I. 背景

1.国内外恐喝攻撃地形

身代金攻撃の件数は世界的に高水準が続いている。の「2022年1月1日のロールオーバー更新から国際サイバー賠償責任保険市場の動向を厳選」にサイバー身代金被害額の可視化が掲載されている。サイバーセキュリティ保険損害全体に占める割合は増加しており、業界の損害構造は2019年の30%未満から2021年には80%近くまで激変している。

身代金攻撃による損失は、主に事業の中断と身代金の支払いによるものである、データ侵害3つの側面IBMの2023年版レポート『The Cost of a Data Breach』によると、世界平均の身代金支払額は170万ドル、世界平均の事業中断コストは265万ドル、世界平均のデータ漏洩コストは420万ドルである。

国内の企業に対する身代金攻撃は少なくないが、いずれも秘密裏に対処し、漏洩を厳重に防ぐことを選択している。近年、銀行や証券業界の規制当局は、ランサムウェア攻撃を防止するための要件や通知を発行しており、企業の指導者は繰り返し良好な保護の必要性を強調している。最近、規制当局からさらに詳細なガイドが届いた。

(ⅱ)身代金攻撃業界のののののののののののののの

攻撃者はなぜ身代金攻撃を選ぶのか？

第一に、高報酬と低リスク：身代金攻撃は短期間で高報酬を得られることが多い。ー身代金攻撃はー他のー他のー他のー他のー身代金の支払いに暗号通貨を使用すると、金融機関や法執行機関による追跡を効果的に回避できるため、攻撃者が処罰されない可能性が高まります。

第二に、標的が広く、実行が容易である。身代金攻撃の標的は幅広く、個人ユーザー、企業、医療機関、政府機関などに向けられる。身代金攻撃は通常、洗練されたランサムウェア・ツールを使用し、その入手や使用は容易であることが多い。

第三に、情報はかけがえのないものである。組織や個人によっては、特に固有の知的財産権、顧客情報、研究データなどに関しては、そのデータはかけがえのないものかもしれない。

第四に、防御の欠如である。組織や個人の中には、効果的なバックアップ戦略や安全保護身代金攻撃を受けやすくなる。

3.業界における身代金攻撃の状況

国内企業の出現情報セキュリティーインシデントが発生すると、そのほとんどはニュースを遮断し、影響を排除する戦略をとる。その結果、身代金要求攻撃の事例が公開されることはまれだが、関連する事件がセキュリティ界隈で散発的に聞かれることは多い。その結果、セキュリティチームが企業のトップに報告する際、明確で詳細な事例がほとんどないため、企業セキュリティの構築とセキュリティ業界の発展を穏健に推進することができない。

例えば、ある証券が営業時間外に恐喝され、市場が開く前に処分を完了させるため、週末に24時間体制で残業をした。

二、実地訓練推論

1.身代金攻撃に対する疑念と誤解

アンチウイルスは身代金攻撃から身を守れるのか？技術的な第一人者がいれば、身代金攻撃から身を守れますか？コンティンジェンシープランがあれば、身代金攻撃から身を守れますか？サンドボックスの訓練をしていれば、身代金攻撃から身を守れますか？包括的な情報セキュリティ保護システムがあれば、身代金攻撃から身を守ることができますか？

いくつかの共通の認識は、ウイルスを殺すために、端末内の身代金攻撃のサンプルを研究し続けること、ゲートウェイ、トラフィック、端末をカバーするために "4ステップアプローチ "を使用するには、身代金攻撃の綿密な保護システムの確立、身代金攻撃は、攻撃の前提であり、問題に焦点を当てる必要があり、コンティンジェンシープランで良い仕事をする......

