勒索軟體防護成熟度自評說明 - 使用美國CISA CSET RRA軟體模組
- 發布單位:TWCERT/CC
- 更新日期:2023-01-05
- 點閱次數:5897
![勒索軟體防護成熟度自評說明 - 使用美國CISA CSET RRA軟體模組 (Version 1.0)](/Public/Images/202107/9872107071754f3e63.png)
美國CISA將資訊安全評估工具(CSET)納入新模組 - 勒索軟體防護機制自評工具(RRA),協助組織評估應對勒索軟體時的防禦與恢復能力。建議企業組織利用CSET RRA工具模組進行自我評估,本文亦提供安裝步驟與使用說明。
1. 簡介
為了因應日益猖獗的勒索軟體攻擊,美國國土安全及基礎設施安全局 (Cybersecurity and Infrastructure Security Agency,CISA) 的資訊安全評估工具 (Cyber Security Evaluation Tool,CSET) 已納入新模組 – 勒索軟體防護機制自評工具(Ransomware Readiness Assessment, RRA),協助組織診斷自身資安防護機制是否健全與足夠應對勒索軟體攻擊。
CSET為一評估工具之平台,可協助組織根據不同的成熟度評估模組 (如: ACET、CMMC、EDM、RRA),系統性的評估組織資訊安全性。而RRA則是CSET的新增模組,專門用來評估組織應對勒索軟體時的防禦與恢復能力, RRA亦納入不同等級的勒索軟體威脅防護成熟度,藉以評估組織應對勒索軟體攻擊的狀況。評估結果以透過儀表板的圖形與表格方式呈現評估結果,其中亦包含摘要與細節,提供增強防護之建議。
RRA評估模組以下列十大防護面向進行組織自評:
(1)、Robust Data Backup (DB),備份機制:檢視備援政策的適當性,如採用定期與自動化資料與系統設定備份,並以安全方式儲存 (加密)等。
(2)、Web Browser Management and DNS Filtering (BM),瀏覽器管理與DNS過濾機制:檢視瀏覽器管理與DNS過濾機制,即時過濾與可疑惡意域名的連線。
(3)、Phishing Prevention and Awareness (PP),釣魚威脅防治:檢視反釣魚防護機制措施,並定期於組織內進行提升釣魚威脅意識之教育訓練。
(4)、Network Perimeter Monitoring (NM),網路邊界監控:檢視網路邊界監控機制,採用可結合威脅情資與入侵指標(IoC)之網路防護設備,並即時監控與防堵可疑網路流量。
(5)、Asset Management (AM),資產管理:檢視資產管理政策,如定期盤點更新組織資產設備,並移除已不被支援的軟體與硬體設備等。
(6)、Patch and Update Management (PM),更新修補管理:檢視設備軟體與韌體更新管理機制,如定期置換已不被支援的OS、應用程式及硬體設備等。
(7)、User and Access Management (UM),使用者存取控管:檢視使用者權限管理政策,如採取帳戶最小權限原則、密碼強度政策及監控分析使用者異常行為等。
(8)、Application Integrity and Allowlist (AI),應用程式安全性:訂定組織可允許使用之應用程式清單,並定期檢視應用程式檔案的完整性等。
(9)、Incident Response (IR),資安事件應變:檢視資安事件處理計畫,並定期進行資安事件演練。
(10)、Risk Management (RM),風險管理:檢視組織提升資安威脅意識政策,如定期進行教育訓練與演練等。
RRA評估項目分為‘Basic’、‘Intermediate’與‘Advanced’三個成熟度等級,旨在提供組織了解目前各等級防護成熟度與改善措施之優先度。建議會員可依序完成‘Basic’等級之所有措施之後再持續完善‘Intermediate’與‘Advanced’之防護措施。相關各等級對應之問題可於‘Deficiency Report’中檢視,建議措施細節可參照‘RRA report’。
2. 安裝與使用說明
