概览
本出版物旨在帮助组织按照NIST网络安全框架(CSF)2.0的规定,在其网络安全风险管理活动中纳入网络安全事件响应建议和注意事项。这样做可以帮助组织为事件响应做好准备,减少发生的事件的数量和影响,并提高其事件检测、响应和恢复活动的效率和有效性。鼓励读者将在线资源与本文档结合使用,以获取有关实施这些建议和注意事项的其他信息。
关键字
网络威胁信息共享;网络安全框架;网络安全事件;网络安全风险管理;事件处理;事件管理;事件响应。
计算机系统技术报告
美国国家标准与技术研究院(NIST)的信息技术实验室(ITL)通过为国家的测量和标准基础设施提供技术领导来促进美国经济和公共福利。ITL开发测试、测试方法、参考数据、概念验证实施和技术分析,以推进信息技术的开发和生产使用。ITL 的职责包括制定管理、行政、技术和物理标准和指导方针,以确保联邦信息系统中除国家安全相关信息以外的其他信息的成本效益安全和隐私。SP 800系列报告了ITL在信息系统安全方面的研究、指南和外展工作,以及它与行业、政府和学术组织的合作活动。
补充内容
NIST建立了一个事件响应项目页面,其中包含指向资源的链接,其中包含有关事件响应活动的其他信息。通过将链接从本文档移动到网站,NIST 可以根据需要更新和扩展它们,而无需发布此出版物的新版本。
有关CSF 2.0社区配置文件的更多信息,请参阅框架资源中心。
观众
本出版物的目标受众包括网络安全计划领导、网络安全人员以及负责准备、检测、响应网络安全事件或从中恢复的其他人员。本出版物旨在供大多数组织使用,无论行业、规模或其他因素如何。
商标信息
所有注册商标均属于其各自的组织。
专利披露通知
注意:ITL已要求为遵守本出版物的指导或要求而需要使用的专利权利要求的专利权利要求的持有人向ITL披露此类专利权利要求。但是,专利持有人没有义务响应ITL的专利申请,ITL也没有进行专利检索以确定哪些专利(如果有的话)可以适用于本出版物。
截至发布之日以及随后的呼吁,以确定为遵守本出版物的指导或要求而可能需要使用的专利权利要求,尚未向ITL确定此类专利权利要求。
ITL公司不作任何声明或暗示,在使用本出版物时不需要许可证来避免专利侵权。
摘要
事件响应是网络安全风险管理的关键部分,应集成到组织运营中。所有六项 NIST网络安全框架(CSF)2.0功能在事件响应中都发挥着至关重要的作用:
·治理、识别和保护可帮助组织防止某些事件,准备处理已发生的事件,减少这些事件的影响,并根据从这些事件中吸取的经验教训改进事件响应和网络安全风险管理实践。
·Detect, Respond, and Recover 可帮助组织发现、管理、确定优先级、遏制、根除网络安全事件并从中恢复,以及执行事件报告、通知和其他与事件相关的通信。
许多个人、团队和第三方在支持组织事件响应的所有职能中担任各种角色和职责。组织无法直接控制对手使用的策略和技术,除了知道另一起事件是不可避免的之外,他们也不确定未来事件的时间。
但是,组织可以使用最适合他们的事件响应生命周期框架或模型来制定强大的网络安全风险管理实践,将其风险降低到可接受的水平。
本出版物使用CSF 2.0 功能、类别和子类别来组织其建议、注意事项和有关事件响应的其他信息,作为CSF
2.0社区简介。这样做提供了一个通用的分类法,该分类法已广泛用于传达事件响应和网络安全风险管理和治理。这还使组织能够通过NIST网络安全和隐私参考工具(CPRT)访问映射到每个功能、类别和子类别的一系列在线资源。这些资源包括与其他事件响应和网络安全风险管理标准和指南的映射,以及组织可以根据需要选择使用的实施指南来源。
组织应使用最适合他们的事件响应生命周期框架或模型。本文档中的模型基于CSF 2.0,以利用CSF 2.0和已在使用CSF的援助组织可用的大量资源。无论使用何种事件响应生命周期框架或模型,每个组织都应在整个网络安全风险管理活动中考虑事件响应。
1.介绍
在本文档中, 事件是指涉及计算资产(包括物理和虚拟平台、网络、服务和云环境)的任何可观察事件。事件的示例包括用户登录尝试、软件更新的安装以及应用程序响应事务请求。许多活动侧重于安全性或具有安全隐患。不良事件 是与负面后果相关的任何事件,无论原因如何,包括自然灾害、电力故障或网络安全攻击。本指南仅讨论不利的网络安全事件。通常需要进行其他分析,以确定不利的网络安全事件是否表明已经发生了网络安全事件。
网络安全事件(或简称事件)是
|
...未经合法授权,实际或即将危及信息或信息系统的完整性、机密性或可用性的事件;或构成违反法律、安全策略、安全程序或可接受使用策略或即将发生的威胁。[FISMA2014] |
事件示例包括攻击者:
·使用僵尸网络向面向 Internet 的服务发送大量连接请求,使其对合法服务用户不可用
·在软件即服务提供商处获取管理凭据,这会使委托给该提供商的敏感租户数据面临风险
·侵入组织的业务网络以窃取凭据,并使用它们指示工业控制系统关闭或销毁关键物理组件,从而导致重大服务中断
·部署勒索软件以防止使用计算机系统,并通过从这些系统复制文件来导致多个数据泄露
·使用网络钓鱼电子邮件入侵用户帐户,并使用这些帐户进行财务欺诈
·识别网络管理设备中的新漏洞,并利用该漏洞未经授权访问网络通信
·破坏供应商的软件,该软件随后分发给处于受损状态的客户
由于网络安全事件可能会对组织及其客户、业务合作伙伴和其他人造成损害,因此在事件发生时快速有效地做出响应至关重要。通过分析信息并采取适当的措施,有效实施事件响应流程,可以系统地响应事件并从事件中恢复。这通过最大限度地减少数据丢失或盗窃、服务中断以及事件的整体影响来降低网络安全和企业风险。从事件响应活动和根本原因分析中吸取的经验教训有助于改进网络安全风险管理和治理工作,并确保组织更好地准备识别其当前的技术资产和网络安全风险,保护其资产,以及检测、响应未来事件并从中恢复。
1.1.目的和范围
本出版物旨在帮助组织在其网络安全风险管理活动中纳入网络安全事件响应建议和注意事项。它还提供了一种通用语言,所有组织都可以使用该语言在内部和外部就其事件响应计划和活动进行沟通。
本出版物的范围与以前的版本有很大不同。由于如何执行事件响应活动的细节经常变化,并且因技术、环境和组织而异,因此在单个静态发布中捕获和维护该信息已不再可行。相反,此版本侧重于改进所有 NIST 网络安全框架 (CSF)2.0 功能 [CSF2.0] 的网络安全风险管理,以更好地支持组织的事件响应能力。
鼓励读者将其他 NIST 资源与本文档结合使用,包括 CSF 2.0 出版物和补充资源、事件响应项目页面,以及通过 NIST网络安全和隐私参考工具(CPRT)提供的有关实施事件响应注意事项的其他信息源的映射。CPRT映射的一个示例是将CSF 2.0结果与NIST特别出版物 SP 800-53控制措施相关联,这些控制措施可以实施以帮助实现结果。通过这种方式,CSF 2.0提供了一种公共语言,便于访问大量其他资源。
本出版物取代 SP 800-61r2(修订版 2), 《计算机安全事件处理指南》 [SP800-61r2]。
1.2.文档结构
本文档的其余部分分为以下各节和附录:
·第2节讨论了事件响应如何演变为网络安全风险管理的关键部分,以及事件响应生命周期的概念如何发生变化以反映这一点。
·第3节介绍了组织网络安全风险管理实践的事件响应建议和注意事项。它们被组织和记录为 CSF 2.0 社区配置文件。
· 参考文献”部分列出了本出版物中引用的参考文献。
·附录A和录B分别提供首字母缩略词列表和词汇表。
·录C包含自上一次修订以来所做的主要更改的更改日志。
2.事件响应是网络安全风险管理的一部分
