成本在第四季度翻了一番.” Coveware, 2019.

“随着公共部门成为勒索软件的目标,勒索软件支付增加,新的变体进入市场.” Coveware, 2019.

校长,凯文. 巴尔的摩将购买2000万美元的网络保险,以支付帮助该市从勒索软件中恢复的承包商.” 巴尔的摩太阳报, 10月16日. 2019.

罗森博格,马修,妮可珀罗斯,和大卫E. 桑格. “‘混乱就是重点’:俄罗斯黑客和喷子在2020年变得更偷偷.” 纽约时报, 1月10. 2020.

劳斯玛格丽特. “数据归档.” TechTarget的, 2018.

西格尔,雷切尔. 佛罗里达州政府将向黑客支付60万美元,以取回其电脑系统.” 《澳博体育app下载》 2019年6月20.

史密斯,艾略特. 英国银行遭到外汇公司通济隆的黑客攻击.” CNBC, 1月9日. 2020.

“勒索软件在美国的状况.S.: 2019年第一季度至第三季度报告.” Emsisoft恶意软件实验室, 10月1日.2019.

“勒索软件在美国的状况.S.: 2019年报告与统计.” Emsisoft实验室, 12月12. 2019.

“2020年的勒索软件状况.” 黑雾, 12月. 2020.

关于信息技术

信息技术研究集团是世界上发展最快的信息技术研究和咨询公司, 为超过30人服务,000年IT专业人员.

我们提供公正和高度相关的研究,以帮助cio和IT领导者制定战略, 及时的, 和消息灵通的决策. 我们与IT团队紧密合作,为他们提供所需的一切, 从可操作的工具到分析师指导, 确保他们为组织提供可衡量的结果.

会员等级

9.6/10
总体影响

$112,329
平均美元救了

16
平均一天救了

在每一次信息技术体验之后, 我们要求我们的成员量化实时储蓄, 货币的影响, 我们的研究帮助他们实现了项目改进.

读一读我们的会员在说什么

什么是蓝图?

蓝图被设计成路线图, 包含解决IT问题所需的方法、工具和模板.

每个蓝图都可以附带一个指导实施,该实现可以让您访问我们的世界级分析师,以帮助您完成项目.

需要额外的帮助?
尝试我们的引导实现

在这4个阶段的咨询过程中获得您需要的帮助. 您将获得与我们的研究人员的10个接触点,这些接触点都包含在您的会员名单中.

指导实现#1 -评估您的勒索软件准备就绪
  • 呼叫#1 -进行成熟度评估.
  • 调用#2 -检查选定的系统和依赖关系.

指导实施#2 -开展BIA以提高风险意识并设定恢复目标
  • 呼叫#1 -使用Info-Tech的业务影响分析工具记录系统和依赖关系.
  • 调用#2 -完成所选系统和数据集的影响分析.

指导实现#3 -创建一个勒索软件响应工作流和运行簿
  • 呼叫1号-记录你的威胁升级协议.
  • 呼叫#2 -使用桌面计划来确定应对步骤和差距.
  • 呼叫#3 -更新您的勒索软件响应工作流程和运行簿.

指导实现#4 -构建项目路线图以缩小差距
  • 电话#1 -确定改善勒索软件准备情况的措施.
  • 呼叫#2 -在项目路线图中为计划设定优先级.
  • 电话#3 -沟通你的现状和建议.

作者(年代)

弗兰克它起码

贡献者

  • 爱尔兰共和军戈尔茨坦, Herjavec集团首席运营官
  • 席琳Gravelines,加密公司高级网络安全分析师
  • 丹·马西森,斯特拉特福市市长
  • 凯文·克罗斯,Kahnawake莫霍克委员会网络运营协调员和IT团队负责人
  • 两个匿名的贡献者
访问我们的 COVID-19资源中心 和我们的 成本管理中心
超过100名分析师正等着接听您的电话: 1- x2019