發展網路安全能力(二):網路安全應急響應能力建設的7個步驟
蘭德公司於2018年8月釋出報告《發展網路安全能力-基於概念驗證的實施指南》(Developing Cybersecurity Capacity- A proof-of concept implementation guide),旨在促進國家級網路安全能力建設計劃以及整體政策和投資戰略的制定,以應對網路領域的挑戰。現由學術plus編譯全文,僅供學習參考。
本文《發展網路安全能力(二)網路安全應急響應的開發和實施》針對國家網路安全能力成熟度模型中第一維度“網路安全政策與戰略”中“安全應急響應”因素進行深入分析。這一因素強調的是安全應急響應能力,關注的是國家層面應對網路安全事件的能力。它涵蓋了響應過程的開發和實施,使政府能夠確定國家層面的網路事件並協調響應,從而確保損害得到控制,攻擊者不再存在,網路和系統的功能和完整性得到恢復。
發展網路安全能力
Developing Cybersecurity Capacity
(二)
網路安全應急響應能力建設的7個步驟
編譯:學術plus
原載:https://www.rand.org
網路攻擊由各種各樣的、動機各異的行為者發起,包括網路罪犯、內部人士、黑客分子、網路戰士、網路恐怖分子、國家行動者、企業等。針對網際網路使用者包括:政府和公共機構到政治黨派、私人企業、非政府組織、非營利性機構,個人公民和其他使用者。網路攻擊造成影響的型別和程度差異很大,可能包括減少網路和計算系統的功能、銷燬記錄、經濟損失、敏感資訊丟失、業務競爭力喪失,以及中斷物理世界,例如,通過停電和損失關鍵基礎設施來進行網路攻擊。
國家級的安全應急響應可以涵蓋這些領域中的全部,或者部分領域。本節重點討論在國家層面認識和檢測這些網路安全威脅和事件,並以協調的、系統的和有效的方式做出響應的能力。它鼓勵各國建設安全應急響應能力,不僅從技術角度,而且通過制定適當的組織和溝通措施來進行建設。
方框 1.2 :建設安全應急響應能力的步驟 (D1.2)
Ø 建立國家級電腦保安事件響應小組(CSIRT),負責國家層面的安全應急響應。
Ø 為國家電腦保安事件響應小組(CSIRT)招募、發展和保留員工隊伍,負責在國家層面的安全應急響應。
Ø 建立物理設施和獲取在國家層面響應事件所需的技術能力,並培訓人員來執行這一任務。
Ø 定義、記載和操作安全應急響應流程。定期檢查這些流程,以確保它們適合於不同的事件場景。
Ø 建立一個國家級網路安全事件的註冊中心;建立定期更新註冊中心的機制,並根據環境變化及不斷演變的威脅情況發出警告。
Ø 建立或加入安全應急響應和資訊共享的國際和區域協調機構。
建設安全應急響應能力的步驟1
Ø 建立國家級電腦保安事件響應小組(CSIRT),負責國家層面的安全應急響應。 |
國家級安全應急響應的職責應分配給明確確定的任務負責機構。這個角色通常由國家級的電腦保安事件響應小組(CSIRT)執行。電腦保安事件響應小組(CSIRT)是一個由資訊科技(IT)安全專家組成的團隊,負責處理和應對安全事件,支援目標物件,幫助其從入侵和事件中恢復。電腦保安事件響應小組(CSIRTs)可以提供廣泛的服務,範圍廣至反應性安全應急響應到預防和教育服務。
有幾個指南列出了建立電腦保安事件響應小組(CSIRT)所需的活動(參見本節末尾的參考列表)。這個工具箱並沒有試圖代替或擴充這些文件,而是強調了某些關鍵的重點領域,包括:
• 定義一個任務(電腦保安事件響應小組(CSIRT)打算做什麼?);
• 確定有關的利益攸關方;
• 定義電腦保安事件響應小組(CSIRT)在更廣泛的制度框架中的地位;
• 定義目標物件(電腦保安事件響應小組(CSIRT)為誰行動?);