本节介绍了事件响应的基本概念,这些概念是网络安全风险管理不可或缺的一部分。第2.1节探讨了事件响应生命周期,并提出了一种基于 CSF 2.0 函数的新生命周期模型。第 2.2节讨论了组织内部和外部的事件响应角色和职责。最后,第 .3节简要介绍了事件响应策略、流程和程序。
2.1.事件响应生命周期模型
图 1 描述了本出版物早期版本 [SP800-61r2] 中所示的事件响应生命周期模型。
图 1.以前的事件响应生命周期模型
当时,事件相对罕见,大多数事件的范围狭窄且定义明确,事件响应和恢复通常在一两天内完成。在这些情况下,将事件响应视为由单独的人员团队执行的一组单独的活动,并将所有事件响应活动描述为循环生命周期的一部分是现实的。正式的事故后活动将确定需要的改进并将其纳入准备阶段,从而重新开始循环。事件响应活动通常是间歇性的,而不是连续的。
但是,从那时起,事件响应的现状发生了很大变化。今天,事件频繁发生,造成的破坏要大得多。由于它们的广度、复杂性和动态性质,从中恢复通常需要数周或数月的时间。事件响应现在被认为是网络安全风险管理的关键部分,应该在组织运营中集成。在事件响应过程中吸取的经验教训通常应在发现后立即分享,而不是等到恢复结束后才分享。为了跟上现代威胁,网络安全风险管理的各个方面都越来越需要持续改进。
图 2显示了基于六个 CSF 2.0 功能的高级事件响应生命周期模型,这些功能在其最高级别组织网络安全结果:
·治理 (GV): 建立、沟通和监控组织的网络安全风险管理策略、期望和政策。
·识别(ID): 了解组织当前的网络安全风险。
·保护 (PR): 使用保护措施来管理组织的网络安全风险。
·检测 (DE): 发现并分析可能的网络安全攻击和危害。
·响应 (RS): 针对检测到的网络安全事件采取措施。
·恢复 (RC): 恢复受网络安全事件影响的资产和作。
所有 6 项职能在事件响应中都发挥着至关重要的作用。治理、识别和保护可帮助组织防止某些事件,准备处理已发生的事件,减少这些事件的影响,并根据经验教训改进事件响应和网络安全风险管理实践。Detect, Respond, and Recover 可帮助组织发现、管理、确定优先级、遏制、根除网络安全事件并从中恢复,以及执行事件报告、通知和其他与事件相关的通信。
图 2.基于 CSF 2.0 函数的事件响应生命周期模型
底层反映了治理、识别和保护的准备活动不是事件响应本身的一部分。相反,它们是更广泛的网络安全风险管理活动,也支持事件响应。事件响应显示在图的顶层:检测、响应和恢复。此外,持续改进的需求以中间级别表示,其中,识别功能中的 提升类(ID.IM) 和绿色虚线。从所有职能部门中执行所有活动中获得的经验教训被纳入改进部门,这些经验教训被分析、确定优先级并用于通知所有职能部门。这反映出组织可以随时吸取新的教训
(例如,检测新威胁的存在并描述其行为)并将这些经验教训传达给适当的人员,以便根据需要调整组织的事件响应和其他网络安全风险管理策略、流程和实践。
表 1将以前的SP 800-61 事件响应生命周期模型的阶段映射到本文档中使用的相应 CSF 2.0 函数。
表 1.以前的事件响应生命周期模型的阶段和相应的 CSF 2.0 函数
|
上一个事件响应生命周期模型阶段 |
CSF 2.0 功能 |
|
准备 |
治理 |
|
识别 (所有类别) |
|
|
保护 |
|
|
检测与分析 |
检测 |
|
识别(改进类别) |
|
|
遏制、根除和恢复 |
响应 |
|
恢复 |
|
|
识别(改进类别) |
|
|
事故后活动 |
识别(改进类别) |
组织应使用最适合他们的事件响应生命周期框架或模型。本文档中的模型基于 CSF 2.0,以利用 CSF 2.0 和已在使用 CSF 的援助组织可用的大量资源。适合组织的事件响应生命周期框架或模型取决于许多因素;例如,与其他组织相比,规模更大、更依赖技术的组织可能会从使用强调持续改进的框架或模型中受益更多。无论使用何种事件响应生命周期框架或模型,每个组织都应在整个网络安全风险管理活动中考虑事件响应。
2.2.事件响应角色和职责
过去,事件响应活动几乎完全由组织自己的事件响应团队的事件处理人员执行。今天,虽然事件处理程序仍然至关重要,但大多数组织越来越认识到,其事件响应工作的成功取决于许多内部和外部各方的参与,这些各方担任着各种各样的角色和职责,并且可能分布在世界各地。每个组织的角色和职责都不同,组织内部也可能根据特定事件的性质而有所不同。
事件响应角色和职责的示例包括:
·领导力。 该组织的领导团队负责监督事件响应、分配资金,并可能拥有对高影响响应行动的决策权,例如关闭或重建关键服务。
·事件处理程序。 事件处理人员验证事件是否已发生,收集和分析数据和证据,确定事件响应活动的优先级,并采取适当行动来限制损害、查找根本原因并恢复作。事件处理人员还经常向其他人提供关于缓解网络安全问题和提高弹性的意见。组织的事件处理程序可能是:
o在员工(例如,事件响应团队),
o签订合同(例如,将安全运营中心 [SOC] 外包给托管安全服务提供商 [MSSP],或者在云服务提供商的云中发生事件时利用该提供商的事件响应团队),和/或
o在需要时可用(例如,从上级组织、网络安全服务提供商、业务合作伙伴或执法机构处提供)。
许多组织可能会使用其中不止一种方法,例如在内部执行基本事件响应,并寻求第三方资源以协助处理某些事件。较大的组织可能有多个事件响应团队,每个团队负责组织的特定逻辑或物理部分。采用此模型时,团队应属于单个协调实体(例如,联盟),以确保事件响应流程、程序和培训在整个组织中保持一致,并在团队之间共享信息。
·技术专业人士。 网络安全、隐私、系统、网络、云和其他技术架构师、工程师和管理员以及软件开发人员都可能参与事件响应和恢复工作。
·法律。法律专家可以审查事件响应计划、政策和程序,以确保遵守适用的法律和法规,包括隐私权。当存在事件响应影响时,法律专家还可以审查与技术供应商和其他第三方的合同。此外,如果特定事件可能具有法律后果,例如起诉嫌疑人、提起诉讼或需要谅解备忘录 (MOU) 或其他具有约束力的协议的情况,事件响应者可以向其组织的法律部门寻求指导。
·公共事务和媒体关系。 根据事件的性质和影响,可能需要通知媒体,进而通知公众。有时,媒体通过其他来源(即不是通过公共事务人员)了解事件。在这种情况下,制定媒体参与策略可以有很大帮助。
·人力资源。 某些人力资源实践应考虑网络安全风险管理,包括职前筛选和员工入职、离职和职位变动。如果怀疑员工故意制造事件,也可能涉及人力资源。
·物理安全和设施管理。一些计算机安全事件是通过物理安全漏洞发生的,或者涉及协调的逻辑和物理攻击。事件响应团队在事件处理期间可能还需要访问设施(例如,访问上锁办公室中受感染的工作站)。
·资产所有者。 资产所有者(例如,系统所有者、数据所有者和业务流程所有者)可能对其受影响资产的响应和恢复优先级有有价值的见解。他们还需要及时了解响应和恢复工作的状态。
第三方可能与组织签订合同,以帮助执行事件响应活动。一些第三方可能担任主要角色(例如,执行事件检测、响应和恢复活动的 MSSP),而其他方(例如,云服务提供商 [CSP] 和互联网服务提供商 [ISP])可能参与特定类型事件的某些事件响应活动。这是一种 责任共担模型 ,其中组织将其部分责任转移给提供商。这些责任应在合同中明确定义,事件响应团队应了解责任划分,包括信息流、协调和代表组织行事的权力。这还包括对服务提供商可以执行的作的限制,例如与其他客户共享经过净化的事件信息或制定和实施运营决策(例如,立即停用某些服务以遏制事件)。
服务提供商可以比单个组织更快地检测到恶意活动,因为它可以关联其客户之间的事件。在某些情况下,服务提供商可能能够利用对一个客户事件的了解来主动防止其他客户发生类似事件。服务提供商通常具有对组织系统的特权访问权限,也可能有权访问敏感的组织数据。因此,应考虑并解决恶意内部人员或服务提供商被入侵的风险。保密协议 (NDA) 和合同条款是阻止未经授权披露敏感数据的选项。
