CSA GCR：2022基于NIST网络安全框架的勒索软件风险管理内部报告（35页）.pdf

1、2022 云安全联盟大中华区-版权所有12022 云安全联盟大中华区-版权所有2目目录录致 谢.3基于 NIST 网络安全框架的勒索软件风险管理内部报告.4摘要.5关键词.51.引言.51.1 勒索软件的挑战.51.2 适用对象.81.3 其他指导性资源.92、勒索软件风险管理.9参考文献：.33附录 A.342022 云安全联盟大中华区-版权所有3致致 谢谢云安全联盟大中华区（简称：CSA GCR）隐私与个人信息保护法律工作组在2021 年 4 月成立。由原浩、方婷担任工作组联席组长，工作组专家来自竹辉律师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟科技、美云智数、上海

2、 CA、上海网综所、埃森哲、亚萨合莱、360 政企安全、软通动力信息、艾贝链动等十多个单位。本报告由 CSA 大中华区隐私与个人信息保护法律 工作组专家翻译，感谢以下专家的贡献（排名不分先后）：联席组长：原 浩原创作者：高健凯贺志生 张元恺 沈 勇审核专家：郭鹏程赵 晔原 浩姚 凯研究协调员：高健凯贡献单位：北森云计算有限公司原文作者：William C. Barker、William Fisher、Karen Scarfone 和 MurugiahSouppaya 版权、专利和其他原始权利归属于 NISTIR 8374 中所指称的相关方。（出版物的声明部分从略）关于研究工作组的更多介绍，请在

3、 CSA 大中华区官网（https:/c- 上查看，如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正!联系邮箱： researchc-；云安全联盟 CSA 公众号：2022 云安全联盟大中华区-版权所有4基基于于 N NI IS ST T 网网络络安安全全框框架架的的勒勒索索软软件件风风险险管管理理内内部部报报告告（N NI IS ST TI IR R 8 83 37 74 4）中文版说明2022 年 2 月，美国商务部下设的国家标准与技术研究所（NIST）发布了最终版基于 NIST 网络安全框架的勒索软件风险管理内部报告，这是对 2020 年以来重大勒索攻击事件从技术和管

4、理层面的整体策略回应，同时也是履行其基于 2014年网络安全促进法和制定、完善提升关键基础设施网络安全框架（Framework for Improving Critical Infrastructure Cybersecurity，2018 年 1.1 版本，本文统称网络安全框架，下同）的行政职责。CSA 大中华区隐私与个人信息保护法律工作组翻译了该文件（有删减），以期对国内的关键信息基础设施保障和提高应对勒索攻击的能力上有所借鉴，特别是在支持关键信息基础设施安全保护条例制度落地的方法论和策略方面，且在具体的应用场景上与网络安全等级保护的措施形成有益的补充和对照。值得注意的是，本报告的风险控制

5、主要是在组织层面实现，这与关键信息基础设施安全保护条例专章突出行业、领域的保护工作部门的机制有所不同，企业在参考时应予以关注和区别。2022 云安全联盟大中华区-版权所有5摘摘 要要勒勒索索软软件件（攻攻击击）是一种恶意攻击，攻击者加密组织的数据，并要求付款以恢复访问。攻击者也可能窃取组织的信息，并要求额外的付款，以换取不向当局、竞争对手或公众披露信息。本报告确定了网络安全框架 1.1 版下的安全目标，支持识别、防范、检测，以应对勒索软件事件并从中恢复。本报告可作为管理勒索软件事件风险的指南，为衡量组织在应对勒索软件威胁和处理事件潜在后果方面的准备程度提供支持。关关键键词词网络安全框架；检测；

6、识别；保护；勒索软件；恢复；响应；风险；安全1.引引言言本报告可帮助组织和个人管理勒索软件事件的风险，为衡量组织在应对勒索软件威胁和处理事件潜在后果方面的准备程度提供支持；也可作为是改善网络安全的契机，帮助挫败勒索软件（攻击等威胁）。本报告确定了提升关键基础设施网络安全框架1.1 版下的安全目标，支持识别、防范、检测，以应对勒索软件事件并从中恢复。1.1 勒勒索索软软件件的的挑挑战战勒索软件是一种恶意软件，它加密组织的数据，并要求付款作为恢复对该数据访问的条件。勒索软件还可以用来窃取组织的信息，并要求支付额外的费用，以换取不将信息披露给当局、竞争对手或公众。勒索软件攻击的目标是组织的数据或20