美国@@发布@@《网络安全@@指南@@》规范网络事件响应@@“全流程标准@@”

　　在@@今年@@@@5月@@12日@@美国@@总统拜登签署的增强国家网络安全@@的行政命令中@@，要求@@CISA牵头制定用于联邦机构@@@@（非军用@@）信息系统@@规划和@@制定网络安全@@漏洞和@@安全事件响应活动的操作流程标准@@。

　　为@@此@@，2021年@@11月@@16日@@，美国@@网络安全@@和@@基础设施安全局@@（CISA）按照行政命令的要求@@@@，发布了@@《联邦政府@@网络安全@@事件和@@漏洞影响响应指南@@》（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks），以改善和@@标准化联邦机构@@识别@@、修复和@@从影响其系统的网络安全@@事件和@@漏洞中恢复的方法@@。本文详细介绍了该指南的两个主要部分@@，即@@：网络安全@@事件响应与@@漏洞响应的方法流程与@@对@@策@@。

　　CISA发布联邦政府@@网络安全@@事件和@@漏洞响应指南@@

　　编译@@：学术@@plus高级观察员@@ 张涛@@

　　本文主要内容及关键词@@

　　1.网络安全@@事件响应的六个阶段@@@@@@：准备阶段@@，检测@@和@@分析@@阶段@@（最具挑战环节@@），控制阶段@@（优先级最高@@），根除和@@恢复阶段@@，事件后阶段@@，协作阶段@@；相关政府@@机构@@在@@安全事件监测@@、分析@@和@@响应过程中的角色和@@责任@@，总负责机构@@为@@美国@@国土安全部@@@@（DHS）与@@美国@@网络安全@@和@@基础设施安全局@@@@（CISA）

　　2.网络漏洞管理@@与@@响应的四个阶段@@@@：识别阶段@@，评估阶段@@，修复阶段@@，报告@@和@@通知阶段@@，建议其他公私机构@@和@@企业参考该操作指南@@

　　1.六个阶段@@@@

　　网络安全@@事件响应六个阶段@@@@@@

　　图@@1：网络安全@@事件响应流程@@

　　如@@图@@@@1所示@@，网络安全@@事件响应流程@@可以分为@@@@6个阶段@@，分别为@@@@：准备阶段@@、检测@@和@@分析@@阶段@@、控制阶段@@、根除和@@恢复阶段@@、事件后阶段@@、协作阶段@@。

　　1.1 准备阶段@@

　　准备阶段@@是指在@@网络安全@@事件发生前进行准备活动以预防其对@@组织的影响@@，准备阶段@@包括@@@@：

　　制定和@@理解网络安全@@事件响应的策略和@@流程@@

　　检测@@环境@@中的可疑和@@恶意活动@@

　　制定人员配置计划@@

　　对@@用户进行网络威胁和@@通知流程的培训@@

　　使用网络威胁情报来主动识别可能的恶意活动@@

　　1.2 检测@@和@@分析@@阶段@@

　　网络安全@@事件响应过程中最具挑战的一个环节就是准确地检测@@和@@评估网络安全@@事件@@：确定事件是否发生@@，如@@果发生@@，那么云内@@、主机@@、网络系统中被入侵的类型@@、范围和@@程度如@@何@@。为@@检测@@和@@分析@@网络安全@@事件@@，实现预先定义的流程@@、适当的技术和@@足够的基准信息来对@@异常和@@可疑活动进行监控@@、检测@@和@@预警@@。检测@@和@@分析@@阶段@@的活动包括@@@@：