2.3.事件响应策略、流程和程序
组织应制定管理其网络安全事件响应的政策。虽然策略因组织而异,但大多数事件响应策略都包含相同的关键要素:
·管理层承诺声明
·政策的目的和目标
·政策的范围(即政策的对象、适用内容和情况)
·事件、网络安全事件、调查和相关术语的定义
·角色、职责和权限,例如哪些角色有权没收、断开或关闭技术资产
·确定事件优先级、估计事件严重性、启动恢复流程、维护或恢复运营以及其他关键作的准则
·绩效衡量标准
流程和程序应基于事件响应策略和计划。记录在案的程序应说明应如何执行技术流程和其他作程序。可以定期测试或演练程序以验证其准确性,并可用于帮助培训新人员。虽然不可能针对每种可能的情况都有详细的程序,但组织应考虑记录应对最常见类型的事件和威胁的程序。组织还应为紧急情况下可能急需的特别重要的流程制定和维护程序,例如重新部署组织的主要身份验证平台。
许多组织选择创建 playbook 作为记录其过程的一部分。Playbook为用户提供了在各种场景或情况下可执行的可作步骤或任务。在 playbook 中格式化过程而不是其他格式可以提高其可用性。请参阅网络安全和基础设施安全局(CISA) 网络安全事件和漏洞响应手册 [CISA-PB]以获取事件响应手册示例。
3.CSF 2.0 网络事件风险管理社区概况
CSF 社区概况 是 CSF 结果的基线,创建和发布该指标旨在解决许多组织之间降低网络安全风险的共同利益和目标。Community Profile 通常是针对特定行业、子行业、技术、威胁类型或其他用例[CSF2.0] 开发的。
本节定义了 NIST 的 CSF 2.0 社区概况,用于网络事件风险管理。它使用 CSF 核心作为基础,突出和优先考虑对事件响应很重要的网络安全结果,提出建议,并为事件响应 [CSWP32] 中的某些 CSF 结果提供其他支持信息。Community Profile 分为两个表:表 2涵盖准备(治理、识别和保护)和经验教训(识别改进),而表 3涵盖事件响应(检测、响应和恢复)。
每个 CSF 2.0 函数、类别和子类别在两个表之一中都有自己的行。在事件响应上下文中,每行的相对优先级 由以下选项之一表示:
·高: 作为大多数组织的核心事件响应活动
·中: 直接支持大多数组织的事件响应活动
·低: 间接支持大多数组织的事件响应活动
这些优先事项旨在为组织提供一个起点,我们鼓励组织自定义此社区个人资料以反映自己的优先事项和需求。
最后一列可能包含一个或多个项目,这些项目建议执行哪些作或描述某些行的其他注意事项或支持信息。该列中的每个项目都有一个以以下之一开头的 ID:
·“R” (建议:组织应该做的事情)
·“C”(考虑:组织应考虑做的事情)
·“N”(注意:除建议和注意事项外的其他信息)
R、C 或 N 名称及其ID.可以附加到行的 CSF ID 中,以创建在社区配置文件中唯一的标识符(例如,“GV.OC-03 的。R1“是 CSF子类别 GV 的建议 1。OC-03)。
在 CSF 的更高级别 (函数 或 类别) 所做的建议、注意事项和注释也适用于其组件元素 (类别 或 子类别)。
这些建议、注意事项和注释补充了 CSF 2.0 通过其文档和在线资源已经提供的内容。这些建议、注意事项和说明并不全面,并非所有建议、注意事项和注释都适用于每个组织。建议、注意事项和注释中提到的技术是截至撰写本文时的示例,可能会过时。
某些建议、注意事项和注释使用本出版物中未定义的术语(例如,“数据泄露”)。采用 Community Profile 的组织应根据自己的环境、使用案例以及适用的法律法规来定义这些术语。读者还可以选择查阅NIST 的词汇表,其中包含来自众多 NIST 标准、指南和其他出版物的术语和定义的汇总。
Community Profile 旨在供大多数组织使用,无论行业、规模或其他因素如何。此社区个人资料的其他版本可以针对较窄的受众开发,例如联邦机构、小型企业或教育机构。有关 CSF 2.0 社区配置文件的更多信息,请参阅框架资源中心。
3.1.准备工作和经验教训
表 2包含社区概况的第一部分:准备和经验教训,它们都支持表 3 中定义的社区概况的事件响应部分。
|
注意:配置文件的这一部分中的大多数 CSF 元素并不特定于执行事件响应活动,因此它们在事件响应方面的优先级较低,并且不包含建议或注意事项。 这并不意味着组织没有必要实现这些目标,而是它们超出了响应事件的直接范围。 |
表 2.CSF 2.0 社区概况第 1 部分:准备工作和经验教训
|
CSF要素 |
CSF 元素描述 |
优先级 |
建议、注意事项、注释 |
|
GV(治理) |
建立、沟通和监控组织的网络安全风险管理策略、期望和政策 |
低 |
|
|
GV.OC(组织环境) |
了解围绕组织网络安全风险管理决策的环境(使命、利益相关者期望、依赖关系以及法律、法规和合同要求) |
低 |
|
|
GV.OC-01 |
了解组织使命并为网络安全风险管理提供信息 |
低 |
|
|
GV.OC-02 |
了解内部和外部利益相关者,并了解和考虑他们对网络安全风险管理的需求和期望 |
低 |
|
|
GV.OC-03 |
了解和管理有关网络安全的法律、法规和合同要求(包括隐私和公民自由义务) |
中 |
R1: 网络安全要求应包括与事件通知、数据泄露报告和事件响应的其他方面相关的所有要求。 |
|
GV.OC-04 |
外部利益相关者所依赖或期望组织的关键目标、能力和服务得到理解和沟通 |
中 |
注 1: 了解组织运营的关键外部依赖关系有助于确定响应和恢复工作的优先级。 |
|
GV.OC-05 |
理解和传达组织所依赖的结果、能力和服务 |
中 |
注 1: 了解对外部资源(例如,基于云的托管服务提供商和托管服务提供商)的关键依赖关系有助于确定响应和恢复工作的优先级。 |
|
GV.RM(风险管理策略) |
建立、传达和用于支持运营风险决策的组织优先事项、约束条件、风险承受能力和偏好声明以及假设 |
低 |
|
|
GV.RM-01 |
风险管理目标由组织利益相关者建立并同意 |
低 |
|
|
GV.RM-02 |
建立、传达和维护风险偏好和风险承受能力声明 |
低 |
|
|
GV.RM-03 |
网络安全风险管理活动和结果包含在企业风险管理流程中 |
中 |
R1: 制定流程,以便根据组织面临的其他类型的风险(例如隐私、运营、安全、声誉、AI)而不是孤立的网络安全风险来制定与事件相关的决策。 |
|
GV.RM-04 |
建立并传达描述适当风险应对方案的战略方向 |
低 |
|
|
GV.RM-05 |
针对网络安全风险(包括来自供应商和其他第三方的风险),在整个组织内建立沟通渠道 |
低 |
|
|
GV.RM-06 |
建立并传达了计算、记录、分类和确定网络安全风险优先级的标准化方法 |
中 |
注 1: 拥有计算网络安全风险的标准化方法有助于确定响应和恢复工作的优先级,并比较事件的估计影响和实际影响。 N2: 这种方法还可用于建立标准,并为何时升级或提升事件响应活动的决策提供信息。 |
|
GV.RM-07 |
战略机会(即积极风险)被描述并包含在组织网络安全风险讨论中 |
低 |
|
|
GV.RR (角色、职责和权限) |
建立和沟通促进问责制、绩效评估和持续改进的网络安全角色、责任和权力 |
中 |
R1: 网络安全角色、职责和权限应包括事件响应。 |
|
GV.RR-01 |
组织领导层对网络安全风险负责,并培养一种具有风险意识、合乎道德和持续改进的文化 |
中 |
R1: 请参阅 GV.RR 的建议。 |