• 通過法律框架建立電腦保安事件響應小組(CSIRT);
• 定義電腦保安事件響應小組(CSIRT)提供的功能和服務(與任務一致);
• 建立組織結構,包括內部組織和相關的其他組織。
1. 任務
從電腦保安事件響應小組(CSIRT)一開始就定義其總體任務是很重要的。任務應明確地、簡明地進行定義、記載並分發,並應提供該團隊正在努力實現的目標的基本概況。應該可以將任務說明限制在最多三到四個明確的句子中。任務說明應得到高階官員的支援,以確保它能得到政府和私營部門的認可。通常有用的是,在一份任務說明的基礎上補充一份二級的目的說明,該說明簡要概述電腦保安事件響應小組(CSIRT)形成的原因。
明確的任務說明很重要,因為它有助於形成電腦保安事件響應小組(CSIRT)的內部和外部感知。從內部看,一個清晰的任務說明為更精確的目標提供了重點,並允許以明確的方式定義,並把電腦保安事件響應小組(CSIRT)提供的功能和服務列入優先地位。從外部看,清晰的任務說明可以讓其他網路安全利益攸關方理解並認識到該團隊的作用和重要性。這對於確保和建立電腦保安事件響應小組(CSIRT)有效開展其活動所需的資金、資源和關係支援非常重要。 |
如果不能制訂和傳達一份明確的任務說明,就會導致不確定的、含糊不清的情況,從而造成困難,包括工作效率低下和資源開支不足,尤其是在危機情況下。 |
電腦保安事件響應小組(CSIRT)至少應提供某種形式的處理能力,以應對網路事件,但國家電腦保安事件響應小組(CSIRT)的任務通常包括以下內容:
(一)作為安全應急響應的國家協調員;
(二)充當國家事件和國際事件的聯絡點;
(三)擔任其他部門、私營部門行動者和機構的資訊保安諮詢協調員;
(四)為政府的相關利益者及其他終端使用者提供事故響應服務。
值得注意的是,國家電腦保安事件響應小組(CSIRT)協調安全應急響應可由各種其他的電腦保安事件響應小組(CSIRTs)進行協助,包括:
• 關鍵基礎設施保護(CIP)或關鍵的資訊基礎設施保護(CIIP) 電腦保安事件響應小組(CSIRTs),負責關鍵基礎設施資產的監控和保護;
• 政府電腦保安事件響應小組(CSIRTs),負責監測和應對政府網路中的事件,並確保政府IT基礎設施和服務得到充分保障;
• 軍事電腦保安事件響應小組(CSIRTs),其任務是保護國防設施和國防活動所需的網路和資訊通訊技術(ICT)基礎設施;
• 學術電腦保安事件響應小組(CSIRTs),負責為學術機構和團體提供安全應急響應服務;
• 中小型企業(SME)部門電腦保安事件響應小組(CSIRTs),負責提供安全應急響應服務,以滿足中小企業(SMEs)的需求;
• 商用電腦保安事件響應小組(CSIRTs),提供個人公司內或付費客戶的事故響應服務。
由負責協調國家級安全應急響應的國家電腦保安事件響應小組(CSIRT)履行的職能和責任,將根據其國內電腦保安事件響應小組(CSIRTs)的業務情況而有所不同。特別是在更高階的環境情況下,可採用國家電腦保安事件響應小組(CSIRT)來代表“最後的手段電腦保安事件響應小組(CSIRT)”, 這意味著可能需要填補通常由部門電腦保安事件響應小組(CSIRT)或其他機構提供的事件響應缺口。在可用資源有限的情況下,電腦保安事件響應小組(CSIRT)可以作為安全應急響應的中央協調機構。 |
2. 利益攸關方
在建立國家級電腦保安事件響應小組(CSIRT)時,重要的是要確定相關的利益攸關方,他們既可能支援電腦保安事件響應小組(CSIRT),也可能從其存在中獲益。對於國家的電腦保安事件響應小組(CSIRT)而言,參與其中的利益攸關方群體通常包括:
• 政府和政府機構
• 執法機構
• 國防機構
• 學術部門
