NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

こんにちは、丸山満彦です。

NISTがNISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイルを公表しましたね。。。

2021年9月8日にドラフトを、2021年6月9日に暫定ドラフトが公表されていたものです。。。

サイバーセキュリティフレームワークに沿って検討されています。

内容的には特段新しいことはなく、リンクが中心ですが、それが良いと思います。既存の枠組みの中で、ちゃんと説明することが、現場には受け入れやすい。。。

 

● NIST - ITL

・2022.02.23 NISTIR 8374 Ransomware Risk Management: A Cybersecurity Framework Profile

Abstract

概要

Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. Attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. This Ransomware Profile identifies the Cybersecurity Framework Version 1.1 security objectives that support identifying, protecting against, detecting, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization’s level of readiness to counter ransomware threats and to deal with the potential consequences of events.

ランサムウェアは、攻撃者が組織のデータを暗号化し、アクセスを回復するために支払いを要求する悪質な攻撃の一種である。また、攻撃者は組織の情報を盗み、当局、競合他社、または公衆に情報を開示しない見返りとして、追加の支払いを要求することもあります。このランサムウェアプロファイルは、ランサムウェアの特定、保護、検出、対応、および回復をサポートするサイバーセキュリティフレームワーク バージョン 1.1 のセキュリティ目標を特定するものです。このプロファイルは、ランサムウェアのリスクを管理するためのガイドとして使用することができます。これには、ランサムウェアの脅威に対抗するための組織の準備レベルの評価や、イベントの潜在的な影響に対処するための支援も含まれます。

 

・[PDF] NISTIR 8374

 

1 Introduction	1 はじめに
1.1 The Ransomware Challenge	1.1 ランサムウェアの課題
1.2 Audience	1.2 想定読者
1.3 Additional Guidance Resources	1.3 その他のガイダンス資料
2 The Ransomware Profile	2 ランサムウェアのプロファイル
References	参考文献
Appendix A— Additional NIST Ransomware Resources	附属書 A- NIST のランサムウェアに関するその他のリソース

 