|
GV.RR-02 |
建立、沟通、理解和执行与网络安全风险管理相关的角色、职责和权限 |
中 |
N1: 涉及网络安全事件响应的角色和职责通常存在于整个组织中,通常包括第三方(例如,签订合同的第三方),以帮助为组织执行事件响应活动。 R1: 涉及网络安全事件响应的所有角色和职责都应记录在组织的策略中。 R2: 应指定所有适当的个人或各方履行其事件响应相关责任所需的权限。 R3: 请参阅 GV.RR 的建议。 |
|
GV.RR-03 |
根据网络安全风险战略、角色、责任和策略分配足够的资源 |
低 |
|
|
GV.RR-04 |
网络安全被纳入人力资源实践 |
低 |
|
|
GV.PO(政策) |
建立、传达和实施组织网络安全策略 |
高 |
R1: 网络安全策略应包括事件响应策略。 |
|
GV.PO-01 |
管理网络安全风险的政策是根据组织环境、网络安全战略和优先事项制定的,并得到传达和执行 |
低 |
|
|
GV.PO-02 |
审查、更新、传达和实施管理网络安全风险的策略,以反映要求、威胁、技术和组织使命的变化 |
低 |
|
|
GV.OV (监督) |
组织范围内的网络安全风险管理活动和绩效的结果用于通知、改进和调整风险管理策略 |
低 |
|
|
GV.OV-01 |
审查网络安全风险管理策略结果,以告知和调整策略和方向 |
中 |
R1: 在调整组织的网络安全风险管理策略和方向时,请考虑过去的网络安全事件。 |
|
GV.OV-02 |
审查和调整网络安全风险管理策略,以确保涵盖组织要求和风险 |
中 |
R1: 在审查组织的网络安全风险管理策略时,考虑过去网络安全事件的风险。 |
|
GV.OV-03 |
评估和审查组织网络安全风险管理绩效,以进行所需的调整 |
低 |
|
|
GV.SC(网络安全供应链风险管理) |
网络供应链风险管理流程由组织利益相关者识别、建立、管理、监控和改进 |
低 |
|
|
GV.SC-01 |
网络安全供应链风险管理计划、战略、目标、政策和流程由组织利益相关者建立并同意 |
低 |
|
|
GV.SC-02 |
供应商、客户和合作伙伴的网络安全角色和责任在内部和外部建立、沟通和协调 |
低 |
注 1:请参阅 GV.RR-02,了解有关第三方网络安全事件响应相关角色和责任的更多信息。 |
|
GV.SC-03 |
网络安全供应链风险管理已集成到网络安全和企业风险管理、风险评估和改进流程中 |
低 |
|
|
GV.SC-04 |
供应商是已知的,并按关键性进行优先级排序 |
低 |
|
|
GV.SC-05 |
建立解决供应链中网络安全风险的要求,确定其优先级,并将其整合到与供应商和其他相关第三方签订的合同和其他类型的协议中 |
中 |
R1: 网络安全供应链风险管理要求应包括网络安全性能和漏洞、威胁以及事件披露和信息共享。 |
|
GV.SC-06 |
在建立正式供应商或其他第三方关系之前,进行规划和尽职调查以降低风险 |
低 |
|
|
GV.SC-07 |
在关系过程中,供应商、其产品和服务以及其他第三方带来的风险会被理解、记录、优先考虑、评估、响应和监控 |
低 |
|
|
GV.SC-08 |
相关供应商和其他第三方参与事件规划、响应和恢复活动 |
中 |
N1:GV.SC-08 子类别特定于事件规划、响应和恢复。 N2:参见ID.IM-02了解更多测试和练习信息。 |
|
GV.SC-09 |
供应链安全实践被整合到网络安全和企业风险管理计划中,并在整个技术产品和服务生命周期中监控其绩效 |
低 |
|
|
GV.SC-10 |
网络安全供应链风险管理计划包括对签订合作伙伴关系或服务协议后发生的活动的规定 |
低 |
|
|
ID(识别) |
了解组织当前的网络安全风险 |
中 |
N1: 所有识别类别都有利于预防、响应事件和从事件中恢复。 |
|
ID.AM (资产管理) |
使组织能够实现业务目标的资产(例如,数据、硬件、软件、系统、设施、服务、人员)根据其对组织目标和组织风险战略的相对重要性进行识别和管理 |
中 |
注 1: 所有资产管理信息都可以在许多方面为事件响应者提供帮助,例如了解事件的影响、识别可能成为目标的其他资产以及确定响应和恢复工作的优先级。 |
|
ID.AM-01 |
维护组织管理的硬件清单 |
中 |
R1: 对组织使用的内部和外部硬件进行最新和自动更新的清点可用于查找和解决漏洞、监控作和使用情况以检测不利的网络安全事件,以及识别“影子 IT”使用情况。 |
|
ID.AM-02 |
维护组织管理的软件、服务和系统的清单 |
中 |
R1: 提供组织使用的内部和外部软件、服务和系统的最新和自动更新清单,以用于查找和解决漏洞、监控作和使用情况以检测不利的网络安全事件,以及 识别“影子 IT”使用情况。 |
|
ID.AM-03 |
维护组织的授权网络通信以及内部和外部网络数据流的表示形式 |
中 |
N1: 维护网络数据流表示形式可以提高检测恶意数据流和通信的准确性。 C1: 考虑利用自动化和 Zero Trust 架构来自动创建和维护网络数据流表示形式。 |
|
ID.AM-04 |
维护供应商提供的服务清单 |
中 |
R1: 组织供应商提供的服务的当前和自动更新清单应可用于查找和解决漏洞、监控作和使用情况以检测不利的网络安全事件以及识别“影子 IT”使用情况。 |
|
ID.AM-05 |
根据分类、关键性、资源和对任务的影响对资产进行优先级排序 |
中 |
R1: 确定组织资产(包括硬件、软件、服务、系统和数据)的优先级,并了解这些资产与其他资产之间的依赖关系,应该有助于表明组织应该将其资源集中在保护、检测、响应和恢复方面。 |
|
ID.AM-07 |
维护指定数据类型的数据清单和相应的元数据 |
中 |
R1: 拥有包括数据分类、所有者以及逻辑和物理位置的数据清单应该提供有关事件中可能涉及哪些数据的宝贵信息。 |
|
ID.AM-08 |
系统、硬件、软件、服务和数据在其整个生命周期中受到管理 |
中 |
R1: 在硬件、软件、服务和系统的整个生命周期中管理硬件、软件和系统时应考虑网络安全,例如安全地配置它们、减少攻击面以及在资产转移或重新定位时更新库存信息。 |
|
ID.RA (风险评估) |
组织了解组织、资产和个人面临的网络安全风险 |
中 |
注 1: 风险评估实践对于减少发生的事件数量及其造成的影响至关重要。风险评估是一个广阔的话题,超出了此配置文件的范围,而不是总结其对事件响应的重要性。 N2:有关网络安全风险的更多信息,请参见 [SP800-37r2]。 注 3:有关网络安全风险评估的更多信息,请参见 [SP800-30r1]。 |
|
ID.RA-01 |
识别、验证和记录资产中的漏洞 |
中 |
R1: 了解当前已知的网络安全漏洞,以便在评估风险时做出明智的决策。这应包括所有类型的已知网络安全漏洞,例如组织和第三方开发的软件(包括固件和基于软件的服务)中的缺陷、软件错误配置、网络和系统设计及实施弱点、容纳计算资产的设施中的物理漏洞和弹性问题,以及硬件和软件中的完整性违规(例如,伪造、篡改证据)。 N1:请参阅 ID.RA的注释。 |
|
ID.RA-02 |
网络威胁情报来自信息共享论坛和来源 |
高 |
注 1: 网络威胁情报 (CTI) 是经过汇总、转换、分析、解释或丰富的威胁信息,为决策过程提供必要的背景信息。组织可以从自动 CTI 源、信息共享论坛和其他来源接收 CTI。 N2: CTI 以多种方式用于事件响应和恢复,包括获取有关新威胁的信息、通过事件检测或响应功能提高网络安全技术的准确性,以及了解攻击者使用的策略、技术和程序 (TTP)。TTP 描述参与者的行为。有关威胁及其 TTP 的信息可通过存储库和知识库广泛获得。 N3: [SP800-150]提供了有关使用、使用和储存 CTI 以及建立 CTI 关系的指南。 注 4:请参阅 ID.RA的注释。 |