• 網際網路服務提供商(ISPs)
• 金融行業和其他關鍵行業
• 國家和國際組織和工作組。
不同機構的成員和利益攸關方群體應參與規劃和建立一個國家安全戰略,以確保它是各有關方面的代表。相關的利益攸關方可以通過繪製網路生態系統地圖,和/或使用戰略規劃工具(如SWOT分析或PEST分析)來進行確定。 |
可以根據其預期角色和貢獻來對利益攸關方進行叢集。這包括查明那些應當更密切地參與,並能夠影響國家電腦保安事件響應小組(CSIRT)的發展和運作的利益攸關方,以及那些應該被告知的利益攸關方。在建立國家電腦保安事件響應小組(CSIRT)的早期階段,利益攸關方可以通過工作組參與進來,工作組獨立地尋求完善團隊的使命和更廣泛的願景。早期參與還有助於建立關係,並獲得個人和組織的支援,這些個人和組織可能會在未來直接支援電腦保安事件響應小組(CSIRT)的活動。
3. 制度框架
國家電腦保安事件響應小組(CSIRT)應該與現有的政府結構很好地結合在一起,並擁有充足的資源。電腦保安事件響應小組(CSIRT)在更廣泛的政府組織結構中的地位和溝通渠道應該得到明確界定。此外,國家電腦保安事件響應小組(CSIRT)應當能夠獲得充足的財政、人力和基礎設施資源。國家電腦保安事件響應小組(CSIRT)的機構設定和資源配置應該能反映其任務說明中概述的抱負目標和責任。
專案團隊的任務可能是為電腦保安事件響應小組(CSIRT)制定一個初始的機構框架。除了能夠制定適當的框架外,這個團隊的成員還應該能接觸到政府的高階官員,使他們能夠幫助規劃國家層面的網路安全政策和資金支援。理想情況下,專案團隊應該是多學科的,包括網路安全應急響應、技術和電信方面的公共政策、國家國防和安全、國際公法和法律框架等方面的專家。 |
4. 法律框架
如果沒有嚴格的法律框架,電腦保安事件響應小組(CSIRT)就無法有效執行。應該驗證電腦保安事件響應小組(CSIRT)是否符合現有法律,併為團隊將要進行的活動提供法律依據。一個有缺陷的法律框架,可能使電腦保安事件響應小組(CSIRT)在應對網路攻擊時容易受到訴訟或併發症的影響。
5. 目標物件
在建立電腦保安事件響應小組(CSIRT)時,重要的是確定團隊想要為之提供服務的目標物件(即電腦保安事件響應小組(CSIRT)的客戶)。確定客戶或目標物件應該在電腦保安事件響應小組(CSIRT)的任務說明中予以明確。確定電腦保安事件響應小組(CSIRT)的目標物件時,任何現有的電腦保安事件響應小組(CSIRT)在公共部門和私營部門組織內的角色作用也應該考慮進去,以及是否應該給不同的委託人提供差異化服務(例如,某些服務是否應該只提供給數量受限制的利益攸關方行動者和群組)。電腦保安事件響應小組(CSIRT)相對於其目標物件的權威程度也應在現階段予以確定。這可能會以權威的不同級別為基礎,例如:
• 完全授權 ,使電腦保安事件響應小組(CSIRT)能夠單方面地代表其目標物件執行必要的行動;
• 共享權力 ,電腦保安事件響應小組(CSIRT)能夠通過與其目標物件的聯合決策進行干預;
• 間接權力 ,即電腦保安事件響應小組(CSIRT)能夠通過間接壓力(例如,通過監管或信任關係)影響其目標物件;
• 無效許可權 ,電腦保安事件響應小組(CSIRT)無法決定是否做出決策,儘管仍然可以提供建議、資訊和經驗。
功能和服務
除了總體任務之外,還應該確定國家電腦保安事件響應小組(CSIRT)的功能和作用。
在建立電腦保安事件響應小組(CSIRT)過程的早期階段,與關鍵利益攸關方進行接觸,可以幫助確定電腦保安事件響應小組(CSIRT)應該努力提供的核心服務和任何其他服務。 |
這些功能可以細分為以下四類:
• 正式功能 指的是電腦保安事件響應小組(CSIRT)的官方授權。儘管各國對電腦保安事件響應小組(CSIRTs)的授權範圍存在差異,電腦保安事件響應小組(CSIRTs)仍然可能在制定和實施國家網路安全戰略方面發揮重要的作用。電腦保安事件響應小組(CSIRT)的任務一般包括:明確界定其在國家政策和法律框架中的作用和責任;對網路安全事件採取行動和做出反應的權力;明確定義電腦保安事件響應小組(CSIRT)與其他網路安全利益攸關方的關係;任務的穩定性以及成熟度和有效性的增長空間;以及資源和資金的連續性。
• 業務技術功能 是指電腦保安事件響應小組(CSIRT)為外部組織和內部組織提供的技術服務。電腦保安事件響應小組(CSIRT)可為外部組織提供主動、被動和/或其他安全管理服務。電腦保安事件響應小組(CSIRTs)還可以向其總體組織(比如,國家電腦保安事件響應小組(CSIRTs)的國家政府)提供內部服務,例如針對內部員工以及外部利益攸關方和受眾的提高網路安全意識或網路安全培訓活動。國家電腦保安事件響應小組(CSIRT)的核心業務技術功能包括事件處理和管理,並且可被指定為國家聯絡點。下面的資訊方框中提供了對電腦保安事件響應小組(CSIRTs)通常提供的外部業務-技術功能的進一步討論。
• 業務 - 組織功能 是指電腦保安事件響應小組(CSIRT)提供的資源、基礎設施和服務提供的連續性。這包括人力資源(比如,人員編制、技能水平等)、技術資源(軟體和硬體)、預算分配、培訓供應和維持24/7運營的能力。
• 合作功能 是指利益攸關方之間的縱向合作和橫向合作。在國家層面有各種各樣的利益攸關方參與到安全應急響應中,包括政府和其他公共機構、硬體和軟體提供者、操作者、服務提供者和終端使用者。網路空間是無國界的,而網路事件通常具有國際性,需要與其他國家的電腦保安事件響應小組(CSIRTs)和網路安全組織進行合作。建立和維護與所有相關的利益攸關方之間的信任和溝通對於安全應急響應來講是非常重要的。
電腦保安事件響應小組(CSIRT)的 業務 - 技術功能 可以細分為若干子類別,包括: 反應性服務:電腦保安事件響應小組(CSIRT)為響應事件提供的反應性服務。電腦保安事件響應小組(CSIRT)可以響應援助請求、事件報告、外部事件檢測或其自身電腦保安事件響應小組(CSIRT)系統中的事件檢測。 主動性服務:旨在事件發生或被檢測到之前,改進安全基礎設施和流程的主動性服務。主動性服務的主要目標是預防和減少網路安全事件的影響。 安全管理服務:旨在提高外部組織網路安全的安全管理服務。 下面的表1.1中列出了這些服務的範例。 |
電腦保安事件響應小組(CSIRT)提供的服務應該與該團隊的正式功能和任務相一致,並且應該以一種能夠實際使用可用資源提供服務的方式進行定義。電腦保安事件響應小組(CSIRT)的成功在很大程度上取決於所提供的服務質量,提供少量的、高質量的服務比提供大量的、低質量的服務要好。 |
電腦保安事件響應小組(CSIRT)提供的功能和服務可能會隨著時間的推移而發展壯大,儘管這取決於許多因素,包括規模、基礎設施、資金支援和人力資源。
6. 組織結構
在電腦保安事件響應小組(CSIRT)中有明確的角色和責任的委派是很重要的,儘管在較小的團隊中,單個個人可能會承擔多個角色。雖然許多功能都與所有電腦保安事件響應小組(CSIRT)相關,但是內部組織結構在一定程度上還是依賴於電腦保安事件響應小組(CSIRT)的任務說明、規模和範圍。建議將以下元素作為初始結構的最小組成部分:
• 管理 :這包括戰略、預算、運營組織、與外部利益攸關方的聯絡和溝通,以及媒體關係。
• 操作 :這包括事件管理和威脅監控。
• IT :這包括IT基礎設施的維護,以及對運營和研發(R&D)的支援。
