美國發布《網絡安全指南》規范網絡事件響應“全流程標準”

　　在今年5月12日美國總統拜登簽署的增強國家網絡安全的行政命令中，要求CISA牽頭制定用于聯邦機構（非軍用）信息系統規劃和制定網絡安全漏洞和安全事件響應活動的操作流程標準。

　　為此，2021年11月16日，美國網絡安全和基礎設施安全局（CISA）按照行政命令的要求，發布了《聯邦政府網絡安全事件和漏洞影響響應指南》（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks），以改善和標準化聯邦機構識別、修復和從影響其系統的網絡安全事件和漏洞中恢復的方法。本文詳細介紹了該指南的兩個主要部分，即：網絡安全事件響應與漏洞響應的方法流程與對策。

　　CISA發布聯邦政府網絡安全事件和漏洞響應指南

　　編譯：學術plus高級觀察員 張濤

　　本文主要內容及關鍵詞

　　1.網絡安全事件響應的六個階段：準備階段，檢測和分析階段（最具挑戰環節），控制階段（優先級最高），根除和恢復階段，事件后階段，協作階段；相關政府機構在安全事件監測、分析和響應過程中的角色和責任，總負責機構為美國國土安全部（DHS）與美國網絡安全和基礎設施安全局（CISA）

　　2.網絡漏洞管理與響應的四個階段：識別階段，評估階段，修復階段，報告和通知階段，建議其他公私機構和企業參考該操作指南

　　1.六個階段

　　網絡安全事件響應六個階段

　　圖1：網絡安全事件響應流程

　　如圖1所示，網絡安全事件響應流程可以分為6個階段，分別為：準備階段、檢測和分析階段、控制階段、根除和恢復階段、事件后階段、協作階段。

　　1.1 準備階段

　　準備階段是指在網絡安全事件發生前進行準備活動以預防其對組織的影響，準備階段包括：

　　制定和理解網絡安全事件響應的策略和流程

　　檢測環境中的可疑和惡意活動

　　制定人員配置計劃

　　對用戶進行網絡威脅和通知流程的培訓

　　使用網絡威脅情報來主動識別可能的惡意活動

　　1.2 檢測和分析階段

　　網絡安全事件響應過程中最具挑戰的一個環節就是準確地檢測和評估網絡安全事件：確定事件是否發生，如果發生，那么云內、主機、網絡系統中被入侵的類型、范圍和程度如何。為檢測和分析網絡安全事件，實現預先定義的流程、適當的技術和足夠的基準信息來對異常和可疑活動進行監控、檢測和預警。檢測和分析階段的活動包括：

