美国发布《网络安全指南》规范网络事件响应“全流程标准”

学术plus 2021-11-25 22:23

2019学术大礼包加入学术plus2018学术大礼包丨2017不可以错过的重磅报告们


在今年5月12日美国总统拜登签署的增强国家网络安全的行政命令中,要求CISA牵头制定用于联邦机构(非军用)信息系统规划和制定网络安全漏洞和安全事件响应活动的操作流程标准。


为此,2021年11月16日,美国网络安全和基础设施安全局(CISA)按照行政命令的要求,发布了《联邦政府网络安全事件和漏洞影响响应指南》(Federal Government Cybersecurity Incident and Vulnerability Response Playbooks),以改善和标准化联邦机构识别、修复和从影响其系统的网络安全事件和漏洞中恢复的方法。本文详细介绍了该指南的两个主要部分,即:网络安全事件响应与漏洞响应的方法流程与对策。




CISA发布联邦政府网络安全事件和漏洞响应指南

编译:学术plus高级观察员 张涛


本文主要内容及关键词
1.网络安全事件响应的六个阶段:准备阶段,检测和分析阶段(最具挑战环节),控制阶段(优先级最高),根除和恢复阶段,事件后阶段,协作阶段;相关政府机构在安全事件监测、分析和响应过程中的角色和责任,总负责机构为美国国土安全部(DHS)与美国网络安全和基础设施安全局CISA

2.网络漏洞管理与响应的四个阶段:识别阶段,评估阶段,修复阶段,报告和通知阶段,建议其他公私机构和企业参考该操作指南


内容主要整理自外文网站相关资料

仅供学习参考,欢迎交流指正!

文章观点不代表本机构立场

*****

阅读英文原文/完整报告

请点击文末:阅读原文

plus 小专辑

拜登网络安全三部曲


2021年5月12日
拜登签署加强国家网络安全的行政命令
2021年7月27日
拜登喊话:严重网络攻击将引发现实战争
2021年8月25日

紧急!拜登whole of nation网络安全计划

1.六个阶段

网络安全事件响应六个阶段

图1:网络安全事件响应流程


如图1所示,网络安全事件响应流程可以分为6个阶段,分别为:准备阶段、检测和分析阶段、控制阶段、根除和恢复阶段、事件后阶段、协作阶段。

1.1 准备阶段

准备阶段是指在网络安全事件发生前进行准备活动以预防其对组织的影响,准备阶段包括:

  • 制定和理解网络安全事件响应的策略和流程

  • 检测环境中的可疑和恶意活动

  • 制定人员配置计划

  • 对用户进行网络威胁和通知流程的培训

  • 使用网络威胁情报来主动识别可能的恶意活动

1.2 检测和分析阶段

网络安全事件响应过程中最具挑战的一个环节就是准确地检测和评估网络安全事件:确定事件是否发生,如果发生,那么云内、主机、网络系统中被入侵的类型、范围和程度如何。为检测和分析网络安全事件,实现预先定义的流程、适当的技术和足够的基准信息来对异常和可疑活动进行监控、检测和预警。检测和分析阶段的活动包括:

  • 报告事件,向CISA报告网络安全事件

  • 确定调查范围

  • 收集和保存数据

  • 进行技术分析

  • 借助第三方开展分析(可选项)

  • 调整检测工具


1.3 控制阶段

控制和遏制在网络安全事件响应中优先级很高。目的是通过移除攻击者的访问来预防进一步伤害和减少事件的直接影响。常采取的控制活动包括:
  • 将受影响的系统和网络与未受影响的系统和网络进行隔离