|
ID.RA-03 |
识别并记录对组织的内部和外部威胁 |
中 |
R1: 在日常运营中和 CTI 中识别内部和外部威胁。 N1: 组织可以考虑用于识别的其他可能方法,威胁包括威胁搜寻和使用欺骗技术。 N2:请参阅 ID.RA 的注释。 |
|
ID.RA-04 |
识别并记录利用漏洞的威胁的潜在影响和可能性 |
中 |
N1: 记录利用漏洞的威胁的潜在影响和可能性对于确定风险是必要的。 N2:请参阅 ID.RA的注释。 |
|
ID.RA-05 |
威胁、漏洞、可能性和影响用于了解固有风险并为风险响应优先级提供信息 |
高 |
R1: 作为其网络安全风险管理计划的一部分,如果组织已建立网络安全风险评估机制,则应将这些机制用于事件响应目的。 C1: 考虑使用威胁建模和其他方法来了解攻击向量、攻击面和通过组织资产的横向路径,以及导致风险的其他因素。 N1:请参阅 ID.RA的注释。 |
|
ID.RA-06 |
选择风险响应、确定优先级、计划、跟踪和传达风险响应 |
高 |
注 1: 需要采取风险应对措施来防止未来事件的发生和现有事件的再次发生。 R1: 组织的政策、流程和程序应提供指导(例如,标准),以便在各种情况下做出有关适当风险应对的决策。 N2: 四种类型的风险响应是 1) 接受(按原样接受风险),2) 缓解(通过消除漏洞和/或部署额外的安全控制措施来减少漏洞利用来降低风险),3) 转移(通过与另一方分担一些后果来降低风险),以及 4) 避免(通过消除攻击面来确保风险不会发生)。 N3:有关风险应对的更多信息,请参阅 [IR8286]。 注 4:请参阅 ID.RA的注释。 |
|
ID.RA-07 |
管理变更和异常,评估风险影响,记录和跟踪 |
中 |
N1:请参阅 ID.RA的注释。 |
|
ID.RA-08 |
建立了接收、分析和响应漏洞披露的流程 |
中 |
N1: 漏洞披露是指第三方向组织报告组织系统中的某个可疑漏洞。 N2:有关漏洞披露的更多信息,请参见 [SP800-216]。 N3:请参阅 [SP800-150] 的第 4.5.2 节,了解有关使用可能协助维护资产清单和漏洞披露来源之间的交叉引用。 注 4:请参阅 ID.RA的注释。 |
|
ID.RA-09 |
在获取和使用硬件和软件之前,会评估硬件和软件的真实性和完整性 |
中 |
N1:请参阅 ID.RA的注释。 |
|
ID.RA-10 |
在收购之前评估关键供应商 |
低 |
N1:请参阅 ID.RA的注释。 |
|
ID.IM (改进) |
在所有 CSF 职能中确定了对组织网络安全风险管理流程、程序和活动的改进 |
中 |
N1: 请参阅 ID.RA的注释。 |
|
ID.IM-01 |
从评估中确定改进 |
中 |
R1: 定期评估事件响应计划的绩效,以确定应纠正的问题和缺陷。 注1: 可能的评估形式包括自我评估、第三方评估和独立审计。 |
|
ID.IM-02 |
通过安全测试和练习确定改进,包括与供应商和相关第三方协调进行的改进 |
高 |
注1: 事件响应演习和测试可以为计划评估提供有用的信息,并为员工和相关第三方(例如,关键服务提供商和产品供应商)为未来的事件响应活动做好准备。 N2:有关模拟、桌面讨论和其他形式练习的更多信息,请参见[SP 800-84]。 |
|
ID.IM-03 |
从运营流程、程序和活动的执行中确定改进 |
高 |
注 1: 运营流程、程序和活动的执行包括所有事件响应和恢复工作。 注 2: 可以对事件响应计划本身(例如,计划、策略、流程、程序)或组织网络安全风险管理活动的其他方面(例如,识别当前未被保护措施阻止或未被检测技术标记的 TTP)进行改进。 注 3: 在为事件创建后续报告或在事件的恢复工作结束时举行“经验教训”会议时,通常会发现改进之处,尤其是在事件很严重的情况下。这提供了一个机会来回顾发生了什么、采取了什么行动以及这些行动的效果如何,并听取所有人的意见,事件涉及的各方。这样的会议可以帮助确定组织事件响应计划和网络安全风险管理工作的潜在改进并确定其优先级。 |
|
ID.IM-04 |
建立、沟通、维护和改进影响运营的事件响应计划和其他网络安全计划 |
高 |
注 1: 与事件响应相关的几种类型的网络安全计划,包括: 1) 事件响应计划,为实施事件响应能力提供路线图; 2) 漏洞管理计划,帮助识别和评估所有类型的漏洞,并确定风险应对措施的优先级、测试和实施风险响应; 3) 业务连续性计划。 R1: 将业务连续性计划与事件响应计划同步,因为事件可能会破坏业务弹性。 R2: 定期或在发现需要重大改进时审查和更新所有网络安全计划。 R3: 根据组织的独特要求、使命、规模、结构和功能制定每个网络安全计划。 R4: 每个网络安全计划都应确定成功实施该计划所需的资源和管理支持。 注 2: 了解网络安全事件及其影响的业务连续性规划专业人员可以微调业务影响评估、风险评估和运营连续性计划。此外,由于业务连续性规划人员在最大限度地减少严重情况下的运营中断方面拥有丰富的专业知识,因此他们在规划对特定事件类型(例如拒绝服务 (DoS) 情况)的响应方面可能很有价值。 |
|
PR (保护) |
使用保护措施来管理组织的网络安全风险 |
中 |
注 1: 减少事件数量可以缩短运营中断,使响应团队能够专注于高影响情况,并减少已发生事件的影响(例如,使攻击者更难在整个环境中横向移动,从而减慢他们的速度)。 N2: 了解现有的保护机制可以帮助人员部署方法来检测保护故障和旁路。 N3: 除了一些特别有利于事件响应活动的实践说明外,提供有关保护资产的建议和注意事项超出了本配置文件的范围。 |
|
PR.AA (身份管理、身份验证和访问控制) |
对物理和逻辑资产的访问仅限于授权用户、服务和硬件,并根据评估的未经授权访问风险进行管理。 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.AA-01 |
授权用户、服务和硬件的身份和凭证由组织管理 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.AA-02 |
身份根据交互上下文进行验证并绑定到凭据 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.AA-03 |
对用户、服务和硬件进行身份验证 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.AA-04 |
身份断言得到保护、传达和验证 |
中 |
N1:请参阅 PR 的注释 。 |
|
PR.AA-05 |
访问权限、权利和授权在策略中定义、管理、实施和审查,并结合了最低权限和职责分离的原则 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.AA-06 |
对资产的物理访问受到与风险相称的管理、监控和实施 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.AT (意识和培训) |
该组织的人员获得网络安全意识和培训,以便他们能够执行与网络安全相关的任务 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.AT-01 |
为员工提供意识和培训,以便他们具备在考虑网络安全风险的情况下执行一般任务的知识和技能 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.AT-02 |