• 研究和發展 :這包括技術開發、威脅和事件趨勢的統計分析、系統和工具的開發、培訓,以及運營支援等方面的研究。
• 支援服務 :這包括市場營銷、法律支援、媒體關係、行政和財務。
較大的電腦保安事件響應小組(CSIRT)通常包括另外的職能,如專家安全應急響應團隊、安全操作中心、培訓、專家資訊保安管理、內部稽核和惡意軟體取證實驗室。
建設安全應急響應能力的步驟2
Ø 為國家電腦保安事件響應小組(CSIRT)招募、發展和保留員工隊伍,負責在國家層面的安全應急響應。 |
重要的是要確保電腦保安事件響應小組(CSIRT)配備有足夠數量的專業人員,他們具有承擔安全應急響應功能所需的真正的技能。美國國家標準與技術研究所商務部,通過國家網路安全教育計劃(NICE),開發一個全面的網路安全工作框架,以便於描繪不同型別的網路安全專家角色所需要的知識、技能和能力, 從更廣泛的意義上講,包括那些與電腦保安事件響應小組(CSIRTs)和安全應急響應有關的知識、技能和能力。除了標準的管理角色和配置檔案外,電腦保安事件響應小組(CSIRT)還應聘用具有網路安全應急響應、計算機取證、資訊保障和系統開發方面專業知識和經驗的操作人員。
要取得這些專長,工作人員首先應具備下列起碼的知識水平:(一)網際網路技術和協議;(二)Linux、Unix或Windows系統(取決於目標物件的裝置);(三)網路基礎設施裝置;(四)網際網路應用;以及(五)安全威脅和風險評估。
有一些網路安全認證可以幫助確定在電腦保安事件響應小組(CSIRT)中工作的合適人選。這些網路安全認證包括:
• 電子商務理事會 (EC-Council) 認證事件處理程式 (ECIH) 專案 :ECIH是由EC-Council提供的為期兩天的培訓專案,重點是事件處理、風險管理、滲透測試、事故調查以及其他檢測和應對電腦保安威脅的原理和技術。為了獲取證書,必須在課程結束時通過考試。EC-Council是一傢俬營的網路安全技術認證機構,在全球145個國家開展業務,為公共部門和私營部門的僱員提供認證。
• GIAC 認證事件處理程式 (GCIH) :GCIH由全球資訊保證認證(GIAC)提供,是對檢測、響應和解決電腦保安事件熟練程度的認證。它不是一個培訓課程,而是一個4小時的考試,涵蓋了事件處理、檢測惡意應用程式和網路活動、常見攻擊技術、檢測和分析漏洞以及實現持續的過程改進。該認證必須每四年更新一次。GIAC是一家專注於計算機、資訊和軟體安全的私人認證公司,為政府和行業的事件處理人員提供認證。
• GIAC 響應和工業防禦 (GRID) :該GRID認證也由GIAC提供,重點是確定和保護關鍵基礎設施,比如公共設施、商業製造設施或其他型別的工業控制系統(ICS)。特別是,它要求考生展示對特定ICS的主動防禦戰略的理解,以及對特定ICS的攻擊的理解,以及這些攻擊是如何為緩解戰略提供資訊的。為了獲得認證,考生必須通過一場歷時兩個小時的考試。該認證必須每四年更新一次。
• 認證網路取證專業人員 (CCFP) :CCFP是一個專業認證,專注於取證技術和程式,實踐標準,以及法律和倫理原則,以確保網路取證證據在法庭上的可接受性。該認證旨在適用於不同的領域,包括執法、國防和安全領域的網路情報,以及私營部門。
• GIAC 計算機取證認證 :GIAC還提供一系列的網路取證認證,包括全球資訊保證認證鑑證員(GCFE)、GIAC網路取證分析師(GNFA)和GIAC高階智慧手機取證(GASF)。
建設安全應急響應能力的步驟3
Ø 建立物理設施和獲取在國家層面響應事件所需的技術能力,並培訓人員來執行這一任務。 |
