在今年5月12日美國總統(tǒng)拜登簽署的增強(qiáng)國家網(wǎng)絡(luò)安全的行政命令中，要求CISA牽頭制定用于聯(lián)邦機(jī)構(gòu)（非軍用）信息系統(tǒng)規(guī)劃和制定網(wǎng)絡(luò)安全漏洞和安全事件響應(yīng)活動的操作流程標(biāo)準(zhǔn)。

　　為此，2021年11月16日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）按照行政命令的要求，發(fā)布了《聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞影響響應(yīng)指南》（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks），以改善和標(biāo)準(zhǔn)化聯(lián)邦機(jī)構(gòu)識別、修復(fù)和從影響其系統(tǒng)的網(wǎng)絡(luò)安全事件和漏洞中恢復(fù)的方法。本文詳細(xì)介紹了該指南的兩個主要部分，即：網(wǎng)絡(luò)安全事件響應(yīng)與漏洞響應(yīng)的方法流程與對策。

　　CISA發(fā)布聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞響應(yīng)指南

　　編譯：學(xué)術(shù)plus高級觀察員 張濤

　　本文主要內(nèi)容及關(guān)鍵詞

　　1.網(wǎng)絡(luò)安全事件響應(yīng)的六個階段：準(zhǔn)備階段，檢測和分析階段（最具挑戰(zhàn)環(huán)節(jié)），控制階段（優(yōu)先級最高），根除和恢復(fù)階段，事件后階段，協(xié)作階段；相關(guān)政府機(jī)構(gòu)在安全事件監(jiān)測、分析和響應(yīng)過程中的角色和責(zé)任，總負(fù)責(zé)機(jī)構(gòu)為美國國土安全部（DHS）與美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）

　　2.網(wǎng)絡(luò)漏洞管理與響應(yīng)的四個階段：識別階段，評估階段，修復(fù)階段，報(bào)告和通知階段，建議其他公私機(jī)構(gòu)和企業(yè)參考該操作指南

　　1.六個階段

　　網(wǎng)絡(luò)安全事件響應(yīng)六個階段

　　圖1：網(wǎng)絡(luò)安全事件響應(yīng)流程

　　如圖1所示，網(wǎng)絡(luò)安全事件響應(yīng)流程可以分為6個階段，分別為：準(zhǔn)備階段、檢測和分析階段、控制階段、根除和恢復(fù)階段、事件后階段、協(xié)作階段。

　　1.1 準(zhǔn)備階段

　　準(zhǔn)備階段是指在網(wǎng)絡(luò)安全事件發(fā)生前進(jìn)行準(zhǔn)備活動以預(yù)防其對組織的影響，準(zhǔn)備階段包括：

　　制定和理解網(wǎng)絡(luò)安全事件響應(yīng)的策略和流程

　　檢測環(huán)境中的可疑和惡意活動

　　制定人員配置計(jì)劃

　　對用戶進(jìn)行網(wǎng)絡(luò)威脅和通知流程的培訓(xùn)

　　使用網(wǎng)絡(luò)威脅情報(bào)來主動識別可能的惡意活動

　　1.2 檢測和分析階段

　　網(wǎng)絡(luò)安全事件響應(yīng)過程中最具挑戰(zhàn)的一個環(huán)節(jié)就是準(zhǔn)確地檢測和評估網(wǎng)絡(luò)安全事件：確定事件是否發(fā)生，如果發(fā)生，那么云內(nèi)、主機(jī)、網(wǎng)絡(luò)系統(tǒng)中被入侵的類型、范圍和程度如何。為檢測和分析網(wǎng)絡(luò)安全事件，實(shí)現(xiàn)預(yù)先定義的流程、適當(dāng)?shù)募夹g(shù)和足夠的基準(zhǔn)信息來對異常和可疑活動進(jìn)行監(jiān)控、檢測和預(yù)警。檢測和分析階段的活動包括：

　　報(bào)告事件，向CISA報(bào)告網(wǎng)絡(luò)安全事件

　　確定調(diào)查范圍

　　收集和保存數(shù)據(jù)

　　進(jìn)行技術(shù)分析

　　借助第三方開展分析（可選項(xiàng)）

　　調(diào)整檢測工具

　　1.3 控制階段

　　控制和遏制在網(wǎng)絡(luò)安全事件響應(yīng)中優(yōu)先級很高。目的是通過移除攻擊者的訪問來預(yù)防進(jìn)一步傷害和減少事件的直接影響。常采取的控制活動包括：