身代金要求攻撃が起きて初めて、いわゆる仕様書を誰も読んでいないこと、緊急時対策が機能していないこと、運用手順を覚えていないこと、誰も電話に出ないこと、サンプルがアンチウィルスをバイパスすること、そしてサンプルがアンチウィルスをバイパスできることがわかる。イベント・データ・レコーダーコマンド・パラメーターが機能しないことが判明し、ネットワーク・ブロッキングが有効でないことが判明し、人員能力がこれであることが判明し、結果がこれであることが判明した......。

2.身代金攻撃に直面した際のベストプラクティス

身代金攻撃に直面した場合の留意点：企業は、規制、企業、予算、人員、時間などの主要因を踏まえ、自社に適した選択を行う必要がある。証券業界については、規制上、身代金攻撃対策に関する要件が明確であり、インシデント事例の噂もあることから、大規模なセキュリティリスクの排除については、企業は概ね協力的であり、予算は大きな問題ではないが、人員と時間が極めて不足している。

ランサムウェアに立ち向かうためのいくつかの選択肢：1つはただ横になっていること、もう1つは身代金攻撃を仕掛けることである。緊急対応第3に、身代金攻撃緊急対応プログラムを策定し、サンドボックス演習を実施すること、第4に、身代金攻撃緊急対応プログラムを策定し、本番演習を実施することである。

最高のROIプログラムは、セキュリティチームが一緒に運用とメンテナンス、研究開発を引っ張ることで、実戦的な演習に従事するが、リスクコントロールに注意を払うことです。実戦は常に最も効果的で根拠のある方法であり、私は多くの同業者が実戦から721ルール、70%の成長を知っていると信じています。存在するサイバーセキュリティ世の中の、何かがうまくいかなかったからといって、その結果が良かったとは限らない。攻撃されず、トラブルにならなかったということは、運が良かったということだ。攻撃されてもきちんと処分することこそが、本当に良いことなのだ。

実銃の実戦練習こそが、真の実力をつける唯一の方法なのだ。恐喝ターゲットディフェンスライン

III.実践的エクササイズ・プログラム

実銃」を出発点として、リアルさ、制御性、技術の進歩という原則に従い、再現性の高い恐喝訓練を開発し、実施した。

1.実習の目的

身代金攻撃は、最も現実の状況に近く、最も良い結果をもたらし、チームの戦闘能力を向上させる最も効果的な方法であるが、最も困難でコストがかかることも紛れもない事実である。従って、身代金訓練の計画を立てる前に、改めて身代金訓練の目的を明確にする必要がある。今回の恐喝訓練の目的を以下のようにまとめてみた：

1. 1. 1. この段階で、身代金保護対策の有効性と防御の有効性を評価する；

      2. 身代金攻撃に対するセキュリティ・チームの真の対応レベルを評価する（日常的には少し浮いている）；

      3. 身代金攻撃に悪用される可能性のあるセキュリティリスクを特定し、タイムリーに修正する；

      4. 身代金攻撃に直面した場合の緊急対応能力とビジネスの回復力を評価する；

      5. 身代金攻撃緊急対応プログラムの運用性と有効性を評価する；

      6. 会社の従業員に身代金攻撃のセキュリティに対する意識を高める。

2.実習の原則

技術の進歩。ー身代金攻撃訓練ではー身代金攻撃訓練ではー身代金攻撃訓練ではー身代金攻撃訓練ではー身代金攻撃訓練ではー身代金攻撃訓練ではー身代金攻撃訓練訓練ー身代金攻撃訓練ー身代金攻撃訓練ー身代金攻撃訓練ー身代金攻撃訓練ー身代金攻撃訓練ー身代金攻撃訓練ー身代金攻撃訓練ーー私たちはー実際のー実のー身代金攻撃のー攻撃のー攻撃のー攻撃のー攻撃のー攻撃のー攻撃のー攻撃のー攻撃手法ーとーサンプルーーー手動＋ー＋ー自動化ツールーソーシャルワーカーをーソーソーシャルワーカーー配信ーー

