在今年5月12日美國總統(tǒng)拜登簽署的增強國家網(wǎng)絡安全的行政命令中，要求CISA牽頭制定用于聯(lián)邦機構（非軍用）信息系統(tǒng)規(guī)劃和制定網(wǎng)絡安全漏洞和安全事件響應活動的操作流程標準。

　　為此，2021年11月16日，美國網(wǎng)絡安全和基礎設施安全局（CISA）按照行政命令的要求，發(fā)布了《聯(lián)邦政府網(wǎng)絡安全事件和漏洞影響響應指南》（Federal Government Cybersecurity Incident and Vulnerability Response Playbooks），以改善和標準化聯(lián)邦機構識別、修復和從影響其系統(tǒng)的網(wǎng)絡安全事件和漏洞中恢復的方法。本文詳細介紹了該指南的兩個主要部分，即：網(wǎng)絡安全事件響應與漏洞響應的方法流程與對策。

　　CISA發(fā)布聯(lián)邦政府網(wǎng)絡安全事件和漏洞響應指南

　　編譯：學術plus高級觀察員 張濤

　　本文主要內容及關鍵詞

　　1.網(wǎng)絡安全事件響應的六個階段：準備階段，檢測和分析階段（最具挑戰(zhàn)環(huán)節(jié)），控制階段（優(yōu)先級最高），根除和恢復階段，事件后階段，協(xié)作階段；相關政府機構在安全事件監(jiān)測、分析和響應過程中的角色和責任，總負責機構為美國國土安全部（DHS）與美國網(wǎng)絡安全和基礎設施安全局（CISA）

　　2.網(wǎng)絡漏洞管理與響應的四個階段：識別階段，評估階段，修復階段，報告和通知階段，建議其他公私機構和企業(yè)參考該操作指南

　　1.六個階段

　　網(wǎng)絡安全事件響應六個階段

　　圖1：網(wǎng)絡安全事件響應流程

　　如圖1所示，網(wǎng)絡安全事件響應流程可以分為6個階段，分別為：準備階段、檢測和分析階段、控制階段、根除和恢復階段、事件后階段、協(xié)作階段。

　　1.1 準備階段

　　準備階段是指在網(wǎng)絡安全事件發(fā)生前進行準備活動以預防其對組織的影響，準備階段包括：

　　制定和理解網(wǎng)絡安全事件響應的策略和流程

　　檢測環(huán)境中的可疑和惡意活動

　　制定人員配置計劃

　　對用戶進行網(wǎng)絡威脅和通知流程的培訓

　　使用網(wǎng)絡威脅情報來主動識別可能的惡意活動

　　1.2 檢測和分析階段

　　網(wǎng)絡安全事件響應過程中最具挑戰(zhàn)的一個環(huán)節(jié)就是準確地檢測和評估網(wǎng)絡安全事件：確定事件是否發(fā)生，如果發(fā)生，那么云內、主機、網(wǎng)絡系統(tǒng)中被入侵的類型、范圍和程度如何。為檢測和分析網(wǎng)絡安全事件，實現(xiàn)預先定義的流程、適當?shù)募夹g和足夠的基準信息來對異常和可疑活動進行監(jiān)控、檢測和預警。檢測和分析階段的活動包括：

　　報告事件，向CISA報告網(wǎng)絡安全事件

　　確定調查范圍

　　收集和保存數(shù)據(jù)