BASIC RANSOMWARE TIPS	ランサムウェアの基本的なヒント
Even without undertaking all of the measures described in this Ransomware Profile, there are some basic preventative steps that an organization can take now to protect against and recover from the ransomware threat. These include:	この「Ransomware Profile」に記載されているすべての対策を実施しなくても、ランサムウェアの脅威から保護し、回復するために組織が今すぐ実施できる基本的な予防措置がいくつか存在します。その内容は以下のとおりです。
1. Educate employees on avoiding ransomware infections.	1. ランサムウェアの感染を回避するための従業員教育を行う。
o Don’t open files or click on links from unknown sources unless you first run an antivirus scan or look at links carefully.	o アンチウイルス・スキャンを実行したり、リンクを注意深く確認したりしない限り、不明なソースからのファイルを開いたり、リンクをクリックしたりしないこと。
o Avoid using personal websites and personal apps – like email, chat, and social media – from work computers.	o 個人用ウェブサイトや個人用アプリ（電子メール、チャット、ソーシャルメディアなど）を業務用コンピュータから使用しないようにする。
o Don’t connect personally owned devices to work networks without prior authorization.	o 個人所有のデバイスを事前の承認なしに職場のネットワークに接続しない。
2. Avoid having vulnerabilities in systems that ransomware could exploit.	2. ランサムウェアに悪用されるような脆弱性をシステム内に持たないようにする。
o Keep relevant systems fully patched. Run scheduled checks to identify available patches and install these as soon as feasible.	o 関連するシステムには常に完全なパッチを適用する。利用可能なパッチを特定するために定期的なチェックを行い、可能な限り早くパッチをインストールする。
o Employ zero trust principles in all networked systems. Manage access to all network functions and segment internal networks where practical to prevent malware from proliferating among potential target systems.	o すべてのネットワークシステムにおいて、ゼロトラスト原則を採用する。すべてのネットワーク機能へのアクセスを管理し、内部ネットワークをセグメント化することで、マルウェアが潜在的なターゲットシステム間で拡散するのを防ぐ。
o Allow installation and execution of authorized apps only. Configure operating systems and/or third-party software to run only authorized applications. This can also be supported by adopting a policy for reviewing, then adding or removing authorized applications on an allow list.	o 許可されたアプリケーションのインストールと実行のみを許可する。許可されたアプリケーションのみが実行されるように、オペレーティングシステムやサードパーティソフトウェアを設定する。また、許可されたアプリケーションをレビューし、許可リストに追加・削除するポリシーを採用することで、これをサポートすることができる。
o Inform your technology vendors of your expectations (e.g., in contract language) that they will apply measures that discourage ransomware attacks.	o テクノロジーベンダに対して、ランサムウェアの攻撃を阻止するための対策を適用するよう期待することを（契約書などで）伝える。
3. Quickly detect and stop ransomware attacks and infections.	3. ランサムウェアの攻撃や感染を迅速に検知し、停止させる。
o Use malware detection software such as antivirus software at all times. Set it to automatically scan emails and flash drives.	o アンチウイルスソフトウェアなどのマルウェア検出ソフトウェアを常時使用する。電子メールやフラッシュドライブを自動的にスキャンするように設定する。
o Continuously monitor directory services (and other primary user stores) for indicators of compromise or active attack.	o ディレクトリサービス（およびその他のプライマリユーザーストア）を継続的に監視し、侵害や活発な攻撃の兆候を確認する。
o Block access to untrusted web resources. Use products or services that block access to server names, IP addresses, or ports and protocols that are known to be malicious or suspected to be indicators of malicious system activity. This includes using products and services that provide integrity protection for the domain component of addresses (e.g., hacker@poser.com).	o 信頼できない Web リソースへのアクセスをブロックする。悪意のあることが知られている、または悪意のあるシステム活動の指標となる疑いがあるサーバー名、IPアドレス、またはポートおよびプロトコルへのアクセスをブロックする製品またはサービスを使用する。これには、アドレスのドメインコンポーネントに対して完全性保護を提供する製品やサービス（例：hacker@poser.com）を使用することも含まれます。
4. Make it harder for ransomware to spread.	4. ランサムウェアの拡散を困難にする。
o Use standard user accounts with multi-factor authentication versus accounts with administrative privileges whenever possible.	o 可能な限り、管理者権限を持つアカウントではなく、多要素認証を持つ標準的なユーザーアカウントを使用する。
o Introduce authentication delays or configure automatic account lockout as a defense against automated attempts to guess passwords.	パスワードの自動推測に対する防御策として、認証の遅延を導入したり、自動的なアカウントロックアウトを設定する。
o Assign and manage credential authorization for all enterprise assets and software, and periodically verify that each account has only the necessary access following the principle of least privilege.	すべての企業資産とソフトウェアにクレデンシャル認証を割り当てて管理し、最小特権の原則に従って各アカウントが必要なアクセス権のみを持っていることを定期的に検証する。
o Store data in an immutable format (so that the database does not automatically overwrite older data when new data is made available).	o データを不変の形式で保存する（新しいデータが利用可能になったときに、データベースが自動的に古いデータを上書きしないようにする）。
o Allow external access to internal network resources via secure virtual private network (VPN) connections only.	o 安全な仮想プライベートネットワーク（VPN）接続を介してのみ、内部ネットワークリソースへの外部アクセスを許可する。
5. Make it easier to recover stored information from a future ransomware event.	5. ランサムウェアが発生した場合、保存されている情報の復旧を容易にする。
o Make an incident recovery plan. Develop, implement, and regularly exercise an incident recovery plan with defined roles and strategies for decision making. This can be part of a continuity of operations plan. The plan should identify mission-critical and other business-essential services to enable recovery prioritization, and business continuity plans for those critical services.	o インシデントリカバリープランを作成する。意思決定のための役割と戦略を定義したインシデントリカバリープランを作成し、実施し、定期的に演習する。これは、事業継続計画の一部とすることができる。この計画では、ミッションクリティカルなサービスやその他のビジネス上不可欠なサービスを特定し、復旧の優先順位付けと、それらの重要なサービスの事業継続計画を可能にする必要があります。
o Back up data, secure backups, and test restoration. Carefully plan, implement, and test a data backup and restoration strategy—and secure and isolate backups of important data.	o データのバックアップ、バックアップの保護、復旧のテスト。データのバックアップと復元戦略を慎重に計画、実施、テストし、重要なデータのバックアップを保護、分離する。
o Keep your contacts. Maintain an up-to-date list of internal and external contacts for ransomware attacks, including law enforcement, legal counsel, and incident response resources.	o 連絡先を確保する。法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する社内外の連絡先の最新リストを維持する。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル（暫定草案）