美国发布《网络安全指南》规范网络事件响应“全流程标准”

　　在今年5月12日美国总统拜登签署的增强国家网络安全的行政命令中，要求CISA牵头制定用于联邦机构（非军用）信息系统规划和制定网络安全漏洞和安全事件响应活动的操作流程标准。

　　为此，2021年11月16日，美国网络安全和基础设施安全局（CISA）按照行政命令的要求，发布了《联邦政府网络安全事件和漏洞影响响应指南》（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks），以改善和标准化联邦机构识别、修复和从影响其系统的网络安全事件和漏洞中恢复的方法。本文详细介绍了该指南的两个主要部分，即：网络安全事件响应与漏洞响应的方法流程与对策。

　　CISA发布联邦政府网络安全事件和漏洞响应指南

　　编译：学术plus高级观察员 张涛

　　本文主要内容及关键词

　　1.网络安全事件响应的六个阶段：准备阶段，检测和分析阶段（最具挑战环节），控制阶段（优先级最高），根除和恢复阶段，事件后阶段，协作阶段；相关政府机构在安全事件监测、分析和响应过程中的角色和责任，总负责机构为美国国土安全部（DHS）与美国网络安全和基础设施安全局（CISA）

　　2.网络漏洞管理与响应的四个阶段：识别阶段，评估阶段，修复阶段，报告和通知阶段，建议其他公私机构和企业参考该操作指南

　　1.六个阶段

　　网络安全事件响应六个阶段

　　图1：网络安全事件响应流程

　　如图1所示，网络安全事件响应流程可以分为6个阶段，分别为：准备阶段、检测和分析阶段、控制阶段、根除和恢复阶段、事件后阶段、协作阶段。

　　1.1 准备阶段

　　准备阶段是指在网络安全事件发生前进行准备活动以预防其对组织的影响，准备阶段包括：

　　制定和理解网络安全事件响应的策略和流程

　　检测环境中的可疑和恶意活动

　　制定人员配置计划

　　对用户进行网络威胁和通知流程的培训

　　使用网络威胁情报来主动识别可能的恶意活动

　　1.2 检测和分析阶段

　　网络安全事件响应过程中最具挑战的一个环节就是准确地检测和评估网络安全事件：确定事件是否发生，如果发生，那么云内、主机、网络系统中被入侵的类型、范围和程度如何。为检测和分析网络安全事件，实现预先定义的流程、适当的技术和足够的基准信息来对异常和可疑活动进行监控、检测和预警。检测和分析阶段的活动包括：