　　將受影響的系統(tǒng)和網(wǎng)絡(luò)與未受影響的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行隔離

　　獲取取證圖像和保留證據(jù)用于事件的進(jìn)一步調(diào)查

　　更新防火墻過濾規(guī)則

　　非授權(quán)訪問的攔截、記錄，以及對惡意軟件資源的攔截

　　關(guān)閉特定端口、郵件服務(wù)器或其他相關(guān)的服務(wù)器和服務(wù)

　　修改系統(tǒng)管理員密碼、服務(wù)或應(yīng)用賬戶信息

　　讓攻擊者在沙箱中運(yùn)行來監(jiān)控攻擊者的活動、收集其他證據(jù)、并識別攻擊向量

　　1.4 根除和恢復(fù)階段

　　這一階段的目標(biāo)是通過移除惡意代碼等方式來清除安全事件的影響以恢復(fù)正?；顒?。根除相關(guān)的活動包括：

　　修復(fù)所有受感染的IT環(huán)境，包括云、主體和網(wǎng)絡(luò)系統(tǒng)等

　　重購硬件

　　用未受感染的版本來替換被黑的文件

　　安裝補(bǔ)丁

　　重置被黑的賬戶密碼

　　監(jiān)控所有攻擊者對控制活動做出的響應(yīng)

　　恢復(fù)相關(guān)的活動包括：

　　重新連接系統(tǒng)到網(wǎng)絡(luò)中

　　加強(qiáng)邊界安全和零信任訪問規(guī)則

　　測試系統(tǒng)，包括安全控制的測試

　　監(jiān)控異常行為活動

　　1.5 事件后階段

　　這一階段的目標(biāo)是記錄事件、通知機(jī)構(gòu)領(lǐng)導(dǎo)、加固系統(tǒng)環(huán)境來預(yù)防類似事件的發(fā)生。

　　1.6 協(xié)作階段

　　不同機(jī)構(gòu)的網(wǎng)絡(luò)防御能力是不同的，因此，受影響的機(jī)構(gòu)和CISA之間應(yīng)該有不同程度的協(xié)作來增強(qiáng)網(wǎng)絡(luò)安全事件響應(yīng)。

　　相關(guān)政府機(jī)構(gòu)在安全事件監(jiān)測、分析和響應(yīng)過程中的角色和責(zé)任如下圖所示：

　　ICT服務(wù)提供商

　　向FCEB機(jī)構(gòu)報(bào)告網(wǎng)絡(luò)安全事件，并同時報(bào)告給CISA

　　收集和保留與所有其控制的信息系統(tǒng)的網(wǎng)絡(luò)安全事件預(yù)防、檢測、響應(yīng)和調(diào)查相關(guān)的數(shù)據(jù)和信息，其中包括以FCEB機(jī)構(gòu)名義運(yùn)行的系統(tǒng)

　　與聯(lián)邦網(wǎng)絡(luò)安全機(jī)構(gòu)或調(diào)查機(jī)構(gòu)協(xié)作開展針對聯(lián)邦信息系統(tǒng)安全事件的調(diào)查和響應(yīng)工作

　　FCEB機(jī)構(gòu)

　　與CISA協(xié)作開展網(wǎng)絡(luò)安全事件響應(yīng)

　　必要時向OMB、OFCIO、國會等機(jī)構(gòu)報(bào)告

　　必要時向執(zhí)法機(jī)構(gòu)報(bào)告網(wǎng)絡(luò)安全事件

　　通知利益相關(guān)者采取必要措施

　　根據(jù)CISA要求提供網(wǎng)絡(luò)和系統(tǒng)日志信息，包括ICT服務(wù)提供商的日志

　　在FCEB和子組織內(nèi)開展應(yīng)急響應(yīng)，確保機(jī)構(gòu)層面的SOC能夠開展應(yīng)急響應(yīng)活動

　　美國國土安全部（DHS）

　　美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）

　　信息系統(tǒng)安全事件響應(yīng)活動的總負(fù)責(zé)機(jī)構(gòu)

　　與產(chǎn)業(yè)和政府合作者協(xié)作來幫助組織理解和應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全威脅