为担任专业角色的个人提供意识和培训,以便他们具备在考虑网络安全风险的情况下执行相关任务的知识和技能 |
中 |
R1: 基于角色的培训应包括与事件相关的责任。 N1: 请参阅 PR 的注释 。 |
|
PR.DS (数据安全) |
根据组织的风险战略对数据进行管理,以保护信息的机密性、完整性和可用性 |
中 |
N1:请参阅 PR 的注释 。 |
|
PR.DS-01 |
静态数据的机密性、完整性和可用性受到保护 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.DS-02 |
传输中数据的机密性、完整性和可用性受到保护 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.DS-10 |
使用中数据的机密性、完整性和可用性受到保护 |
中 |
N1: 请参阅 PR 的注释。 |
|
PR.DS-11 |
创建、保护、维护和测试数据备份 |
高 |
N1: 当数据完整性或可用性受到影响时,备份对于恢复目的可能特别重要。 N1: 请参阅 PR 的注释 。 |
|
PR.PS (平台安全性) |
物理和虚拟平台的硬件、软件(例如固件、作系统、应用程序)和服务的管理与组织的风险策略一致,以保护其机密性、完整性和可用性 |
中 |
N1: 请参阅 PR 的注释。 |
|
PR.PS-01 |
建立并应用配置管理实践 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.PS-02 |
软件的维护、更换和删除与风险相称 |
中 |
N1: 请参阅 PR 的注释。 |
|
PR.PS-03 |
硬件的维护、更换和移除与风险相称 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.PS-04 |
生成日志记录并可用于持续监控 |
中 |
注 1: 日志对于记录和保留对事件检测、响应和恢复活动至关重要的信息尤为重要。 N2:有关日志管理的更多信息,请参见 [SP800-92r1]。 N3: 请参阅 PR 的注释 。 |
|
PR.PS-05 |
防止安装和执行未经授权的软件 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.PS-06 |
集成了安全的软件开发实践,并在整个软件开发生命周期中监控其性能 |
中 |
N1:有关安全软件开发实践的更多信息,包括响应涉及已发布软件的漏洞或事件,请参阅 [SP800-218]。 N2: 请参阅 PR 的注释 . |
|
PR.IR (技术基础设施弹性) |
安全架构使用组织的风险策略进行管理,以保护资产的机密性、完整性和可用性以及组织弹性 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.IR-01 |
保护网络和环境免受未经授权的逻辑访问和使用 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.IR-02 |
该组织的技术资产受到保护,免受环境威胁 |
中 |
N1: 请参阅 PR 的注释。 |
|
PR.IR-03 |
实施机制以实现正常和不利情况下的弹性要求 |
中 |
N1: 请参阅 PR 的注释 。 |
|
PR.IR-04 |
足够的资源容量以确保保持可用性 |
中 |
N1: 请参阅 PR 的注释 。 |
3.2.事件响应
表 3包含社区概况的第二部分:事件响应。
|
注意:配置文件的这一部分中的所有 CSF 元素都 特定于响应事件,因此它们在事件响应方面的优先级高于第一部分中的元素。因此,本部分中的所有 CSF 元素都有建议或注意事项。 |
表 3.CSF 2.0 社区简介第 2 部分:事件响应
|
CSF 元素 |
CSF 元素描述 |
优先权 |
建议、注意事项、注释 |
|
DE (检测) |
发现并分析可能的网络安全攻击和危害 |
高 |
N1: 检测功能包括为查找和描述潜在不良事件而执行的所有监控和分析活动,进而查找网络安全事件。 |
|
DE.CM(持续监控) |
监控资产以查找异常、泄露指标和其他潜在的不良事件 |
高 |
R1: 对未经授权的活动、偏离预期活动以及安全状况变化的持续监控应始终涉及以下类型的资产:网络和网络服务、计算硬件和软件、运行时环境及其数据、物理环境、人员活动和技术使用情况以及外部服务提供商活动。 C1: 考虑使用网络威胁信息进行持续监控,以帮助识别可能被视为良性的潜在恶意活动。 R2: 调整持续监控技术,将误报和漏报降低到可接受的水平。 |
|
DE.CM-01 |
监控网络和网络服务以发现潜在的不良事件 |
高 |
R1: 监控应包括有线和无线网络、网络通信和流量、网络服务(例如 DNS 和 BGP)以及设施内是否存在未经授权或流氓网络。 |
|
DE.CM-02 |
监测物理环境以发现潜在的不良事件 |
高 |
R1: 监控物理环境应包括所有受控区域的所有成功和失败的访问尝试、人员和设备进出设施安全区域的移动,以及物理访问控制被篡改的迹象。 |
|
DE.CM-03 |
监测人员活动和技术使用情况,以发现潜在的不良事件 |
高 |
R1: 监控人员活动和技术使用情况应包括异常用户活动或异常活动模式、身份验证和逻辑访问尝试,以及欺骗技术的使用。 |
|
DE.CM-06 |
监控外部服务提供商的活动和服务以发现潜在的不良事件 |
高 |
R1: 监控外部服务提供商的活动和服务应包括提供商对组织系统执行的远程和现场管理和维护活动,以及基于云的服务、互联网服务提供商和其他服务提供商与预期行为的偏差。 |
|
DE.CM-09 |
监控计算硬件和软件、运行时环境及其数据以发现潜在的不良事件 |
高 |
R1: 监控电子邮件、Web、文件共享、协作服务和其他常见攻击媒介,以检测恶意软件、网络钓鱼、数据泄露、泄露和其他不良事件。 R2: 监控身份验证尝试,以识别针对凭据的攻击和未经授权的凭据使用。 R3: 监控软件和硬件配置是否偏离安全基线。 R4: 监控硬件和软件,包括网络安全保护机制,是否有篡改、故障或泄露的迹象。 R5: 监控终端节点是否存在网络安全问题(例如,缺少补丁、恶意软件感染或未经授权的软件),并在授权访问之前将有问题的终端节点重定向到修复环境。 |
|
DE.AE (不良事件分析) |
分析异常、入侵指标和其他潜在的不良事件,以描述事件的特征并检测网络安全事件 |
高 |
N1: 不良事件分析涉及研究通过持续监测收集的潜在不良事件数据,以发现可能的攻击和危害,并在事件发生时宣布,以便启动事件响应活动。 R1: 要分析的潜在不良事件的数量通常相当高,因此组织应该依靠技术解决方案,将大型事件数据集过滤成适合人类查看和分析的子集。 N2: 事件的保真度因许多因素而异。异常可能具有良性或恶意的基础。有些事件在喧嚣中相对容易发现,而另一些则需要深厚、专业的技术知识和经验。 N3: CTI 在及早检测恶意活动、减少其影响和缩短恢复时间方面非常宝贵。事件的迹象可能在攻击生命周期的后期更加明显,但事件的影响和范围可能要大得多。 R2: 组织应努力在攻击生命周期的早期发现事件,并采取主动方法进行事件检测和响应。 |
|
DE.AE-02 |
分析潜在的不良事件以更好地了解相关活动 |
高 |
R1: 使用工具(例如,安全信息和事件管理 [SIEM];安全编排、自动化和响应 [SOAR])持续监控日志事件中已知的恶意和可疑活动,并生成有关其结果的报告。 R2: 在日志分析工具中利用最新的 CTI 来提高检测准确性并描述威胁行为者、他们的方法和入侵指标。 R3: 定期对日志事件进行手动审查,以检查无法通过自动化充分监控的技术。 |