美國CISA已透過GitHub釋出含有RRA模組之CSET自評工具,TWCERT/CC建議企業組織利用此工具進行自我評估。
以下為安裝步驟與使用說明:
(1)、透過美國CISA官網或GitHub下載並安裝CSET。請參考美國CISA官網、GitHub網站。
(2)、啟動CSET應用程式。
(3)、點選‘Start a New Assessment’建立新評估專案,如圖1所示。
圖1、建立新評估專案
(4)、於Assessment Options勾選‘Maturity Model’並點擊‘Next’按鈕,如圖2所示。
圖2、選取Maturity Model
(5)、從左邊選單點選‘Maturity Models’,並勾選Ransomware Readiness Assessment項目,點擊‘Next’按鈕,如圖3所示。
圖3、選取Ransomware Readiness Assessment
(6)、從左邊選單點選‘Assessment’的‘Practices’子項目後,可根據RRA之十大項目(表一的DB、BM、PP、NM、AM、PM、AI、UM、IR、RM)的細節問題進行自評 (藍框處),‘符合’點選‘YES’、‘不符合’點選‘NO’、或是不確定則點擊‘旗幟’,完成後點擊‘Next’按鈕,如圖4所示。
圖4、自評畫面
(7)、評估結果畫面,包含各大項防護措施的達成度 (長條圖與表格),點擊‘Next’按鈕,如圖5、圖6所示。
圖5、各項評估結果1 (長條圖) (示意圖)
圖6、各項評估結果2 (表格) (示意圖)
(8)、RRA成熟度等級(圖7),以及各級防護成熟度評估結果(圖8、圖9)。點擊‘Next’。
圖7、RRA成熟度分級圖
圖8、‘Basic’、‘Intermediate’、‘Advanced’各級項目成熟度 (長條圖) (示意圖)
圖9、‘Basic’、‘Intermediate’、‘Advanced’各級項目成熟度 (圓餅圖) (示意圖)
(9)、RRA報告下載,如圖10所示。
圖10、RRA報告下載。
‘RRA Report’ 為整體評估報告,包含:
- 整體評估分數與各等級成熟度(圖11),呈現組織於各等級與總體成熟度概觀。
- 各項評估結果(圖5、圖6),呈現RRA十大評估項目的各項成熟度。
- 建議改善項目(圖12),呈現RRA十大評估項目最低至最高成熟度排名,提供組織檢視優先改善的項目。
- 十大項目完成度(圖13),呈現RRA十大評估項目的各項完成比例。
- RRA成熟度分級圖(圖7),呈現RRA的‘Basic’、‘Intermediate’與‘Advanced’三個等級機制,提供組織了解目前各等級防護成熟度與改善措施之優先度。建議會員可依序完成‘Basic’等級之所有措施之後再持續完善‘Intermediate’與‘Advanced’之防護措施。
- ‘Basic’、‘Intermediate’、‘Advanced’各級項目成熟度 (圖8、圖9),呈現各等級的成熟度。
- 各問題的細節、建議措施與參考資料。白底為自評‘符合’的項目(圖14),紅底為自評‘不符合’的項目(圖15),提供組織了解各問題針對的防護措施內容及參考資訊。
‘RRA Deficiency Report’為未達成之防護項目,包含:
- 建議改善項目(圖12),呈現RAA十大評估項目最低至最高成熟度排名,提供組織檢視優先改善的項目。
- 回答‘不符合’的各個問題清單(依照等級分類)(圖16)。
‘Comments and Marked for Review’為自評階段選取‘不確定’的項目清單(圖17)。
‘Observations Tear-out Sheet’為含有自評組織的基本資訊頁(圖18)。
圖11、整體評估分數與各等級成熟度 (示意圖)
圖12、建議改善項目 (示意圖)
圖13、十大項目完成度 (示意圖)
圖14、自評 為‘符合’的項目與細節說明
圖15、自評為‘不符合’的項目與細節說明
圖16、自評為‘不符合’的項目清單 (依照等級分類) (示意圖)
圖17、自評階段選取‘不確定’的項目清單 (示意圖)
圖18、自評組織的基本資訊 (示意圖)
相關連結
檔案下載
- 勒索軟體防護成熟度自評說明 - 使用美國CISA CSET RRA軟體模組 (Version 1.0)PDF