　　报告@@事件@@，向@@CISA报告@@网络安全@@事件@@

　　确定调查范围@@

　　收集和@@保存数据@@@@

　　进行技术分析@@@@

　　借助第三方开展分析@@@@（可选项@@）

　　调整检测@@工具@@

　　1.3 控制阶段@@

　　控制和@@遏制在@@网络安全@@事件响应中优先级很高@@。目的是通过移除攻击者的访问来预防进一步伤害和@@减少事件的直接影响@@。常采取的控制活动包括@@@@：

　　将受影响@@的系统和@@网络与@@未受影响@@的系统和@@网络进行隔离@@

　　获取取证图@@像和@@保留证据用于事件的进一步调查@@

　　更新防火墙过滤规则@@

　　非授权访问的拦截@@、记录@@，以及对@@恶意软件@@资源@@的拦截@@

　　关闭特定端口@@、邮件服务器或其他相关的服务器和@@服务@@

　　修改系统管理员密码@@、服务或应用@@账户信息@@

　　让攻击者在@@沙箱中运行来监控攻击者的活动@@、收集其他证据@@、并识别攻击向@@量@@

　　1.4 根除和@@恢复阶段@@

　　这一阶段的目标是通过移除恶意代码等方式来清除@@安全事件的影响以恢复正常活动@@。根除相关的活动包括@@@@：

　　修复所有受感染的@@IT环境@@，包括@@云@@、主体@@和@@网络系统等@@

　　重购硬件@@

　　用未受感染的版本来替换被黑的文件@@

　　安装补丁@@

　　重置被黑的账户密码@@

　　监控所有攻击者对@@控制活动做出的响应@@

　　恢复相关的活动包括@@@@：

　　重新连接系统到网络中@@

　　加强边界安全和@@零信任访问规则@@

　　测试系统@@，包括@@安全控制的测试@@

　　监控异常行为@@活动@@

　　1.5 事件后阶段@@

　　这一阶段的目标是记录@@事件@@、通知机构@@领导@@、加固系统环境@@来预防类似事件的发生@@。

　　1.6 协作阶段@@

　　不同机构@@的网络防御能力是不同的@@，因此@@，受影响@@的机构@@和@@@@CISA之间应该有不同程度的协作来增强网络安全@@事件响应@@。

　　相关政府@@机构@@在@@安全事件监测@@、分析@@和@@响应过程中的角色和@@责任@@如@@下图@@所示@@@@：

　　ICT服务提供商@@

　　向@@FCEB机构@@报告@@网络安全@@事件@@@@，并同时@@报告@@给@@CISA

　　收集和@@保留与@@所有其控制的信息系统@@的网络安全@@事件预防@@、检测@@、响应和@@调查相关的数据@@和@@信息@@，其中包括@@以@@FCEB机构@@名义运行的系统@@

　　与@@联邦网络安全@@机构@@或调查机构@@协作开展针对@@联邦信息系统@@安全事件的调查和@@响应工作@@

　　FCEB机构@@

　　与@@CISA协作开展网络安全@@事件响应@@

　　必要时向@@@@OMB、OFCIO、国会等机构@@报告@@@@

　　必要时向@@@@执法机构@@报告@@网络安全@@事件@@@@@@

　　通知利益相关者采取必要措施@@

　　根据@@CISA要求@@提供网络和@@系统日@@志信息@@，包括@@ICT服务提供商@@的日@@志@@

　　在@@FCEB和@@子组织内开展应急响应@@，确保机构@@层面的@@SOC能够开展应急响应活动@@

　　美国@@国土安全部@@（DHS）

　　美国@@网络安全@@和@@基础设施安全局@@（CISA）

　　信息系统@@安全事件响应活动的总负责机构@@@@

　　与@@产业和@@政府@@合作者协作来帮助组织理解和@@应对@@关键基础设施和@@网络安全@@威胁@@

　　中心化地收集和@@管理@@FCEB和@@ICT服务提供商@@的安全事件应急响应信息@@

　　与@@受影响@@的@@FCEB机构@@沟通以确定网络安全@@事件或漏洞的产生原因@@

　　FCEB机构@@请求时@@，对@@受影响@@的机构@@提供分析@@@@、专家和@@其他技术帮助@@

　　对@@FCEB机构@@进行定向@@网络威胁和@@修复措施进行培训@@

　　应急响应完成后对@@@@FCEB机构@@的应急响应和@@修复结果进行评审和@@验证@@

　　美国@@司法部@@（DOJ）

　　美国@@联邦调查局@@（FBI）

　　开展执法调查@@、取证和@@修复活动以支持对@@攻击者开展制裁@@

　　向@@FCEB机构@@反馈响应过程中获得的情报和@@信息@@

　　共享情报@@

　　国家安全局@@（NSA）

　　提供情报以支持网络安全@@事件和@@漏洞的响应@@

　　提供攻击的发起者信息@@

　　在@@请求时@@，提供技术支持@@@@

　　为@@NSS和@@其他系统提供威胁响应@@、资产@@（信息系统@@）响应和@@情报支持@@

　　2.漏洞管理@@

　　标准的漏洞管理@@程序包括@@识别@@、分析@@、修复和@@报告@@漏洞@@4个阶段@@。下图@@描述了标准的漏洞管理@@程序@@：

　　2.1 识别阶段@@

　　通过监控威胁流和@@信息资源@@来主动识别被利用的漏洞情况@@，包括@@但不限于@@：

　　CISA资源@@：CISA/US-CERT国家网络威胁系统产品@@，包括@@每周的安全漏洞总结@@

　　外部威胁和@@漏洞流@@，比如@@@@NIST国家漏洞数据@@库@@

　　内部@@SOC监控和@@事件响应@@

　　2.2 评估阶段@@

　　首先确定漏洞是否存在@@@@，然后使用@@SSVC等方法来评估底层的软件@@或硬件的重要性@@。现有的补丁和@@资产@@管理工具非常重要@@，可以用于大多数漏洞的自动化监测@@。对@@于以及被利用的漏洞@@，使用这些工具的快速响应过程@@。在@@评估阶段@@的最后@@，目标是理解环境@@中每个系统的状态@@，如@@：

　　不受影响@@@@

　　受影响@@，但是没有被利用的迹象@@

　　系统有漏洞@@，且系统被黑@@

　　2.3 修复阶段@@

　　系统或环境@@中存在@@的漏洞必须及时修复@@。大多数情况下@@，修复过程包含给漏洞打补丁@@。其他情况下@@，可采用的修复措施包括@@@@：

　　限制访问@@

　　隔离有漏洞的系统@@、应用@@、服务和@@其他资产@@@@

　　对@@配置进行永久变化@@

　　2.4 报告@@和@@通知阶段@@

　　共享关于漏洞如@@何被利用的信息可以帮助联邦政府@@机构@@的防护者理解哪些漏洞最需要被修复@@。CISA与@@其他联邦机构@@合作负责联邦机构@@@@（非军事@@）系统的整体安全@@。因此@@，CISA需要了解已被利用的漏洞的漏洞响应状态@@。相关机构@@需要根据@@联邦网络安全@@事件通知指南等向@@@@CISA报告@@。

　　同时@@，CISA也建议其他公私机构@@和@@企业参考该操作指南@@制定漏洞和@@安全事件影响最佳实践@@。

更多@@精彩@@，请关注@@@@“官方微信@@”