  • 获取取证图像和保留证据用于事件的进一步调查

  • 更新防火墙过滤规则

  • 非授权访问的拦截、记录,以及对恶意软件资源的拦截

  • 关闭特定端口、邮件服务器或其他相关的服务器和服务

  • 修改系统管理员密码、服务或应用账户信息

  • 让攻击者在沙箱中运行来监控攻击者的活动、收集其他证据、并识别攻击向量


1.4 根除和恢复阶段

这一阶段的目标是通过移除恶意代码等方式来清除安全事件的影响以恢复正常活动。根除相关的活动包括:
  • 修复所有受感染的IT环境,包括云、主体和网络系统等

  • 重购硬件

  • 用未受感染的版本来替换被黑的文件

  • 安装补丁

  • 重置被黑的账户密码

  • 监控所有攻击者对控制活动做出的响应

恢复相关的活动包括:

  • 重新连接系统到网络中

  • 加强边界安全和零信任访问规则

  • 测试系统,包括安全控制的测试

  • 监控异常行为活动


1.5 事件后阶段

这一阶段的目标是记录事件、通知机构领导、加固系统环境来预防类似事件的发生。


1.6 协作阶段

不同机构的网络防御能力是不同的,因此,受影响的机构和CISA之间应该有不同程度的协作来增强网络安全事件响应。
相关政府机构在安全事件监测、分析和响应过程中的角色和责任如下图所示:

ICT服务提供商

  • 向FCEB机构报告网络安全事件,并同时报告给CISA

  • 收集和保留与所有其控制的信息系统的网络安全事件预防、检测、响应和调查相关的数据和信息,其中包括以FCEB机构名义运行的系统
  • 与联邦网络安全机构或调查机构协作开展针对联邦信息系统安全事件的调查和响应工作

FCEB机构

  • 与CISA协作开展网络安全事件响应

  • 必要时向OMB、OFCIO、国会等机构报告
  • 必要时向执法机构报告网络安全事件
  • 通知利益相关者采取必要措施
  • 根据CISA要求提供网络和系统日志信息,包括ICT服务提供商的日志
  • 在FCEB和子组织内开展应急响应,确保机构层面的SOC能够开展应急响应活动

美国国土安全部(DHS

美国网络安全和基础设施安全局CISA

  • 信息系统安全事件响应活动的总负责机构

  • 与产业和政府合作者协作来帮助组织理解和应对关键基础设施和网络安全威胁
  • 中心化地收集和管理FCEB和ICT服务提供商的安全事件应急响应信息
  • 与受影响的FCEB机构沟通以确定网络安全事件或漏洞的产生原因
  • FCEB机构请求时,对受影响的机构提供分析、专家和其他技术帮助
  • 对FCEB机构进行定向网络威胁和修复措施进行培训
  • 应急响应完成后对FCEB机构的应急响应和修复结果进行评审和验证

美国司法部(DOJ

美国联邦调查局FBI

  • 开展执法调查、取证和修复活动以支持对攻击者开展制裁

  • 向FCEB机构反馈响应过程中获得的情报和信息
  • 共享情报

国家安全局NSA

  • 提供情报以支持网络安全事件和漏洞的响应

  • 提供攻击的发起者信息
  • 在请求时,提供技术支持
  • 为NSS和其他系统提供威胁响应、资产(信息系统)响应和情报支持


2.漏洞管理


标准的漏洞管理程序包括识别、分析、修复和报告漏洞4个阶段。下图描述了标准的漏洞管理程序:


2.1 识别阶段

通过监控威胁流和信息资源来主动识别被利用的漏洞情况,包括但不限于:

  • CISA资源:CISA/US-CERT国家网络威胁系统产品,包括每周的安全漏洞总结
  • 外部威胁和漏洞流,比如NIST国家漏洞数据库
  • 内部SOC监控和事件响应


2.2 评估阶段

首先确定漏洞是否存在,然后使用SSVC等方法来评估底层的软件或硬件的重要性。现有的补丁和资产管理工具非常重要,可以用于大多数漏洞的自动化监测。对于以及被利用的漏洞,使用这些工具的快速响应过程。在评估阶段的最后,目标是理解环境中每个系统的状态,如:

  • 不受影响
  • 受影响,但是没有被利用的迹象
  • 系统有漏洞,且系统被黑


2.3 修复阶段

系统或环境中存在的漏洞必须及时修复。大多数情况下,修复过程包含给漏洞打补丁。其他情况下,可采用的修复措施包括:
  • 限制访问
  • 隔离有漏洞的系统、应用、服务和其他资产
  • 对配置进行永久变化


2.4 报告和通知阶段

共享关于漏洞如何被利用的信息可以帮助联邦政府机构的防护者理解哪些漏洞最需要被修复。CISA与其他联邦机构合作负责联邦机构(非军事)系统的整体安全。因此,CISA需要了解已被利用的漏洞的漏洞响应状态。相关机构需要根据联邦网络安全事件通知指南等向CISA报告。
同时,CISA也建议其他公私机构和企业参考该操作指南制定漏洞和安全事件影响最佳实践。


【参考链接】

[1]https://us-cert.cisa.gov/ncas/current-activity/2021/11/16/new-federal-government-cybersecurity-incident-and-vulnerability

[2]https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf

(全文完)


“美国国家半导体技术中心”即将成立!放出信号将力推突破性技术创新


【深度】美军网信前沿重点创新与军用研究


警惕!美突然拨款240亿用于部队备战与加薪,专门针对中国



作者专栏 

张涛,学术plus高级观察员,专注研究人工智能产业技术与网络信息安全。

紧急!拜登whole of nation网络安全计划 | 美国防部2022财年预算:将中国作为首要挑战,网络安全与作战预算超百亿美元 | 美国防部报告《国防导航能力》研究PNT 技术以弥补 GPS 的不足 | 5年,10亿,12个研究中心!美国最新数字发展战略汇总白宫消息!美国未来5大重点研发领域(全文)【Gartner】人工智能成熟度模型丨令美国闻风丧胆的5G网络究竟有哪些威胁?最新最全的“5G威胁图谱”来了!人工智能在国防领域的七大应用丨美国最新发布《国防部人工智能原则》看懂了吗?这就是军用AI的前期部署啊!美国国防部2019年消费账单出炉,竟频频打脸!欧盟发布《5G网络安全风险评估报告》,并未将中国列入威胁丨美国最新《2019空军人工智能战略》解析丨5G失利,美国想引领6G?美发布《5G市场份额和风险分析》简报【CNAS】美国战法转型欧盟AI发展不起来的原因我国的三艘航母特朗普签署《网络安全人才行政令》我国网络安全人才缺口超100万俄罗斯断网进行时,战斗种族也怕美国?欧盟最新《AI网络安全政策发展框架》中美AI竞赛,中国惜败?两会热点:人工智能立法美新一轮技术出口管制,或得不偿失美国国会发布《美国未来四大战略威胁》人工智能监管指南关于区块链你必须知道的:10个行业案例+核心问题与解决方案中美贸易战下,日本被这4个困境团团围住【Nature】如果AI可以预测和限制战争?【麦肯锡】政策制定者必读的AI报告:人工智能时代应解决这三件事美国发布《武器系统网络安全报告》欧盟发布国家网络安全战略评估工具,涵盖15个目标142个问题美国发布AI白皮书《机器崛起:人工智能及对美国政策不断增长的影响》网络战,没有规则!美国《国家网络安全应急措施》四大挑战与十项措施Deepfakes变脸术 竟成为美国国家安全的新威胁【布鲁金斯】2020-2040年军事技术变化预测【五眼情报联盟】最新发布:加密数据三原则机器学习的偏见牛津大学在思考:如何让AI成为一个好人?无人驾驶,法律你准备好了吗?


长按识别二维码查看更多观点或进入公众号“个人专栏”结识“学术plus”专家作者团队。


 来了快看:2019学术大礼包 

 点击领取:2018学术大礼包


来吧!加入学术plus



    声明:版权归原作者所有。文章观点不代表本机构立场。图片均来自于网络。


  • 《中国电子科学研究院学报》欢迎各位专家、学者赐稿!

  • 投稿链接 http://kjpl.cbpt.cnki.net

  • 邮箱:dkyxuebao@vip.126.com


推荐阅读