　　报告事件，向CISA报告网络安全事件

　　确定调查范围

　　收集和保存数据

　　进行技术分析

　　借助第三方开展分析（可选项）

　　调整检测工具

　　1.3 控制阶段

　　控制和遏制在网络安全事件响应中优先级很高。目的是通过移除攻击者的访问来预防进一步伤害和减少事件的直接影响。常采取的控制活动包括：

　　将受影响的系统和网络与未受影响的系统和网络进行隔离

　　获取取证图像和保留证据用于事件的进一步调查

　　更新防火墙过滤规则

　　非授权访问的拦截、记录，以及对恶意软件资源的拦截

　　关闭特定端口、邮件服务器或其他相关的服务器和服务

　　修改系统管理员密码、服务或应用账户信息

　　让攻击者在沙箱中运行来监控攻击者的活动、收集其他证据、并识别攻击向量

　　1.4 根除和恢复阶段

　　这一阶段的目标是通过移除恶意代码等方式来清除安全事件的影响以恢复正常活动。根除相关的活动包括：

　　修复所有受感染的IT环境，包括云、主体和网络系统等

　　重购硬件

　　用未受感染的版本来替换被黑的文件

　　安装补丁

　　重置被黑的账户密码

　　监控所有攻击者对控制活动做出的响应

　　恢复相关的活动包括：

　　重新连接系统到网络中

　　加强边界安全和零信任访问规则

　　测试系统，包括安全控制的测试

　　监控异常行为活动

　　1.5 事件后阶段

　　这一阶段的目标是记录事件、通知机构领导、加固系统环境来预防类似事件的发生。

　　1.6 协作阶段

　　不同机构的网络防御能力是不同的，因此，受影响的机构和CISA之间应该有不同程度的协作来增强网络安全事件响应。

　　相关政府机构在安全事件监测、分析和响应过程中的角色和责任如下图所示：

　　ICT服务提供商

　　向FCEB机构报告网络安全事件，并同时报告给CISA

　　收集和保留与所有其控制的信息系统的网络安全事件预防、检测、响应和调查相关的数据和信息，其中包括以FCEB机构名义运行的系统

　　与联邦网络安全机构或调查机构协作开展针对联邦信息系统安全事件的调查和响应工作

　　FCEB机构

　　与CISA协作开展网络安全事件响应

　　必要时向OMB、OFCIO、国会等机构报告

　　必要时向执法机构报告网络安全事件

　　通知利益相关者采取必要措施

　　根据CISA要求提供网络和系统日志信息，包括ICT服务提供商的日志

　　在FCEB和子组织内开展应急响应，确保机构层面的SOC能够开展应急响应活动

　　美国国土安全部（DHS）

　　美国网络安全和基础设施安全局（CISA）

　　信息系统安全事件响应活动的总负责机构

　　与产业和政府合作者协作来帮助组织理解和应对关键基础设施和网络安全威胁

　　中心化地收集和管理FCEB和ICT服务提供商的安全事件应急响应信息

　　与受影响的FCEB机构沟通以确定网络安全事件或漏洞的产生原因

　　FCEB机构请求时，对受影响的机构提供分析、专家和其他技术帮助

　　对FCEB机构进行定向网络威胁和修复措施进行培训

　　应急响应完成后对FCEB机构的应急响应和修复结果进行评审和验证

　　美国司法部（DOJ）

　　美国联邦调查局（FBI）

　　开展执法调查、取证和修复活动以支持对攻击者开展制裁

　　向FCEB机构反馈响应过程中获得的情报和信息

　　共享情报

　　国家安全局（NSA）

　　提供情报以支持网络安全事件和漏洞的响应

　　提供攻击的发起者信息

　　在请求时，提供技术支持

　　为NSS和其他系统提供威胁响应、资产（信息系统）响应和情报支持

　　2.漏洞管理

　　标准的漏洞管理程序包括识别、分析、修复和报告漏洞4个阶段。下图描述了标准的漏洞管理程序：

　　2.1 识别阶段

　　通过监控威胁流和信息资源来主动识别被利用的漏洞情况，包括但不限于：

　　CISA资源：CISA/US-CERT国家网络威胁系统产品，包括每周的安全漏洞总结

　　外部威胁和漏洞流，比如NIST国家漏洞数据库

　　内部SOC监控和事件响应

　　2.2 评估阶段

　　首先确定漏洞是否存在，然后使用SSVC等方法来评估底层的软件或硬件的重要性。现有的补丁和资产管理工具非常重要，可以用于大多数漏洞的自动化监测。对于以及被利用的漏洞，使用这些工具的快速响应过程。在评估阶段的最后，目标是理解环境中每个系统的状态，如：

　　不受影响

　　受影响，但是没有被利用的迹象

　　系统有漏洞，且系统被黑

　　2.3 修复阶段

　　系统或环境中存在的漏洞必须及时修复。大多数情况下，修复过程包含给漏洞打补丁。其他情况下，可采用的修复措施包括：

　　限制访问

　　隔离有漏洞的系统、应用、服务和其他资产

　　对配置进行永久变化

　　2.4 报告和通知阶段

　　共享关于漏洞如何被利用的信息可以帮助联邦政府机构的防护者理解哪些漏洞最需要被修复。CISA与其他联邦机构合作负责联邦机构（非军事）系统的整体安全。因此，CISA需要了解已被利用的漏洞的漏洞响应状态。相关机构需要根据联邦网络安全事件通知指南等向CISA报告。

　　同时，CISA也建议其他公私机构和企业参考该操作指南制定漏洞和安全事件影响最佳实践。

更多精彩，请关注“官方微信”