1. 簡介
為了因應日益猖獗的勒索軟體攻擊,美國國土安全及基礎設施安全局 (Cybersecurity and Infrastructure Security Agency, CISA) 的資訊安全評估工具 (Cyber Security Evaluation Tool, CSET) 已納入新模組 – 勒索軟體防護機制自評工具(Ransomware Readiness Assessment, RRA),協助組織診斷自身資安防護機制是否健全與足夠應對勒索軟體攻擊。
CSET為一評估工具之平台,可協助組織根據不同的成熟度評估模組 (如: ACET、CMMC、EDM、RRA),系統性的評估組織資訊安全性。而RRA則是CSET的新增模組,專門用來評估組織應對勒索軟體時的防禦與恢復能力, RRA亦納入不同等級的勒索軟體威脅防護成熟度,藉以評估組織應對勒索軟體攻擊的狀況。評估結果以透過儀表板的圖形與表格方式呈現評估結果,其中亦包含摘要與細節,提供增強防護之建議。
RRA評估模組以下列十大防護面向進行組織自評:
1. Robust Data Backup (DB), 備份機制:
檢視備援政策的適當性,如採用定期與自動化資料與系統設定備份,並以安全方式儲存 (加密)等。
2. Web Browser Management and DNS Filtering (BM), 瀏覽器管理與DNS過濾機制:
檢視瀏覽器管理與DNS過濾機制,即時過濾與可疑惡意域名的連線。
3. Phishing Prevention and Awareness (PP), 釣魚威脅防治:
檢視反釣魚防護機制措施,並定期於組織內進行提升釣魚威脅意識之教育訓練。
4. Network Perimeter Monitoring (NM), 網路邊界監控:
檢視網路邊界監控機制,採用可結合威脅情資與入侵指標(IoC)之網路防護設備,並即時監控與防堵可疑網路流量。
5. Asset Management (AM), 資產管理:
檢視資產管理政策,如定期盤點更新組織資產設備,並移除已不被支援的軟體與硬體設備等。
6. Patch and Update Management (PM), 更新修補管理:
檢視設備軟體與韌體更新管理機制,如定期置換已不被支援的OS、應用程式及硬體設備等。
7. User and Access Management (UM), 使用者存取控管:
檢視使用者權限管理政策,如採取帳戶最小權限原則、密碼強度政策及監控分析使用者異常行為等。
8. Application Integrity and Allowlist (AI), 應用程式安全性:
訂定組織可允許使用之應用程式清單,並定期檢視應用程式檔案的完整性等。
9. Incident Response (IR), 資安事件應變:
檢視資安事件處理計畫,並定期進行資安事件演練。
10. Risk Management (RM), 風險管理:
檢視組織提升資安威脅意識政策,如定期進行教育訓練與演練等。
RRA評估項目分為 ‘Basic’、 ‘Intermediate’與 ‘Advanced’ 三個成熟度等級,旨在提供組織了解目前各等級防護成熟度與改善措施之優先度。建議會員可依序完成 ‘Basic’等級之所有措施之後再持續完善 ‘Intermediate’與 ‘Advanced’ 之防護措施。相關各等級對應之問題可於 ‘Deficiency Report’中檢視,建議措施細節可參照 ‘RRA report’。
2. 安裝與使用說明
美國CISA已透過GitHub釋出含有RRA模組之CSET自評工具,TWCERT/CC建議企業組織利用此工具進行自我評估。以下為安裝步驟與使用說明。
1. 透過美國CISA官網或GitHub下載並安裝CSET。請參考: 美國CISA官網、GitHub網站。
2. 啟動CSET應用程式。
3. 點選 ‘Start a New Assessment’ 建立新評估專案,如圖1所示。
