米国のCISA(Cybersecurity and Infrastructure Security Agency)は、CSET(Cyber Security Evaluation Tool)の新モジュールであるRRA(Ransomware Readiness Assessment)を公開しました。
RRAは、情報技術(IT)、運用技術(OT)、産業用制御システム(ICS)の各資産を標的としたランサムウェア攻撃からの防御と復旧の状況を把握したい組織向けのセキュリティ監査用自己評価ツールです。
このCSETモジュールは、サイバーセキュリティの成熟度に関わらず、すべての組織に役立つように、様々なレベルのランサムウェアの脅威に対する準備状況を評価するためにRRAが調整したものです。
CISAは、このツールのwikiページで、「RRAはまた、改善のための明確な道筋を示し、基礎、中級、上級のカテゴリーに分類された、発展的な質問を含んでいます」と言っています。
"これは、組織がまず基本に焦点を当てて改善し、その後、中級、上級のカテゴリーを通して実践することで進歩することを目的としています。"
CISAは、RRAが効果的にこの増大する脅威を防御するために使用できるとしている。
- 組織が、ランサムウェアに関するサイバーセキュリティの態勢を、認知された基準やベストプラクティスの推奨事項に照らして、体系的、規律的、かつ反復可能な方法で評価できるようにします。
- 資産の所有者および運営者が、ランサムウェアの脅威に対する運用技術(OT)および情報技術(IT)ネットワークのセキュリティ対策を評価するための体系的なプロセスをガイドします。
- 評価結果をグラフや表で示した分析ダッシュボードを提供し、概要と詳細の両方を表示します。
RRAセキュリティ監査ツールの使い方
自己評価ツールを使用するには、まずCSETをインストールしてから
- CSETアプリケーションのログインまたは開始
- 新しいアセスメントを開始する
- Assessment Configuration画面でMaturity Modelを選択します(これは「New Assessment」を選択した後に表示される最初の画面です)。
- Maturity Model画面からRansomware Readiness Assessmentを選択します。
- これで、RRAアセスメントを完了するための準備が整いました。追加の説明については、チュートリアルを参照するか、ヘルプメニューにあるRRAガイドを参照してください。
CISAはこれまでに、Microsoft Azure Active Directory(AD)、Office 365(O365)、Microsoft 365(M365)の各環境におけるコンプロマイズ後の活動を確認するツール「Aviary」を公開しています。
Aviaryは、AzureやMicrosoft 365の潜在的に危険なアプリやアカウントを検出するPowerShellベースのツールであるSparrowを使って生成されたデータ出力を分析することで動作します。
また、CISAは、Windowsシステム上でSolarWindsのハッカーが活動した形跡を検出するPythonベースのフォレンジック収集ツール「CHIRP」(CISA Hunt and Incident Response Programの略)を公開しました。