CISA发布国家网络事件响应计划(NCIRP)-2024年

网络安全和基础设施安全局 (CISA) 公布了国家网络事件响应计划 (NCIRP) 的更新版本，这是一个战略框架，用于协调联邦、州、地方、部落和领土 (SLTT) 政府、私营部门实体和国际合作伙伴如何根据总统政策指令 41 (PPD-41) 应对重大网络事件。

此举是对全国范围内针对关键基础设施和政府系统日益复杂的网络威胁的直接回应。

NCIRP 的更新与 2023 年国家网络安全战略相一致，该战略要求修订 2016 年版本以反映当前的网络威胁形势、法律发展和组织能力的进步。

修订后的计划引入了新机制，以加强政府实体和私营部门之间的合作，使利益相关者能够发现、应对重大网络攻击并从中恢复。

更新后的 NCIRP 的主要特点

NCIRP 强调灵活性和全国统一努力，认识到每个网络事件都是独一无二的。虽然该计划没有提供分步说明，但它为网络事件期间的协调和合作提供了明确的框架。

该文件概述了参与者在整个事件生命周期中的潜在角色、决策过程和关键响应活动。

CISA 鼓励私营部门、SLTT 政府和民间社会组织审查更新后的 NCIRP，并将其原则融入到他们自己的网络安全规划和运营中。

该计划围绕四个关键的“努力方向”（LOE）构建，每个方向均由指定的牵头机构管理：

1. 资产响应：由 CISA 领导，这项工作重点是协助受影响的实体保护和恢复其网络资产。

2. 威胁响应：由司法部 (DOJ) 和联邦调查局 (FBI) 牵头，该 LOE 旨在识别和缓解网络威胁行为者。

3. 情报支持：由国家情报总监办公室（ODNI）管理，该线路促进情报共享，以增强态势感知。

4. 受影响实体响应：在涉及联邦部门或机构的案件中，每个受影响实体都会与 CISA 或美国网络司令部等专业组织合作协调其响应。

NCIRP 还整合了其他联邦框架的观点，如联邦紧急事务管理局 (FEMA) 的国家响应框架，以应对网络空间以外更广泛后果的事件，例如关键物理基础设施的破坏或公共健康风险。

增强协调结构

为了应对日益复杂的网络事件，NCIRP 定义了两个关键的协调结构：

• 网络响应小组 (CRG)：由总统领导的这个执行办公室负责监督重大网络事件的政策制定和战略指导。

• 网络统一协调组 (Cyber UCG)：网络统一协调组是主要的国家行动协调机制，在重大事件期间协调四个 LOE 的努力。

这些机制根据事件的严重程度和影响程度启动，由网络事件严重程度模式确定，该模式按五个等级评估事件。重大事件（3 级及以上）需要全面实施 NCIRP 的协调机制。

网络事件响应阶段

NCIRP 将网络事件响应分为两个主要阶段：

1. 检测阶段：此阶段侧重于识别、验证和评估潜在网络事件的严重性。关键活动包括协作风险评估、与受影响实体共享信息以及确定是否需要协调联邦响应。

2. 响应阶段：一旦确认发生事件，响应工作旨在遏制、根除攻击并从中恢复。此阶段还包括执法调查，以确定事件原因并追究肇事者的责任。

重大网络事件发生后，NCIRP 强调吸取和运用经验教训以改进未来应对工作的重要性。

由 CRG 和其他实体（例如根据第 14028 号行政命令设立的网络安全审查委员会）牵头的审查将评估应对措施的有效性并提出改进建议。

此次更新正值人们对外国网络威胁的担忧加剧之际。在今年早些时候的国会听证会上，CISA 主任 Jen Easterly 警告称，包括“Volt Typhoon”等中国组织在内的民族国家行为者发起了持续性的高级威胁，据报道这些威胁已经渗透到美国关键基础设施。修订后的 NCIRP 旨在增强国家快速检测和应对此类攻击的能力。

CISA 敦促各个行业的组织将 NCIRP 纳入其网络安全规划和运营中。

这包括采用事件报告的最佳实践、与关键机构和特定行业的风险管理实体发展关系、以及参与联合网络防御协作组织 (JCDC) 等合作计划。

随着网络威胁的不断发展，CISA 致力于定期更新 NCIRP，以确保它仍然是协调国家应对网络事件的实用有效工具。

该机构还计划开发额外资源，例如特定行业的附件和应急计划，以进一步增强应对能力。

— 欢迎关注