|
DE.AE-03 |
信息与多个来源相关联 |
高 |
R1: 不断将其他来源产生的日志数据传输到相对较少的日志服务器。 R2: 使用事件关联技术(例如 SIEM、SOAR)来收集多个来源捕获的相关数据。 R3: 利用 CTI 帮助关联日志源之间的事件。 |
|
DE.AE-04 |
了解不良事件的估计影响和范围 |
高 |
R1: 通过自动化(例如 SIEM、SOAR)和/或手动方式估计不良事件的影响和范围,并审查和完善估计值。 |
|
DE.AE-06 |
将有关不良事件的信息提供给授权的工作人员和工具 |
高 |
R1: 生成警报并将其提供给网络安全和事件响应工具和工作人员(例如 SOC 和事件响应者)。 R2: 使事件响应者和其他授权人员随时可以访问日志分析结果。 R3: 当发生某些类型的警报时,考虑在组织的工单系统中自动创建和分配工单。 |
|
DE.AE-07 |
网络威胁情报和其他上下文信息被集成到分析中 |
高 |
R1: 将最新的 CTI 和其他上下文信息(例如资产清单)整合到不良事件分析中,以提高检测准确性并描述威胁行为者、他们的方法和入侵指标。 R2: 从供应商和第三方安全咨询处快速获取和分析组织技术的漏洞披露。 N1: 请参阅 [SP800-150]了解有关使用、使用和储存 CTI 以及建立 CTI 关系的指南。 |
|
DE.AE-08 |
当不良事件满足定义的事件标准时,将宣布事件 |
高 |
R1: 将事件标准应用于已分析活动的已知和假设特征,并考虑已知的误报以确定是否应声明事件。 |
|
RS (响应) |
针对检测到的网络安全事件采取的措施 |
高 |
N1: 响应功能是事件响应活动的核心。 |
|
RS.MA (事件管理) |
对检测到的网络安全事件的响应进行管理 |
高 |
注 1: 事件管理涉及监督对所有事件的响应,并根据需要转移优先级和资源。评估事件的总体风险并应用适当的优先级可能是事件响应过程中最关键的决策点。 R1: 由于资源限制,不应按照先到先得的原则处理事件。 R2: 事件分类、优先级、升级和提升以及关于何时启动恢复流程的决策都应该基于一组风险评估因素。这组可以范围从简单到极其复杂,具体取决于组织的需求和成熟度。 N2: 可能的风险评估因素示例包括资产重要性、事件的功能影响、事件的数据影响、观察到的活动阶段、威胁参与者特征和可恢复性。 R3: 应跟踪每个事件的事件响应状态以及相关信息,例如事件摘要、与事件相关的入侵指标、每个分配作的状态和预期时间范围,以及要采取的后续步骤。 |
|
RS.MA-01 |
一旦宣布事件,将与相关第三方协调执行事件响应计划 |
高 |
R1: 检测技术应自动报告已确认的事件。 C1: 考虑为每个事件指定一个事件线索。 R2: 如果合适,请联系组织的事件响应服务提供商以请求帮助。 R3: 根据需要启动其他网络安全计划的执行(例如,业务连续性和灾难恢复计划),以支持事件响应。 |
|
RS.MA-02 |
对事件报告进行分类和验证 |
高 |
R1: 对新的事件报告进行初步审查,以验证是否发生了网络安全事件,然后估计事件的严重性和响应事件所需的紧急程度。 R2: 建立机制,让第三方报告可能涉及组织的事件。应仔细监控和认真对待报告。例如,某一方可能会联系该组织,声称其系统正在受到该组织的系统的攻击。外部用户可能会报告其他指标,例如服务不可用。其他事件响应团队也可能向组织报告事件。 |
|
RS.MA- 03 |
对事件进行分类和优先级排序 |
高 |
R1: 对事件进行更详细的审查,以帮助按事件类型(例如,数据泄露、勒索软件、帐户接管、拒绝服务)对事件进行分类。 R2: 根据事件的范围、可能的影响、时间关键性质和资源可用性,确定每个事件应以多快的速度执行事件响应的优先级。 R3: 通过平衡从事件中快速恢复的需求与观察攻击者或进行更彻底调查的需求,为活动事件选择事件响应策略。 N1: 每个响应策略决策都需要权衡取舍。例如,支持观察攻击者行为或进行更彻底调查的策略可能与快速恢复正常作的需求不一致。 |
|
RS.MA- 04 |
根据需要升级或升级事件 |
高 |
注 1: 升级 通常是指增加资源或时间框架,而 提升 通常表示在响应工作中涉及更高级别的管理。 R1: 跟踪和验证所有正在进行的事件的状态,以便识别需要更多响应资源或更改响应策略的事件,并快速启动必要的更改。 |
|
RS.MA- 05 |
应用启动事件恢复的条件 |
高 |
R1: 将事件恢复标准应用于事件的已知和假设特征,以确定何时应启动事件的恢复流程。 R2: 考虑事件恢复活动可能造成的运营中断,以确定何时应开始恢复。 |
|
RS.AN (事件分析) |
进行调查以确保有效响应并支持取证和恢复活动 |
高 |
注 1:“ 事件分析”类别侧重于调查、确定和记录事件期间发生的情况,以及事件发生的方式和原因。 |
|
RS.AN- 03 |
执行分析以确定事件期间发生的情况和事件的根本原因 |
高 |
R1: 确定事件期间发生的事件的顺序,以及每个事件涉及哪些资产和资源。 R2: 尝试确定事件直接或间接涉及哪些漏洞、威胁和威胁行为者。 R3: 分析事件以查找潜在或系统性根本原因。 R4: 检查任何已部署的网络欺骗技术,以获取有关攻击者行为的更多信息。 注 1: 此信息还可能有助于识别网络安全风险管理中的弱点,应解决这些弱点,以防止将来发生类似事件。 |
|
RS.AN- 06 |
记录调查期间执行的作,并保留记录的完整性和来源 |
高 |
注 1: 在组织的事件响应计划和政策允许的情况下,可以通过多种方式记录在事件响应任务期间发现的事实和采取的行动,包括纸质日志、音频/视频记录或自动会话监控和记录。 R1: 保护事件响应记录的机密性和完整性,并确保只有授权人员才能访问。 N2: 事件响应记录可以包含敏感信息,例如有关已利用漏洞、最近数据泄露以及可能执行了不当作的用户的数据。事件负责人通常负责确保事件响应记录得到适当保护。 |
|
RS.AN- 07 |
收集事件数据和元数据,并保留其完整性和来源 |
高 |
N1:许多事件响应涉及事件数据和元数据的收集。可能不会针对发生的每个事件都使用监管链程序进行正式的证据收集和处理(例如,大多数恶意软件事件不会导致起诉)。但是,收集的事件数据仍被视为证据,其定义为“相信或不相信的理由;作为证明或确定真伪的数据“[SP800-160v1]。 R1: 根据组织的证据保留程序和数据保留策略收集和保留事件证据,并考虑起诉的可能性、保留数据的成本以及将来访问数据所需的硬件和软件等因素。 |
|
RS.AN-08 |
估计和验证事件的规模 |
高 |
N1: 确定事件的规模通常是事件响应中最具挑战性的方面之一。 R1: 在已知为目标资产和其他潜在目标上查找泄露指标、持续存在的证据和其他事件迹象。 跳过此活动或以肤浅的方式执行此活动可能会导致低估事件的规模,从而允许事件在组织不知情或监控的情况下无限期地继续在其他目标上。 |
|
RS.CO (事件响应报告和通信) |
根据法律、法规或政策的要求,与内部和外部利益相关者协调应对活动 |
高 |
N1: 事件响应报告和通信活动往往分为四类。 事件协调 涉及在具有事件响应角色和职责的内部和外部各方之间传达特定事件的当前和计划的事件响应活动。 事件通知 涉及正式通知受影响的客户、员工、合作伙伴、监管机构或其他人有关数据泄露或其他事件的信息。 公共通信 涉及向公众传达特定事件的状态,例如响应媒体查询。 事件信息共享 涉及根据在组织技术资产中观察到的活动与他人共享网络安全威胁信息,通常是自愿的。 R1: 组织应提前建立机制,以便在需要时与受影响的各方就事件进行协调。 |
|