電腦保安事件響應小組(CSIRT)的人員應該有專用的空間和設施,這些設施的安保措施與組織機構保護資料中心的安保措施相同。電腦保安事件響應小組(CSIRT)不應位於開放的小隔間環境中,而應位於單獨的辦公空間中,並制定限制訪問戰略,以防止未經授權訪問電腦保安事件響應小組(CSIRT)資源和資訊。電腦保安事件響應小組(CSIRT)的建築物或設施應該受到24小時的監控保護。對伺服器、通訊裝置、邏輯安全裝置和資料儲存庫的物理和邏輯訪問應該受到嚴格的訪問控制。圖1.1概述了最低設計的電腦保安事件響應小組(CSIRT)的網路體系結構。
資料來源:美洲國家組織(OAS)(2016a)
圖1.1:概述電腦保安事件響應小組(CSIRT)網路體系結構的最低設計
除了將電腦保安事件響應小組(CSIRT)安置在裝置齊全的專用設施內以外,還應向電腦保安事件響應小組(CSIRT)的人員提供定期培訓,並且更新課程,確保他們能夠有效地履行其職責。除上述技術認證外,電腦保安事件響應小組(CSIRT)的操作人員還應在內部或通過外部供應商來學習網路安全基礎和威脅、計算機和網路取證、惡意軟體分析和逆向工程,以及其他分析工具和技術等課程。
除了培訓以外,網路演習也成為培訓人員處理網路事件的有效工具。這需要評估哪些資源(例如,人員、基礎設施和通訊功能)有待進行測試,確定演習的目標和負責人員,並且將演習納入網路安全戰略。需要對演習的影響進行評估,而且評估結果將為未來演習或網路安全戰略的整體調整提供依據。
建設安全應急響應能力的步驟4
Ø 定義、記載和操作安全應急響應過程。定期檢查這些過程,以確保它們適合於不同的事件場景。 |
事件處理響應過程是電腦保安事件響應小組(CSIRT)需遵循的一組已定義好的步驟,以便於有效地應對網路安全事件,它是一個獨立於特定事件而定義和開發的過程,其目標是開發一個框架,使安全應急響應能夠採用結構化的、協調的、有系統的和一致的方法。
事件處理響應過程通常是在較高級別上進行開發的,然後針對特定型別的攻擊細化為更具體的過程。從戰略層面看,一個包羅永珍的安全應急響應過程概述了應對網路事件時應該採取的通用步驟。這些步驟的定義方式應該能夠使其適用於不同型別的攻擊,儘管如此,仍然可以針對特定的電腦保安事件響應小組(CSIRT)範圍內的事件處理響應進行調整,雖然在單個電腦保安事件響應小組(CSIRT)範圍中,根據本地需求開發事件處理響應過程是最有效的,但是已經開發了許多通用框架來支援 電腦保安事件響應小組(CSIRTs)開發其安全應急響應過程。這些框架在其分解和結構上略有不同,但大體上涵蓋了同樣的因素。
美國國家標準與技術研究所 (NIST) 安全應急響應生命週期 美國國家標準與技術研究所(NIST)將事故處理響應過程分為四個關鍵階段: (一) 準備階段 ; ( 二 ) 檢測和分析階段 ; (三)遏制、根除和恢復階段 ;以及 ( 四 ) 事件後的行動 。 |
圖1.2:安全應急響應過程範例
下列各段落依次對這些階段進行了進一步的闡述。 準備 階段是指事件發生之前的一段時間,它不僅包括應對網路攻擊所需要的技術和人的能力,還包括應對網路攻擊所需要的、清晰而協調一致的組織結構和程式。準備工作還包括為了保護系統和網路以防止攻擊的過程,儘管這通常超出了電腦保安事件響應小組(CSIRT)呈交當局解決的事項範圍。
檢測和分析階段的目的是一旦發生網路攻擊,對其進行確定和了解。在檢測階段,這涉及到引入和維持適當的技術檢測機制,以及建立能夠確定資料丟失,監控和檢測系統和網路入侵的組織程式,一旦檢測到有攻擊發生,隨後的分析應該力求瞭解該攻擊的型別、規模和影響,包括 端點分析、二進位制分析和企業捕獲 。
