信息安全手册之网络安全事件指南

检测网络安全事件

² 网络安全事件

网络安全事件是指系统、服务或网络状态的发生，表明可能违反安全策略、保护措施失败或以前可能与安全相关的未知情况。

² 网络安全事件

网络安全事件是不需要的或意外的网络安全事件，或一系列此类事件，具有很大损害业务运营的可能性。

² 网络弹性

网络弹性是指能够适应网络安全事件造成的中断，同时保持持续的业务运营。这包括检测、管理和从网络安全事件中恢复的能力。

² 检测网络安全事件

检测和调查网络安全事件的核心要素之一是适当数据源的可用性。幸运的是，许多数据源可以从现有系统中提取，而无需专门的功能。

下表描述了组织可用于检测和调查网络安全事件的一些数据源。

数据源	描述
域名系统日志	可以帮助识别试图解析恶意域或 Internet 协议地址的尝试，这些尝试可能指示存在利用漏洞或成功入侵。
电子邮件服务器日志	可以帮助识别鱼叉式网络钓鱼电子邮件的目标用户。还可以帮助确定妥协的初始向量。
操作系统事件日志	可以协助跟踪流程执行，文件/注册表/网络活动，身份验证事件，操作系统创建的安全警报和其他活动。
安全软件和设备日志	可以帮助识别异常或恶意活动，这些活动可能表示存在利用尝试或成功入侵。
虚拟专用网络和远程访问日志	可以帮助识别与恶意活动相关的异常源地址、访问时间和登录/注销时间。
代理日志	可以帮助识别基于超文本传输协议的向量和恶意软件通信流量。

² 入侵检测和防御策略

建立入侵检测和防御策略可以增加检测并随后阻止网络和主机上的恶意活动的可能性。在此过程中，入侵检测和防御策略可能涵盖以下内容：

1. 使用的基于网络的入侵检测和防御方法；

2. 使用的基于主机的入侵检测和防御方法；

3. 报告和响应检测到的入侵的指南；

4. 分配给入侵检测和预防活动的资源。

制定并实施了入侵检测和防御策略。

² 值得信赖的内部人员计划

由于受信任的内部人员的系统访问和对业务流程的了解通常使它们更难检测，因此建立受信任的内部人员程序可以帮助组织在受信任的内部人员威胁发生之前检测和响应它们，或者在发生损害时限制损害。在此过程中，组织可能会通过记录和分析用户活动来获得最大的收益：

过度复制或修改文件

1. 未经授权或过度使用可移动介质；

2. 将能够存储数据的设备连接到系统（例如移动设备和数码相机）；

3. 正常工作时间以外系统异常使用；

4. 与同行相比，数据访问或打印过多；

5. 数据传输到未经授权的云服务或网络邮件；

6. 使用未经授权的虚拟专用网络、文件传输应用程序或匿名网络。

开发并实施了受信任的内部人员计划。

就可信赖的内部计划的发展和实施寻求法律意见。

² 访问足够的数据源和工具

成功检测网络安全事件需要训练有素的网络安全人员能够访问足够的数据源，并辅以支持手动和自动分析的工具。因此，重要的是，在系统设计和开发活动期间，向系统添加功能，以确保可以捕获足够的数据源并将其提供给网络安全人员。

网络安全人员可以访问足够的数据源和工具，以确保可以监控系统的关键危害指标。

管理网络安全事件

² 网络安全事件登记

在登记册中记录网络安全事件有助于确保开展适当的补救活动。此外，网络安全事件的类型和频率等信息，以及任何补救活动的成本，都可以用作未来风险评估活动的输入。

维护网络安全事件登记册，涵盖以下内容：

1. 网络安全事件发生的日期

2. 发现网络安全事件的日期

3. 网络安全事件的描述

4. 为应对网络安全事件而采取的任何行动

5. 向谁报告了网络安全事件。

² 处理和控制数据溢出

当发生数据溢出时，组织应通知数据所有者并限制对数据的访问。这样，受影响的系统可以关闭电源，删除其网络连接或对数据应用其他访问控制。但应该指出的是，关闭系统电源可能会破坏对取证调查有用的数据。此外，应让用户了解在发生数据溢出时应采取的适当措施，例如不删除，复制，打印或通过电子邮件发送数据。

当发生数据溢出时，建议数据所有者并限制对数据的访问。

² 处理和遏制恶意代码感染

在发现恶意代码后立即采取补救措施可以最大限度地减少根除感染和恢复所花费的时间和成本。作为优先事项，应隔离所有受感染的系统和介质，以防止感染传播。隔离后，防病毒软件可以扫描受感染的系统和介质，以潜在地删除感染或恢复数据。但重要的是要注意，从已知良好的备份或重建中完全还原系统可能是确保恶意代码可以真正根除或恢复数据的唯一可靠方法。

