管理チームにインシデントを報告した後、サーバーを隔離することが、被害を限定し、ランサムウェア感染を封じ込めることができるため、すぐに実行できる最善の措置です。身代金を支払うことは、データの回復を保証するものではなく、さらなる攻撃を助長する可能性があるため、お勧めできません。法執行機関に通知することは可能なステップですが、報告後の次のステップではありません。影響を受けたサーバーの即時復旧を要求しても、バックアップの可用性と整合性に依存し、攻撃の根本原因に対処するものではないため、実行可能または効果的ではない可能性があります。検証済みの参照:
https://www.comptia.org/blog/what-is-ransomware-and-how-to-protect-yourselfhttps://www.comptia.org/certific

解決策については以下の説明を参照してください。
Explanation:
WAP A: 問題は見つかりませんでした。WAP A は正しく構成されており、要件を満たしています。
PC A = ホストベースのファイアウォールを有効にしてすべてのトラフィックをブロックする
このオプションを選択すると、ホストベースのファイアウォールがオフになり、すべてのトラフィックが通過できるようになります。これにより要件が満たされ、PC A とネットワーク上の他のデバイスとの接続性も向上します。ただし、このオプションを選択すると、PC A のセキュリティが低下し、攻撃に対して脆弱になります。したがって、潜在的な脅威から PC A を保護するには、ウイルス対策、暗号化、パスワードの複雑さなどの他のセキュリティ対策を使用することをお勧めします。
ラップトップA: パッチ管理
このオプションでは、ラップトップ A で利用可能なアップデートがインストールされ、最新のセキュリティ パッチとバグ修正が確実に適用されます。これにより要件が満たされ、ラップトップ A のパフォーマンスと安定性も向上します。ただし、このオプションでは、ラップトップ A の再起動と、アップデート プロセス中のダウンタイムも必要になる場合があります。そのため、アップデートを適用する前に、重要なデータをすべてバックアップし、開いているアプリケーションをすべて閉じることをお勧めします。
スイッチ A: 問題は見つかりませんでした。スイッチ A は正しく構成されており、要件を満たしています。
スイッチ B: 問題は見つかりませんでした。スイッチ B は正しく構成されており、要件を満たしています。
ノートパソコンB: 不要なサービスを無効にする
このオプションは、ラップトップ B のポート 23 を使用している Telnet サービスを停止して無効にします。Telnet は、ネットワーク上でデータをプレーン テキストで送信するクリアテキスト サービスであり、攻撃者による盗聴、傍受、および変更の危険にさらされます。Telnet サービスを無効にすると、要件に準拠し、ラップトップ B のセキュリティも向上します。ただし、このオプションは、リモート管理やその他の目的で Telnet を使用する必要がある場合、ラップトップ B の機能にも影響を与える可能性があります。したがって、転送中のデータを暗号化する SSH や HTTPS などの安全な Telnet の代替手段を使用することをお勧めします。
PC B: ディスク暗号化を有効にする
このオプションでは、BitLocker や VeraCrypt などのツールを使用して PC B の HDD を暗号化します。ディスク暗号化は、有効なキーまたはパスワードでのみ復号化できる読み取り不可能な形式に変換することで、保存中のデータを保護する手法です。ディスク暗号化を有効にすると、要件に準拠し、PC B のデータの機密性と整合性も向上します。ただし、このオプションでは、暗号化されたデータにアクセスするために追加の処理時間とユーザー認証が必要になるため、PC B のパフォーマンスと使いやすさにも影響する可能性があります。したがって、ディスクを暗号化する前に、重要なデータをバックアップし、強力なキーまたはパスワードを選択することをお勧めします。
PC C: 不要なサービスを無効にする
このオプションは、PC C でポート 22 を使用している SSH デーモンを停止して無効にします。SSH は、暗号化されたチャネルを介したリモート アクセスとコマンド実行を可能にする安全なサービスです。ただし、ポート 22 は SSH のデフォルトかつよく知られているポートであるため、ブルート フォース攻撃やポート スキャンの一般的なターゲットになります。ポート 22 の SSH デーモンを無効にすると、要件に準拠し、PC C のセキュリティも向上します。ただし、このオプションは、リモート管理やその他の目的で SSH を使用する必要がある場合、PC C の機能にも影響を与える可能性があります。したがって、次のコマンドを使用して構成ファイルを編集し、4022 などの別のポートで SSH デーモンを有効にすることをお勧めします。
sudo ナノ /etc/ssh/sshd_config
サーバー A。以下を選択する必要があります。
白黒の画面に白い文字の説明が自動的に生成されます

サンドボックス環境を使用してゼロデイ ソフトウェアを実行し、侵害の兆候を収集するセキュリティ ソリューションを活用するには、エンドポイント検出および対応 (EDR) システム全体に更新された脅威シグネチャを配信することが最善の方法です。EDR システムは、コンピューター、モバイル デバイス、サーバーなどのエンドポイントのアクティビティと動作を監視および分析し、潜在的な脅威を検出して対応するソリューションです。EDR システムは、既知の悪意のあるソフトウェアまたは攻撃のパターンまたは特性である脅威シグネチャを使用して、エンドポイントでの悪意のあるアクティビティを識別してブロックできます。サンドボックス環境から収集された侵害の兆候に基づいて更新された脅威シグネチャを配信することで、組織は、未知の脆弱性を悪用するゼロデイ攻撃を検出して防止する EDR システムの能力を強化できます。検証済みの参照:
https://www.cisco.com/c/en/us/products/security/what-is-endpoint-detection-response.html
https://www.crowdstrike.com/epp-101/what-is-a-sandbox/

ワイルドカード証明書は公開鍵証明書であり、ドメインの複数のサブドメインで使用できます。ただし、現時点では使用できません。シナリオでは、会社はサブドメインが展開されるまで 6 か月待つ必要があるとされています。

データ所有者は、外部の要件に従ってシステムとデータを分類するのに最適な資格を持っています。データ所有者は、データの機密性、価値、規制要件に基づいてデータを分類する方法を決定する責任があります。データ所有者は、公開、機密、秘密などの分類レベルを決定し、外部の標準に準拠していることを確認する権限を持っています。データ管理者やデータ処理者などの他の役割は、データ管理の実装をサポートしますが、分類の最終的な責任はデータ所有者にあります。CASP+ は、データ分類を決定し、外部の要件に準拠していることを確認するデータ所有者の役割を強調しています。
参考文献:
* CASP+ CAS-004 試験目標: ドメイン 1.0 - リスク管理 (データ分類とデータ所有者の責任)
* CompTIA CASP+ 学習ガイド: データ分類とデータ所有者のガバナンス責任