遏制、根除和恢復階段指的是最初確定和分析網路攻擊後的一段時間。第一階段——遏制——試圖通過阻止網路攻擊擴散到其他裝置、系統和網路,來限制網路攻擊造成的損害。然後從受影響的系統中刪除攻擊本身,例如,通過阻止攻擊者訪問網路,刪除惡意軟體和禁用已被攻擊的使用者帳戶,根除階段還應監控來自該攻擊者的任何響應,與此同時,努力識別和刪除攻擊期間最初利用的漏洞。
儘管儘快根除攻擊最重要,但滿足網路安全應急響應處理的取證要求也非常重要。這包括確保以行動日誌中詳細描述的方式收集和儲存證據的一系列保管鏈。 |
在成功遏制和根除該網路攻擊後,恢復階段開始,目標是使系統恢復正常執行標準,這包括更換和重建受損的系統,並將其重新連線到網路,刪除臨時限制,例如許可權、密碼和臨時防火牆;安裝合適的補丁,並對該系統進行測試,以確保它不會遭受到同樣的攻擊。
事故處理過程的最後一個階段是事件後的行動,這涉及到從事件中收集和儲存資訊和證據,並從該響應中學習經驗、吸取教訓,以改進未來的事件處理過程。
數字證據的正確處理是很重要的,而且要根據國家的程式立法來處理,因為如果攻擊者被確定並起訴的話,這些證據可以在刑事法庭使用。 |
為了確保在對特定事件的響應過程中完成每一個階段,可以使用 事件處理檢查清單 來跟蹤整個事件處理過程的進度。一般的事件處理過程,在可用的文獻資料中已經有不同粒度層次的詳細描述,而且應該根據電腦保安事件響應小組(CSIRT)的特定需求開發定製的檢查清單。
最後,一旦開發了一種高級別的事件處理方法,通常就可以為特定型別的網路攻擊定製這種方法。具體來說,不同型別的網路攻擊需要不同型別的遏制、根除和恢復過程,這意味著針對安全應急響應的更有針對性的方法可能比單一的總體框架更有用。
在安全應急響應的早期階段,通常很難確定網路攻擊的型別。因此,定製的過程應該使用一種通用的方法,直到確定了網路攻擊的型別,在此之後,更具體的分析、遏制、根除和恢復形式就變得重要起來了。 |
更具體的安全應急響應過程是針對特定型別的攻擊(比如,分散式拒絕服務(DDOS)攻擊或惡意軟體的檢測)而定製的。
國家和國際法律和標準安全應急響應過程包括接收事件報告、評估事件以及採取行動處理事件。因此,重要的是,安全應急響應過程不僅要有效,而且要遵守國家和國際法律和標準。例如: 國際《巴塞爾協議II》,《歐洲委員會關於網路犯罪的公約》,《歐洲委員會人權公約》,《國際會計準則》。 歐洲關於電子簽署的指示(1993/93/EC)、關於資料保護的指示(1995/46/EC)及電子通訊中隱私的指示(2002/58/EC)、關於電子通訊網路及服務的指示(2002/19/EC - 2002/22/EC)、關於公司法的指示(例如,第8號公司法指示)。 標準英國標準BS 7799(資訊保安)、國際標準ISO2700x(資訊保安管理系統)、德國IT-Grundschutzbuch、法國EBIOS等其他國家版本的標準。 |
建設安全應急響應能力的步驟5
Ø 建立一個國家級網路安全事件的註冊中心;建立定期更新註冊中心的機制,並根據環境變化及不斷演變的威脅情況發出警告。 |
國家電腦保安事件響應小組(CSIRT)應該託管一個伺服器,作為國家級事件的註冊中心,記錄和跟蹤網路安全事件。該註冊中心應該記載接收到的事件報告,以及與安全應急響應有關的進出電腦保安事件響應小組(CSIRT)的通訊記錄,並應將其用於檢查參與安全應急響應的人員的狀況。
此外,電腦保安事件響應小組(CSIRT)應該執行並定期檢查為其目標物件(使用者)和客戶建立安全諮詢警報和警告的過程。這一過程應包括下列幾個步驟:
1. 從電腦保安事件響應小組(CSIRT)的合作伙伴網路或供應商簡報和時事通訊接收關於安全漏洞的警告。
2 收集有關漏洞的資訊,並對其相關性、分類、相關風險和潛在影響進行評估。