　　中心化地收集和管理FCEB和ICT服務(wù)提供商的安全事件應(yīng)急響應(yīng)信息

　　與受影響的FCEB機(jī)構(gòu)溝通以確定網(wǎng)絡(luò)安全事件或漏洞的產(chǎn)生原因

　　FCEB機(jī)構(gòu)請求時，對受影響的機(jī)構(gòu)提供分析、專家和其他技術(shù)幫助

　　對FCEB機(jī)構(gòu)進(jìn)行定向網(wǎng)絡(luò)威脅和修復(fù)措施進(jìn)行培訓(xùn)

　　應(yīng)急響應(yīng)完成后對FCEB機(jī)構(gòu)的應(yīng)急響應(yīng)和修復(fù)結(jié)果進(jìn)行評審和驗(yàn)證

　　美國司法部（DOJ）

　　美國聯(lián)邦調(diào)查局（FBI）

　　開展執(zhí)法調(diào)查、取證和修復(fù)活動以支持對攻擊者開展制裁

　　向FCEB機(jī)構(gòu)反饋響應(yīng)過程中獲得的情報(bào)和信息

　　共享情報(bào)

　　國家安全局（NSA）

　　提供情報(bào)以支持網(wǎng)絡(luò)安全事件和漏洞的響應(yīng)

　　提供攻擊的發(fā)起者信息

　　在請求時，提供技術(shù)支持

　　為NSS和其他系統(tǒng)提供威脅響應(yīng)、資產(chǎn)（信息系統(tǒng)）響應(yīng)和情報(bào)支持

　　2.漏洞管理

　　標(biāo)準(zhǔn)的漏洞管理程序包括識別、分析、修復(fù)和報(bào)告漏洞4個階段。下圖描述了標(biāo)準(zhǔn)的漏洞管理程序：

　　2.1 識別階段

　　通過監(jiān)控威脅流和信息資源來主動識別被利用的漏洞情況，包括但不限于：

　　CISA資源：CISA/US-CERT國家網(wǎng)絡(luò)威脅系統(tǒng)產(chǎn)品，包括每周的安全漏洞總結(jié)

　　外部威脅和漏洞流，比如NIST國家漏洞數(shù)據(jù)庫

　　內(nèi)部SOC監(jiān)控和事件響應(yīng)

　　2.2 評估階段

　　首先確定漏洞是否存在，然后使用SSVC等方法來評估底層的軟件或硬件的重要性?，F(xiàn)有的補(bǔ)丁和資產(chǎn)管理工具非常重要，可以用于大多數(shù)漏洞的自動化監(jiān)測。對于以及被利用的漏洞，使用這些工具的快速響應(yīng)過程。在評估階段的最后，目標(biāo)是理解環(huán)境中每個系統(tǒng)的狀態(tài)，如：

　　不受影響

　　受影響，但是沒有被利用的跡象

　　系統(tǒng)有漏洞，且系統(tǒng)被黑

　　2.3 修復(fù)階段

　　系統(tǒng)或環(huán)境中存在的漏洞必須及時修復(fù)。大多數(shù)情況下，修復(fù)過程包含給漏洞打補(bǔ)丁。其他情況下，可采用的修復(fù)措施包括：

　　限制訪問

　　隔離有漏洞的系統(tǒng)、應(yīng)用、服務(wù)和其他資產(chǎn)

　　對配置進(jìn)行永久變化

　　2.4 報(bào)告和通知階段

　　共享關(guān)于漏洞如何被利用的信息可以幫助聯(lián)邦政府機(jī)構(gòu)的防護(hù)者理解哪些漏洞最需要被修復(fù)。CISA與其他聯(lián)邦機(jī)構(gòu)合作負(fù)責(zé)聯(lián)邦機(jī)構(gòu)（非軍事）系統(tǒng)的整體安全。因此，CISA需要了解已被利用的漏洞的漏洞響應(yīng)狀態(tài)。相關(guān)機(jī)構(gòu)需要根據(jù)聯(lián)邦網(wǎng)絡(luò)安全事件通知指南等向CISA報(bào)告。

　　同時，CISA也建議其他公私機(jī)構(gòu)和企業(yè)參考該操作指南制定漏洞和安全事件影響最佳實(shí)踐。

更多精彩，請關(guān)注“官方微信”