RS.CO-02 |
将事件通知内部和外部利益相关者 |
高 |
R1: 在分析事件并确定其优先级时,事件响应团队应与组织内外的适当人员协调,以便所有需要参与的人员都能发挥其作用。 R2: 遵循有关事件协调的既定程序,包括必须在什么时间向谁报告的内容(例如,初始通知、定期状态更新)。 R3: 根据与组织的行业、地理位置、客户位置以及适用于组织的任何其他特征相关的当前事件通知相关法律和法规执行通知。事件通知是一个不断发展的话题,新的法律法规不断出台。 R4: 根据法规、法律和合同要求,将数据泄露和其他网络安全事件通知受影响的第三方。 R5: 根据事件响应计划和管理批准中的标准,将事件通知执法机构和监管机构。被指认个人应以符合法律要求以及组织政策和程序的方式联系这些各方。 |
|
RS.CO-03 |
与指定的内部和外部利益相关者共享信息 |
高 |
注 1: 自愿共享事件信息通常是互惠互利的,因为相同的威胁和攻击会同时影响多个组织。例如,与特定行业的信息共享和分析中心 (ISAC) 共享有关观察到的 TTP 的信息。 N2: 在组织之间共享防御策略可以提高整体态势感知能力,并提高所有人的弹性。威胁行为者开发或购买漏洞并部署它们需要付费。检测技术的有效识别和传播降低了攻击者的投资回报并增加了他们的成本。 注 3: 事件处理人员可能会与合作伙伴组织的同事协调工作,以共享有关缓解跨这些组织的攻击的战术和技术信息。参与这种关系的组织通常是彼此之间没有权限的对等体。除了选择共享信息外,他们还可能汇集资源来解决常见问题。 R1:根据组织的响应计划和信息共享协议(包括与供应商的合同),与利益相关者安全地共享信息。 R2: 定期向高级领导汇报重大事件的状态。 R3: 发生恶意内部活动时通知人力资源。 R4: 建立并遵循符合组织媒体互动和信息披露政策的事件响应媒体通信程序。 |
|
RS.MI (事件缓解) |
执行活动是为了防止事件扩展并减轻其影响 |
高 |
注 1: 如果组织有适当的标准和程序,手动选择遏制和根除行动可能会更容易、更快捷。标准可以考虑事件类型(例如,基于云的服务泄露或用户端点勒索软件感染),并使用 RS 中的一些风险评估因素。MA-。另一个需要考虑的因素是遏制措施的持续时间(例如,必须在数小时内删除的紧急解决方法、必须在两周内删除的临时解决方法或永久解决方案)。根除措施的持续时间也可以类似地评估。 R1: 在某些情况下,组织将攻击者重定向到沙盒,以便他们可以监控攻击者的活动,通常是为了收集更多证据。这会延迟遏制和根除活动。事件响应团队在执行此策略之前应首先与法律部门讨论此策略的可行性。故意延迟可能很危险,因为攻击者可能会升级未经授权的访问或危害其他系统。 |
|
RS.MI-01 |
事件得到遏制 |
高 |
注 1:遏制是指防止事件扩大。遏制可以防止额外的损害,并避免压倒组织的资源。大多数事件都需要某种形式的遏制。 C1: 考虑配置网络安全技术(例如防病毒软件)和其他技术(例如作系统、网络基础设施设备)的网络安全功能,以自动执行一些遏制作,例如隔离恶意软件、将受感染的端点转移到隔离的修复网络或停止执行受感染的容器。 C2: 考虑授权第三方(例如,组织的 Internet服务提供商和云服务提供商)自动作以包含某些类型的事件(例如,大规模DDoS攻击)。 R1: 允许事件处理程序手动选择并执行遏制措施,而不是自动遏制措施,或者作为自动遏制措施的补充。 |
|
RS.MI-02 |
事件被根除 |
高 |
N1: 根除 是指减轻事件的影响。遏制后,可能需要根除以消除持久性机制和入口点,例如删除恶意软件、禁用泄露的用户帐户以及识别和缓解所有被利用的漏洞。 R1:确定组织内所有受影响的主机和服务,以便修复所有缺陷和弱点。 C1:考虑配置网络安全技术和其他技术(例如作系统、网络基础设施设备)的网络安全功能,以自动执行一些根除作。 C2:考虑授权第三方(例如,组织的 Internet 服务提供商和云服务提供商)代表组织自动采取行动以根除某些类型的事件。 R2:允许事件处理程序手动选择并执行根除作,而不是自动根除措施,或者作为自动根除措施的补充。 |
|
RC (恢复) |
恢复受网络安全事件影响的资产和运营 |
高 |
注 1: 在事件恢复期间,工作人员将系统恢复到正常运行状态,确认系统运行正常,并(如果适用)修复漏洞以防止类似事件。 N2: 恢复作包括从干净备份中恢复系统、重建系统、用干净版本替换受损文件、安装补丁、更改密码和加强安全控制。在威胁行为者高度复杂且未揭示其策略的全部范围的入侵中,可能需要更换所有受感染系统的硬件(例如裸机)。 N3:有关事件恢复的更多信息,请参见 [SP800-184]。 |
|
RC.RP (事件恢复计划执行) |
执行恢复活动以确保受网络安全事件影响的系统和服务的运行可用性 |
高 |
注 1: 执行事件恢复计划包括以安全的方式选择、确定恢复的优先级和执行恢复作;验证恢复资产的完整性;宣布事件恢复结束;以及完成事件文档。 N2:有关事件恢复计划和计划执行的更多信息,请参阅 [SP 800-184]。 |
|
RC.RP-01 |
事件响应计划的恢复部分在从事件响应流程启动后执行 |
高 |
R1: 在事件响应过程中或之后开始恢复程序。 R2: 将恢复计划以及实施计划各个方面所需的授权告知所有负有恢复责任的个人。 |
|
RC.RP-02 |
选择恢复作、确定范围恢复作、确定恢复作的优先级并执行恢复作 |
高 |
R1: 恢复作应考虑及时性、准确性和可靠性(例如,仅恢复受影响的文件而不是恢复所有文件)。 R2: 根据事件响应计划和可用资源中定义的标准选择恢复作。 R3: 根据对组织需求和资源的重新评估,更改计划的恢复作。 |
|
RC.RP-03 |
在将备份和其他还原资产用于还原之前,会对其进行完整性验证 |
高 |
R1: 使用前检查恢复资产是否存在泄露、文件损坏和其他完整性问题的迹象。 |
|
RC.RP-04 |
考虑关键任务功能和网络安全风险管理,以建立事件后的运营规范 |
高 |
R1: 验证基本服务是否按适当的顺序恢复。 R2: 与系统所有者合作,确认系统已成功恢复并恢复正常作。 R3: 监控已还原系统的性能,以验证还原的充分性。 |
|
RC.RP-05 |
验证已恢复资产的完整性,恢复系统和服务,并确认正常运行状态 |
高 |
R1: 检查已恢复的资产是否存在泄露迹象,并在生产使用之前修复事件的根本原因。 R2: 在将还原的系统联机之前,验证所执行还原作的正确性和充分性。 |
|
RC.RP-06 |
根据标准宣布事件恢复结束,并完成与事件相关的文档 |
高 |
R1: 准备一份行动后报告,记录事件本身、采取的响应和恢复措施以及吸取的经验教训。 |
|
RC.CO (事件恢复通信) |
修复活动与内部和外部各方协调 |
高 |
N1: 事件恢复通信是 RS.CO 中通信活动的延续。 |
|
RC.CO-03 |
将恢复活动和恢复运营能力的进度传达给指定的内部和外部利益相关者 |
高 |
R1: 根据响应计划和信息共享协议,安全地共享恢复信息,包括恢复进度。 R2: 定期向高级领导汇报重大事件的恢复状态和恢复进度。 R3: 遵循合同中规定的规则和协议,在组织与其供应商之间共享事件信息。 R4: 协调组织与其关键供应商之间的危机沟通。 |
|
RC.CO-04 |
使用批准的方法和消息共享事件恢复的公共更新 |
高 |
R1: 按照组织的泄露通知程序从数据泄露事件中恢复。 R2:说明为从事件中恢复和防止复发。 |
原文始发于微信公众号(河南等级保护测评):NIST:网络安全风险管理的事件响应建议和注意事项
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论