圖1、建立新評估專案
4. 於Assessment Options勾選 ‘Maturity Model’並點擊 ‘Next’ 按鈕,如圖2所示。
圖2、選取Maturity Model
5. 從左邊選單點選 ‘Maturity Models’,並勾選Ransomware Readiness Assessment項目,點擊 ‘Next’ 按鈕,如圖3所示。
圖3、選取Ransomware Readiness Assessment
6. 從左邊選單點選 ‘Assessment’ 的 ‘Practices’ 子項目後,可根據RRA之十大項目(表一的DB、BM、PP、NM、AM、PM、AI、UM、IR、RM)的細節問題進行自評 (藍框處): ‘符合’ 點選 ‘YES’、 ‘不符合’點選 ‘NO’、或是不確定則點擊 ‘旗幟’,完成後點擊 ‘Next’ 按鈕,如圖4所示。
圖4、自評畫面
7. 評估結果畫面,包含各大項防護措施的達成度 (長條圖與表格),點擊 ‘Next’ 按鈕,如圖5、圖6所示。
圖5、各項評估結果1,(長條圖) (示意圖)
圖6、各項評估結果2、(表格) (示意圖)
8. RRA成熟度等級(圖7),以及各級防護成熟度評估結果(圖8、圖9)。點擊 ‘Next’。
圖7、RRA成熟度分級圖
圖8、 ‘Basic’ 、 ‘Intermediate’、 ‘Advanced’各級項目成熟度 (長條圖) (示意圖)
圖9、 ‘Basic’ 、 ‘Intermediate’、 ‘Advanced’各級項目成熟度 (圓餅圖) (示意圖)
9. RRA報告下載,如圖10所示。
圖10、RRA報告下載。
- ‘RRA Report’ 為整體評估報告,包含:
- 整體評估分數與各等級成熟度(圖11)
- 呈現組織於各等級與總體成熟度概觀。
- 各項評估結果(圖5、圖6)
- 呈現RRA十大評估項目的各項成熟度。
- 建議改善項目(圖12)
- 呈現RRA十大評估項目最低至最高成熟度排名,提供組織檢視優先改善的項目。
- 十大項目完成度(圖13)
- 呈現RRA十大評估項目的各項完成比例。
- RRA成熟度分級圖(圖7)
- 呈現RRA的 ‘Basic’、 ‘Intermediate’與 ‘Advanced’ 三個等級機制,提供組織了解目前各等級防護成熟度與改善措施之優先度。建議會員可依序完成 ‘Basic’等級之所有措施之後再持續完善 ‘Intermediate’與 ‘Advanced’ 之防護措施。
- ‘Basic’ 、 ‘Intermediate’、 ‘Advanced’各級項目成熟度 (圖8、圖9)
- 呈現各等級的成熟度。
- 各問題的細節、建議措施與參考資料。白底為自評 ‘符合’的項目(圖14),紅底為自評 ‘不符合’的項目(圖15)
- 提供組織了解各問題針對的防護措施內容及參考資訊。
- 整體評估分數與各等級成熟度(圖11)
- ‘RRA Deficiency Report’為未達成之防護項目,包含:
- 建議改善項目(圖12)
- 呈現RAA十大評估項目最低至最高成熟度排名,提供組織檢視優先改善的項目。
- 回答 ‘不符合’ 的各個問題清單(依照等級分類) (圖16)
- 建議改善項目(圖12)
- ‘Comments and Marked for Review’為自評階段選取 ‘不確定’的項目清單 (圖17)
- ‘Observations Tear-out Sheet’為含有自評組織的基本資訊頁(圖18)
圖11、整體評估分數與各等級成熟度(示意圖)
圖12、建議改善項目(示意圖)
圖13、十大項目完成度(示意圖)
圖14、自評 為‘符合’的項目與細節說明
圖15、自評為 ‘不符合’的項目與細節說明
圖16、自評為 ‘不符合’的項目清單 (依照等級分類) (示意圖)
圖17、自評階段選取 ‘不確定’的項目清單(示意圖)
圖18、自評組織的基本資訊(示意圖)
留言列表