3.実践的な練習プロセス

身代金攻撃訓練の全プロセスを「計画」「準備」「実行」「結論」の4段階に分け、実戦的な身代金攻撃訓練の計画を策定する：

計画段階

この段階では、まず運動の目的を定義し、関係者全員のコンセンサスをまとめる；

第2段階は、既存の資産セグメント、ネットワーク・トポロジー、セキュリティ製品の配備場所と配備範囲に基づいて、セキュリティの現状を評価することである。この評価によって、ネットワーク・アーキテクチャ全体の弱点とセキュリティ・レベルを大まかに理解することができ、その後の緊急時対応計画の策定に役立つ；

その上で、演習時間の決定、演習の目的、オフィスエリア、テストエリアなどの演習範囲の決定、演習のスクリプトの作成、攻撃者のTTPの初期決定などを行う必要がある；

そして、人員とリソースの確認である。攻撃・評価チーム、防御チーム、リソーススケジュールチームなど、演習の指揮部門を立ち上げ、「インサイダー」「アクター」などを手配するかどうかなど、人員の確認が必要だ。演習のためのリソースの確認は、どのネットワークセグメントや資産が使用可能かといった詳細なものでなければならない。

最終的に、運動計画とタイムポイントは実行可能な形で落とし込まれる。

準備段階

この段階では、攻撃の成功に備え、同時にリスクコントロールの向上を主目的とする攻撃側と、コンティンジェンシープランを策定する必要のある守備側に分かれる。

攻撃側は、まずシミュレーション環境を構築する必要があり、仮想端末と実端末を組み合わせて、演習に必要な仮想環境を構築するのに適切でありながら、実環境の一部を保持し、恐喝の侵攻プロセスや支隊の緊急対応プロセスをシミュレートできるだけでなく、演習の効果を身売りすることができ、プロセスの各段階のプロセスが円滑に実施されるようにする。第二に、計画段階のTTPに従って、関連する攻撃ツールと技術を準備し、模擬ウイルスの有効性と制御可能性を検証する。 同時に、リハーサルのテンポの制御可能性と可視化を考慮し、ワンキーでウイルスの配置とクリーンアップを実現し、リハーサルの過程で効果をリアルタイムで表示するための支援プラットフォームを配備し、テストする必要がある。準備段階全体を貫くのは、模擬ウイルスの制御、リハーサル要員の安全、リハーサルホワイトリストの管理などのメカニズムを含むリスク制御である。管理および練習のホワイトリストのメカニズム。

防衛省が緊急事態計画を策定した後、緊急事態評価チームの指導のもとで修正し、最終的に出力する。

実施段階

準備完了後、攻撃チームは "約束通り "ニアソース、メールフィッシングなどの手段でリハーサル・シミュレーション環境に攻撃を仕掛け、シミュレーションしたランサムウェア・ウイルスを配信し、決められた時間に拡散を開始する。

この間、防衛チームは配備されたセキュリティ機器を使用して攻撃を検知する。模擬ウイルスの発生後、身代金要求訓練は正式に緊急対応プロセスに入り、この段階でのセキュリティレベルと緊急対応計画の有効性が徹底的にテストされる。

実施段階を通じて、緊急事態評価チームは、演習全体からのデータや情報の収集・分析に加えて、防衛隊の緊急事態対応能力を採点し、緊急事態対応プロセスを通じて防衛隊を指導する。

総括段階

訓練の結果とデータを基に、「身代金訓練攻撃報告書」、「身代金訓練緊急対応報告書」、「身代金訓練総括報告書」を作成し、報告書と検討会を通じて、身代金訓練の有効性と価値を総括・評価し、その結果とデータを参考に、企業のセキュリティの改善・強化策を提示し、企業のセキュリティ防御アーキテクチャと戦略を更新・改善します。

実習の効果

全体として、今回の実践練習で「できると思う」から「できると思う」へと意識が変化したようだし、実践練習で露呈した問題点は非常に包括的だ。

1,コンティンジェンシー・プランニング私はできると思う

理論的に可能な」道は、長い間、落とし穴だらけだった。

準備段階では、ランサム攻撃セキュリティ管理仕様書、ランサム攻撃緊急対応手順書、ランサム攻撃緊急運用マニュアル、ランサム攻撃垂直防御スキームの策定・改訂、ランサム攻撃緊急対応ツールキットの作成、さらには事前にサンドボックスリハーサルを行い、ランサム攻撃サンドボックスリハーサル報告書の作成も行った。また、身代金攻撃のリハーサルでは、サンプルの制御性を確認することも重要である。