当检测到恶意代码时，将采取以下步骤来处理感染：

1.   隔离受感染的系统；

2.   在感染前使用的所有先前连接的介质都扫描感染迹象，并在必要时进行隔离；

3.   防病毒软件用于从受感染的系统和媒体中删除感染；

4.   如果无法可靠地消除感染，系统将从已知良好的备份中恢复或重建。

² 处理和遏制入侵

当在系统上检测到入侵时，组织可能希望允许入侵持续一小段时间，以便充分了解入侵的程度并协助规划入侵补救活动。允许入侵继续的组织应首先与其法律顾问确定任何行动（例如收集进一步的数据或证据）是否会违反1979年《电信（拦截和访问）法》。

为了增加入侵修复活动成功将攻击者从其系统中删除的可能性，组织可以采取预防措施，以确保攻击者对计划的入侵修复活动的预警和意识有限。具体而言，使用替代系统来规划和协调入侵修复活动将防止在攻击者的电子邮件、消息传递或协作服务受到威胁时向他们发出警报。此外，在同一计划中断期间以协调方式执行入侵修复活动将阻止预先警告对手，从而剥夺他们足够的时间在系统上建立替代接入点或持久性方法。

在入侵修复活动之后，组织应确定对手是否已成功从系统中移除，包括他们是否已重新获得访问权限。这可以通过在修复活动后至少七天内捕获和分析网络流量来实现。

在允许入侵活动继续在系统上收集进一步的数据或证据之前，会寻求法律建议。

在允许入侵活动继续在系统上以收集更多数据或证据之前，请咨询系统所有者。

入侵修复活动的规划和协调是在与已受到损害的单独系统上进行的。

在可能的情况下，所有入侵修复活动都在同一计划中断期间以协调的方式进行。

在进行入侵修复活动后，将捕获至少七天的完整网络流量并进行分析，以确定是否已成功从系统中移除对手。

² 证据的完整性

在网络安全事件发生后收集证据时，保持其完整性非常重要。尽管调查可能不会直接导致起诉，但重要的是要保护证据的完整性，例如手动日志，自动审计跟踪和入侵检测工具输出。

如果要求监管方介入，不应采取任何可能影响证据完整性的行动。调查人员保持调查期间收集的证据的完整性：

1.记录他们所有的行为

2.为所有证据创建校验和

3.将证据拷贝到介质上进行存档

4.维护适当的监管链。

报告网络安全事件

² 报告网络安全事件

在发生或发现网络安全事件（包括计划外停机）后尽快向组织的首席信息安全官（CISO）或其一名代表报告网络安全事件，为高级管理层提供了评估对其组织的影响并在必要时采取补救措施的机会。在此过程中，组织应认识到有关向当局，客户或公众报告网络安全事件的任何立法义务。

网络安全事件在发生或被发现后尽快报告给组织的CISO或其代表之一。

服务提供商在发生或发现网络安全事件后尽快向客户的CISO或其代表之一报告网络安全事件。

服务提供商及其客户相互维护 24x7 全天候的联系方式，包括正常通信渠道出现故障时的其他联系方式，以便报告网络安全事件。

² 报告网络安全事件

监管部门使用其收到的网络安全事件报告作为向组织提供援助的基础。还使用网络安全事件报告来识别趋势并保持准确的威胁环境图景。利用这种理解来协助开发新的和更新的网络安全建议，能力和技术，以更好地预防和应对不断变化的网络威胁。建议组织在内部协调其向报告网络安全事件。

应向监管部门报告的网络安全事件类型包括：

1.     可疑活动（例如域管理员账户锁定和异常远程访问活动）；

2.     敏感或机密数据受损；

3.     未经授权的访问或试图访问系统；

4.     包含可疑附件或链接的电子邮件；

5.     拒绝服务攻击；

6.     勒索软件攻击；

7.     涉嫌篡改ICT设备或移动设备。

注：本文档翻译参考来源为ACSC，部分词汇在本文中做了技术性调整

---

关注公众号

回复“220325”获取机翻版“2022年X-Force威胁情报指数”PDF版

回复“220213”获取“小型企业网络安全指南”PDF版

• 态势感知之网络安全态势感知简介
  

• 态势感知之安德斯雷理论模型简介

• 网络安全态势感知：资产和风险

• 网络安全态势感知：有效政策和控制的三个关键原则

• 网络安全态势感知：端点可见性
  

• 什么是态势感知？让我们一起“找找感觉”
  

• 美国网络空间态势感知系统之“爱因斯坦”
  

• 美国网络空间态势感知系统之“爱因斯坦”(二)
  

• 美国态势感知系统之通用作战视图平台“九头蛇”
  

• 美国态势感知系统之从“IKE项目”说开去
  

• 美国态势感知系统之从“IKE项目”说开去（二）
  

• 美国态势感知系统之“统一平台”
  

• 美国态势感知之“Cyber SU”
  

• 美国态势感知之“CPCE”

• 美军空域态势感知之“ASTARTE”项目

原文始发于微信公众号（祺印说信安）：信息安全手册之网络安全事件指南