　　報告事件，向CISA報告網絡安全事件

　　確定調查范圍

　　收集和保存數據

　　進行技術分析

　　借助第三方開展分析（可選項）

　　調整檢測工具

　　1.3 控制階段

　　控制和遏制在網絡安全事件響應中優先級很高。目的是通過移除攻擊者的訪問來預防進一步傷害和減少事件的直接影響。常采取的控制活動包括：

　　將受影響的系統和網絡與未受影響的系統和網絡進行隔離

　　獲取取證圖像和保留證據用于事件的進一步調查

　　更新防火墻過濾規則

　　非授權訪問的攔截、記錄，以及對惡意軟件資源的攔截

　　關閉特定端口、郵件服務器或其他相關的服務器和服務

　　修改系統管理員密碼、服務或應用賬戶信息

　　讓攻擊者在沙箱中運行來監控攻擊者的活動、收集其他證據、并識別攻擊向量

　　1.4 根除和恢復階段

　　這一階段的目標是通過移除惡意代碼等方式來清除安全事件的影響以恢復正?；顒?。根除相關的活動包括：

　　修復所有受感染的IT環境，包括云、主體和網絡系統等

　　重購硬件

　　用未受感染的版本來替換被黑的文件

　　安裝補丁

　　重置被黑的賬戶密碼

　　監控所有攻擊者對控制活動做出的響應

　　恢復相關的活動包括：

　　重新連接系統到網絡中

　　加強邊界安全和零信任訪問規則

　　測試系統，包括安全控制的測試

　　監控異常行為活動

　　1.5 事件后階段

　　這一階段的目標是記錄事件、通知機構領導、加固系統環境來預防類似事件的發生。

　　1.6 協作階段

　　不同機構的網絡防御能力是不同的，因此，受影響的機構和CISA之間應該有不同程度的協作來增強網絡安全事件響應。

　　相關政府機構在安全事件監測、分析和響應過程中的角色和責任如下圖所示：

　　ICT服務提供商

　　向FCEB機構報告網絡安全事件，并同時報告給CISA

　　收集和保留與所有其控制的信息系統的網絡安全事件預防、檢測、響應和調查相關的數據和信息，其中包括以FCEB機構名義運行的系統

　　與聯邦網絡安全機構或調查機構協作開展針對聯邦信息系統安全事件的調查和響應工作

　　FCEB機構

　　與CISA協作開展網絡安全事件響應

　　必要時向OMB、OFCIO、國會等機構報告

　　必要時向執法機構報告網絡安全事件

　　通知利益相關者采取必要措施

　　根據CISA要求提供網絡和系統日志信息，包括ICT服務提供商的日志

　　在FCEB和子組織內開展應急響應，確保機構層面的SOC能夠開展應急響應活動

　　美國國土安全部（DHS）

　　美國網絡安全和基礎設施安全局（CISA）

　　信息系統安全事件響應活動的總負責機構

　　與產業和政府合作者協作來幫助組織理解和應對關鍵基礎設施和網絡安全威脅

　　中心化地收集和管理FCEB和ICT服務提供商的安全事件應急響應信息

　　與受影響的FCEB機構溝通以確定網絡安全事件或漏洞的產生原因

　　FCEB機構請求時，對受影響的機構提供分析、專家和其他技術幫助

　　對FCEB機構進行定向網絡威脅和修復措施進行培訓

　　應急響應完成后對FCEB機構的應急響應和修復結果進行評審和驗證

　　美國司法部（DOJ）

　　美國聯邦調查局（FBI）

　　開展執法調查、取證和修復活動以支持對攻擊者開展制裁

　　向FCEB機構反饋響應過程中獲得的情報和信息

　　共享情報

　　國家安全局（NSA）

　　提供情報以支持網絡安全事件和漏洞的響應

　　提供攻擊的發起者信息

　　在請求時，提供技術支持

　　為NSS和其他系統提供威脅響應、資產（信息系統）響應和情報支持

　　2.漏洞管理

　　標準的漏洞管理程序包括識別、分析、修復和報告漏洞4個階段。下圖描述了標準的漏洞管理程序：

　　2.1 識別階段

　　通過監控威脅流和信息資源來主動識別被利用的漏洞情況，包括但不限于：

　　CISA資源：CISA/US-CERT國家網絡威脅系統產品，包括每周的安全漏洞總結

　　外部威脅和漏洞流，比如NIST國家漏洞數據庫

　　內部SOC監控和事件響應

　　2.2 評估階段

　　首先確定漏洞是否存在，然后使用SSVC等方法來評估底層的軟件或硬件的重要性?，F有的補丁和資產管理工具非常重要，可以用于大多數漏洞的自動化監測。對于以及被利用的漏洞，使用這些工具的快速響應過程。在評估階段的最后，目標是理解環境中每個系統的狀態，如：

　　不受影響

　　受影響，但是沒有被利用的跡象

　　系統有漏洞，且系統被黑

　　2.3 修復階段

　　系統或環境中存在的漏洞必須及時修復。大多數情況下，修復過程包含給漏洞打補丁。其他情況下，可采用的修復措施包括：

　　限制訪問

　　隔離有漏洞的系統、應用、服務和其他資產

　　對配置進行永久變化

　　2.4 報告和通知階段

　　共享關于漏洞如何被利用的信息可以幫助聯邦政府機構的防護者理解哪些漏洞最需要被修復。CISA與其他聯邦機構合作負責聯邦機構（非軍事）系統的整體安全。因此，CISA需要了解已被利用的漏洞的漏洞響應狀態。相關機構需要根據聯邦網絡安全事件通知指南等向CISA報告。

　　同時，CISA也建議其他公私機構和企業參考該操作指南制定漏洞和安全事件影響最佳實踐。

更多精彩，請關注“官方微信”