　　進行技術分析

　　借助第三方開展分析（可選項）

　　調整檢測工具

　　1.3 控制階段

　　控制和遏制在網(wǎng)絡安全事件響應中優(yōu)先級很高。目的是通過移除攻擊者的訪問來預防進一步傷害和減少事件的直接影響。常采取的控制活動包括：

　　將受影響的系統(tǒng)和網(wǎng)絡與未受影響的系統(tǒng)和網(wǎng)絡進行隔離

　　獲取取證圖像和保留證據(jù)用于事件的進一步調查

　　更新防火墻過濾規(guī)則

　　非授權訪問的攔截、記錄，以及對惡意軟件資源的攔截

　　關閉特定端口、郵件服務器或其他相關的服務器和服務

　　修改系統(tǒng)管理員密碼、服務或應用賬戶信息

　　讓攻擊者在沙箱中運行來監(jiān)控攻擊者的活動、收集其他證據(jù)、并識別攻擊向量

　　1.4 根除和恢復階段

　　這一階段的目標是通過移除惡意代碼等方式來清除安全事件的影響以恢復正?；顒印８嚓P的活動包括：

　　修復所有受感染的IT環(huán)境，包括云、主體和網(wǎng)絡系統(tǒng)等

　　重購硬件

　　用未受感染的版本來替換被黑的文件

　　安裝補丁

　　重置被黑的賬戶密碼

　　監(jiān)控所有攻擊者對控制活動做出的響應

　　恢復相關的活動包括：

　　重新連接系統(tǒng)到網(wǎng)絡中

　　加強邊界安全和零信任訪問規(guī)則

　　測試系統(tǒng)，包括安全控制的測試

　　監(jiān)控異常行為活動

　　1.5 事件后階段

　　這一階段的目標是記錄事件、通知機構領導、加固系統(tǒng)環(huán)境來預防類似事件的發(fā)生。

　　1.6 協(xié)作階段

　　不同機構的網(wǎng)絡防御能力是不同的，因此，受影響的機構和CISA之間應該有不同程度的協(xié)作來增強網(wǎng)絡安全事件響應。

　　相關政府機構在安全事件監(jiān)測、分析和響應過程中的角色和責任如下圖所示：

　　ICT服務提供商

　　向FCEB機構報告網(wǎng)絡安全事件，并同時報告給CISA

　　收集和保留與所有其控制的信息系統(tǒng)的網(wǎng)絡安全事件預防、檢測、響應和調查相關的數(shù)據(jù)和信息，其中包括以FCEB機構名義運行的系統(tǒng)

　　與聯(lián)邦網(wǎng)絡安全機構或調查機構協(xié)作開展針對聯(lián)邦信息系統(tǒng)安全事件的調查和響應工作

　　FCEB機構

　　與CISA協(xié)作開展網(wǎng)絡安全事件響應

　　必要時向OMB、OFCIO、國會等機構報告

　　必要時向執(zhí)法機構報告網(wǎng)絡安全事件

　　通知利益相關者采取必要措施

　　根據(jù)CISA要求提供網(wǎng)絡和系統(tǒng)日志信息，包括ICT服務提供商的日志

　　在FCEB和子組織內開展應急響應，確保機構層面的SOC能夠開展應急響應活動

　　美國國土安全部（DHS）

　　美國網(wǎng)絡安全和基礎設施安全局（CISA）

　　信息系統(tǒng)安全事件響應活動的總負責機構

　　與產(chǎn)業(yè)和政府合作者協(xié)作來幫助組織理解和應對關鍵基礎設施和網(wǎng)絡安全威脅

　　中心化地收集和管理FCEB和ICT服務提供商的安全事件應急響應信息

　　與受影響的FCEB機構溝通以確定網(wǎng)絡安全事件或漏洞的產(chǎn)生原因

　　FCEB機構請求時，對受影響的機構提供分析、專家和其他技術幫助

　　對FCEB機構進行定向網(wǎng)絡威脅和修復措施進行培訓

　　應急響應完成后對FCEB機構的應急響應和修復結果進行評審和驗證

　　美國司法部（DOJ）

　　美國聯(lián)邦調查局（FBI）

　　開展執(zhí)法調查、取證和修復活動以支持對攻擊者開展制裁

　　向FCEB機構反饋響應過程中獲得的情報和信息

　　共享情報

　　國家安全局（NSA）

　　提供情報以支持網(wǎng)絡安全事件和漏洞的響應

　　提供攻擊的發(fā)起者信息

　　在請求時，提供技術支持

　　為NSS和其他系統(tǒng)提供威脅響應、資產(chǎn)（信息系統(tǒng)）響應和情報支持

　　2.漏洞管理

　　標準的漏洞管理程序包括識別、分析、修復和報告漏洞4個階段。下圖描述了標準的漏洞管理程序：

　　2.1 識別階段

　　通過監(jiān)控威脅流和信息資源來主動識別被利用的漏洞情況，包括但不限于：

　　CISA資源：CISA/US-CERT國家網(wǎng)絡威脅系統(tǒng)產(chǎn)品，包括每周的安全漏洞總結

　　外部威脅和漏洞流，比如NIST國家漏洞數(shù)據(jù)庫

　　內部SOC監(jiān)控和事件響應

　　2.2 評估階段

　　首先確定漏洞是否存在，然后使用SSVC等方法來評估底層的軟件或硬件的重要性。現(xiàn)有的補丁和資產(chǎn)管理工具非常重要，可以用于大多數(shù)漏洞的自動化監(jiān)測。對于以及被利用的漏洞，使用這些工具的快速響應過程。在評估階段的最后，目標是理解環(huán)境中每個系統(tǒng)的狀態(tài)，如：

　　不受影響

　　受影響，但是沒有被利用的跡象

　　系統(tǒng)有漏洞，且系統(tǒng)被黑

　　2.3 修復階段

　　系統(tǒng)或環(huán)境中存在的漏洞必須及時修復。大多數(shù)情況下，修復過程包含給漏洞打補丁。其他情況下，可采用的修復措施包括：

　　限制訪問

　　隔離有漏洞的系統(tǒng)、應用、服務和其他資產(chǎn)

　　對配置進行永久變化

　　2.4 報告和通知階段

　　共享關于漏洞如何被利用的信息可以幫助聯(lián)邦政府機構的防護者理解哪些漏洞最需要被修復。CISA與其他聯(lián)邦機構合作負責聯(lián)邦機構（非軍事）系統(tǒng)的整體安全。因此，CISA需要了解已被利用的漏洞的漏洞響應狀態(tài)。相關機構需要根據(jù)聯(lián)邦網(wǎng)絡安全事件通知指南等向CISA報告。

　　同時，CISA也建議其他公私機構和企業(yè)參考該操作指南制定漏洞和安全事件影響最佳實踐。

更多精彩，請關注“官方微信”