しかし、規範、プログラム、プロセス、マニュアル、ツールキットと有効性は決してイコールではないし、時には何の関係もないこともある。大人がよく言うように、理論的には問題なく、理にかなっているが、実際には必ずしもそうではない。

2.急处置私はできると思う。

この段階になると、いくつかの問題が現れ始めるが、この時点ではまだ「大した問題ではない」と感じている：

アラームのバイパスセキュリティ・システムが効果的であるためには、本物のセキュリティ・システムであること、資産がカバーされていること、ポリシーが更新されていること、アラームが作動していること、要員がオンラインであることなど、多くの前提条件があるが、この演習では、明らかなアラーム・バイパスがあった。

不適切な廃棄。緊急対応が日常業務で発生することは極めて稀であり、実践的な経験を積むことは難しい。経験不足のため、理論と実践の間に非常に深刻な断絶が生じることがある。例えば、ネットワーク停止後のリモート・トラブルシューティングの方法などである。

ブロッキングに時間がかかりすぎる。緊急遮断のプロセスには複数のチームの連携が必要であり、一度確立されたチャンネルを最低限しか使用しないため、実際に連絡を受けたときに電話がかかってきたり、スタッフが休暇に入ったりするなどの問題が生じる。

3,物事の起源を調べる。私はできると思った。

攻撃されることが怖いのではなく、攻撃源を見つけられず、何が自分を攻撃しているのかわからないことが一番怖いのだ。トレースの段階で生じた問題は、警鐘である：

検知できない。身代金攻撃がセキュリティシステムの保護を迂回する場合、セキュリティ担当者がランサムウェアに関する十分な深い知識と緊急対応の豊富な経験を持ち、迅速にトラブルシューティングを行えることが必要であるという問題は、やはり実務経験から生じている。GPTに依頼することで問題の一部は解決できるが、その効果は限定的である。

不完全な証拠収集。不適切な廃棄は、重要なサンプル、プロセス、証拠の損失につながる可能性があり、サンプルの挙動は、サンプルを入手した後、適時に分析されるべきである。同時に、フォレンジックは、セキュリティ担当者のLinuxとWindowsのスキルの大きなテストです。などの不適切なフォレンジック操作は：直接ユーザーをシャットダウンさせる、再起動、タイムリーにサードパーティの機能を借りるために自分の障害を処理することはできません。

復旧は不可能です。バックアップは身代金攻撃に対処する最も効果的な方法であり、そうでなければ自分で復号化するか、セキュリティ・ベンダーに助けを求めるか、攻撃者に身代金を支払うしかない。しかし、バックアップが間に合わず、バックアップが暗号化されてしまうこともある。

V. まとめと展望

実践的な練習の成果は包括的なもので、最終的にはほぼ期待通りだった。

1、理論の実践は紙くずと変わらない

完全な訓練を経ずにグローバルな視野を持つことは不可能だ。証明されていない不測の事態の計画は紙くずである。本当に打撃を受けていない人は、精神は本当にゼロにすることはできませんが、また、固有の認知を破ることはできません。空のカップの考え方を維持するためにセキュリティを行うには、フォローアップする最初の理論を実践する。調査なしは話す権利がない、調査は実践である。

2.定期的な練習なしでは合格は難しい

一度だけ理解できないという問題を解決することができ、3回だけ理解できないという問題を解決することができ、10回は熟練度という問題を解決することができ、100回は熟練度という問題を解決することができる。実戦練習を堅持し、復習要旨を堅持する。本当に戦いに勝つために、実際のシナリオとの本当の対決。

ソース参照：

https://mp.weixin.qq.com/s/yHJhWBpMj4vd-3XNHzcrtA