3 準備並向電腦保安事件響應小組(CSIRT)的目標物件(使用者)釋出安全警告,說明漏洞的來源、相關性(即它所應用的軟體或硬體)、風險、影響和潛在損害、解決方案以及細節描述。
建設安全應急響應能力的步驟6
Ø 建立公共部門和私營部門之間的國家級協調機構,為政府和關鍵行業設立國家接觸點。 |
由於網路安全是一個由不同的公共和私人行為主體承擔責任和能力的領域,因此這些行為主體彼此之間的密切合作至關重要。應該採用具有接觸點的國家級協調機構和日常合作,範圍從資訊交流和分享良好做法一直到聯合行動。
建設安全應急響應能力的步驟7
Ø 建立或加入安全應急響應和資訊共享的國際和區域協調機構。 |
國家電腦保安事件響應小組(CSIRT)工作的一個重要方面涉及到與鄰國電腦保安事件響應小組(CSIRTs)發展互相受信任的工作關係。此外,國家電腦保安事件響應小組(CSIRT)可以加入某些區域和國際協調機構,以便分享和協調安全應急響應資訊。這些包括:
• 安全應急響應和安全小組論壇 (FIRST) : 按照其任務說明,FIRST是一個受信任的計算機事件響應小組國際聯盟,合作處理電腦保安事件,並促進事件預防方案的制定。具體來說,FIRST:(一)鼓勵和促進開發高質量的安全產品、政策和服務; (二)制定和推廣電腦保安方面的最佳做法實踐;以及(三)推動成立及擴張來自世界各地組織機構的安全應急響應小組及成員。FIRST:(一)開發和分享技術資料、工具、方法、過程和最佳做法實踐;以及(二)利用他們的知識、技能和經驗,來促成更安全的全球電子環境。
• 工作組( TF ) - 電腦保安事件響應小組( CSIRT ) : TF-CSIRT旨在促進歐洲各國電腦保安事件響應小組(CSIRTs)之間的協作。工作組(TF)的主要目標包括: (一)提供一個交流經驗和知識的論壇; (二)為歐洲電腦保安事件響應小組(CSIRT)共同體建立試點服務; (三)推廣對安全事件做出響應的共同標準和程式;以及(四)協助設立新的電腦保安事件響應小組(CSIRTs),並對電腦保安事件響應小組(CSIRT)的工作人員進行培訓。
• 亞太計算機應急響應小組 (APCERT) :亞太計算機應急響應小組是一個論壇,旨在維護亞太地區電腦保安專家受信任(可信)的聯絡網路,以提高該地區對電腦保安事件的認識和應變能力。APCERT的目標包括:(一)加強亞太地區和國際在資訊保安方面的合作;(二)共同制定應對大規模、區域性網路安全事件的措施;(三)促進其成員間進行資訊共享和技術交流,包括資訊保安、計算機病毒和惡意程式碼;(四)促進對其成員感興趣的課題的合作研發;(五)協助該地區內其他CERTs及電腦保安事件響應小組(CSIRTs)進行有效率的、有效的計算機應急響應;(六)提供輸入檔案和/或建議,幫助解決區域範圍內與資訊保安和應急響應有關的法律問題。
• 非洲 CERT :非洲CERT將自己描述為非洲安全應急響應小組論壇。非洲CERT的目標包括:(一)協調非洲電腦保安事件響應小組(CSIRTs)之間的合作;(二)協助非洲國家建立電腦保安事件響應小組(CSIRTs);(三)在非洲國家和國家之間促進和支援資訊和通訊技術安全方面的教育和外展方案;(四)加強非洲電腦保安事件響應小組(CSIRTs)和世界各地其他利益攸關方之間的關係;(五)鼓勵資訊通訊技術安全領域的資訊共享,以便於迅速地確定漏洞,並消除風險;(六)促進其成員之間分享最佳實踐做法和經驗,從而制定全面的網路安全框架;(七)協助非洲電腦保安事件響應小組(CSIRTs)提高網路戰備能力和增強資訊通訊技術(ICT)基礎設施的恢復能力;以及(八)促進資訊和通訊技術安全領域的合作技術研究、發展和創新。
(未完待續)
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。