编者按

新时期下网络安全形势严峻,安全事件层出不穷。构建网络安全应急响应与保障体系,对应对网络安全事件具有重要意义。天极智库通过对欧盟网络应急体系研究,为网络安全主管部门、行业从业者提供参考,推动关键基础设施等行业提升应急响应和保障能力。

欧洲网络和信息安全NIS平台创建于2003年,旨在帮助欧洲相关各方进行风险管理,建立良好的网络安全政策和流程,进而为欧盟创造更安全的市场。NIS平台有三个专家工作组(WGs),其中第二工作组(WG2)负责信息交换和事件协调,包括以信息交换为目的的实践报告和风险评估。《欧盟事件响应及网络危机合作战略》主要面向NIS平台的第二工作组(WG2),介绍了事件响应基础能力,事件响应工作中面临的关键挑战,如何建立事件响应机制并将响应能力和机制结合在一起,旨在通过欧盟成员之间事件响应和危机处理合作,以更好地应对网络事件,保障关键基础设施安全。

事件响应定义

信息安全事件可以定义为“单个或一系列意外的信息安全事件,这些事件极有可能损害业务运营并威胁信息安全”,而网络安全事件可以定义为“限制或消除服务可用性导致IT业务中断,或是未经授权的发布、获取和/或修改信息”。网络安全事件可能涉及破坏或漏洞利用的非法行为。典型的网络安全事件包括将恶意软件入侵、分布式拒绝服务(DDoS)攻击、软件或硬件未经授权的更改以及个人或机构的身份盗用。

事件响应和管理是通过制定和实施事件响应过程(包括计划、定义角色、培训、沟通、监督管理)来保护组织机构的信息,以便快速发现攻击,并进行有效地遏制,消除攻击者的存在,恢复网络和系统的完整性。

计算机安全事件应对小组(CSIRT)是一个接收安全漏洞报告,对报告进行分析并进行响应的组织,是事件响应工作的主要力量。CSIRT有多种术语名称,包括CERT(ComputerEmergency Response Team),IRT(IncidentResponse Team),CIRT(ComputerIncident Response Team),SERT(SecurityEmergency Response Team)等。

事件响应基准能力

根据欧洲网络与信息安全局ENISA对欧洲CSIRT的评估,并与《欧盟网络战略》保持一致,事件响应基准能力包括:常规能力、运营技术能力、运营组织能力、合作能力。

常规能力

应明确国家或政府CSIRT的官方任务及权利,将CSIRT确定为突发事件的国家级联络机构,并成为欧盟CSIRT体系的国家代表,获得政府财政和资源支持。通过网络安全相关策略明确CSIRT的角色和职责、与其他利益相关方的关系格局,以及突发事件响应实践。

运营技术能力

CSIRT应提供外部服务和内部支持能力,外部服务涵盖CSIRT的四类活动,内部服务指的是诸如态势感知、员工培训、安全演练等。

  • 主动服务,旨在事件发生之前改善基础设施安全状况,预防突发事件并在事件发生时减小其影响和范围。

  • 响应式服务,旨在响应服务请求,接收突发事件报告,并处理对系统的威胁或攻击。

  • 其他安全管理服务,旨在提高组织整体安全性的通用服务。

  • 可选的(内部)服务,涵盖组织内部的意识提高或网络安全培训领域。

运营组织能力

涵盖资源、基础设施、服务交付和业务连续性。有许多最佳实践涉及组织人力、技术资源及流程,确保履行CSIRT的职责。除了具有适当的人员配备、培训和预算外,突发事件响应中最重要的是可以实现7×24全天候支撑。

合作能力

由于网络空间中的威胁、漏洞和后续事件不止影响一个部门或国家,因此在突发事件响应中需要建立横向和纵向合作模型。CSIRT应该具有很强的协作能力,以便能够与其他CSIRT接触并以配合的方式行动。ENISA将在国家和政府CSIRT之间的泛欧洲业务协调中发挥重要作用。

事件响应中的关键挑战

通常突发事件响应担负着在微观组织或宏观国家层面上纠正IT安全漏洞的重任。业内有一些保障IT安全完整性的最佳实践,但是立法和实践之间始终存在着差距。同时部分网络安全事件在本质上是跨国界的,但是在事件响应方面,成员国不一定遵循统一的方法。因此在评估事件响应能力时,需要面临一些挑战。

人力资源

与私营机构相比,国家和政府CSIRT在人员招聘方面存在短板,确定突发事件响应团队的合适规模和组成也可能是一项挑战。在为突发事件响应团队配备人员时,重要的是要确保这些专业人员不仅在其各自领域具有高水平的技能,而且还需能够做出正确的决策,尤其是在将事件升级为国家(甚至国际)危机级别的时候。

流程和程序

必须制定一个清晰、简明、记录明确的事件响应计划,以符合组织和国家层面的现有政策框架。过于复杂的响应计划将延迟事件响应和上报程序的有效性。如果政策过于宽松,团队可能缺乏负事件响应的责任心和主动性。

政治和法律框架

在政治层面上,可能对在突发事件响应活动中投入资源的重要性缺乏充分的理解和认识,或者由于需要平衡不同的优先事项而难以投入更多的资源。此外,在不同部门之间可能存在责任冲突或合作上的挑战,例如负责公共网络、政府网络、军事网络、机密网络的主管部门等。

技术:工具和数据

事件响应活动依赖于工具来发现有关事件中涉及的系统和人员的信息。如果使用不足、管理不当、未经测试、未更新或缺少受过适当培训的人力资源,则即便购买最新、最好的产品也无法完全抵御网络攻击,因此持续技术更新和人员培训对于团队来说至关重要。

突发事件响应机制

在事件响应过程中,CSIRT必须评估具有网络威胁和攻击者的特征信息,以及来自组织内电子信息系统日志中的所有数据。此外,体系内其他CSIRT执行和分享的任何活动信息也需要被纳入考虑之中。这些因素之间的相互关联都将有助于减轻突发事件的影响。通常突发事件响应遵循以下流程:

威胁应对方式

为了应对不断出现的网络威胁,需要有足够的数字工具和技术来确保安全并打击网络犯罪。为了实现网络韧性,所有级别(私营机构、国家和欧盟)的事件响应能力都必须在应对当下主流威胁方面发挥作用。

预警情报和信息

网络威胁情报是基于证据的知识,包括关于资产现有或正在出现的威胁的背景环境、机制、指标、含义和可行的建议,它可以为威胁响应决策提供支撑。大多数国家和政府的CSIRT部署了安全信息和事件管理(SIEM)系统,以收集预警情报并处理威胁情报。

信息共享和事件报告

欧盟成员内采用信息共享机制,CSIRT之间对事件响应信息进行共享,尤其是在处理欧盟内国家间的应急事件时,促进欧盟公共和私营机构的网络威胁信息的共享和事件协调,有助于提升欧盟整体的响应时效和能力。

网络安全战略之于事件响应

欧盟于2013年发布了自己的网络安全战略,明确提到了在能力、协调和准备方面的现有差距,对于这些差距,不仅需要在欧盟层面而且要在国家层面上采取行动,以跟进欧盟网络安全战略的建议。

  • 会员国应满足NIS中的基准要求,并据此建立并运营CSIRT;关键信息基础设施保护具有最高优先级;制定国家NIS战略和合作计划。同样的任务也应适用于欧盟及其机构,以保护欧盟的IT系统。

  • 成员国应建立相互协作的预防、检测、缓解和应对机制,从而能够根据整个欧盟的NIS合作计划,在不同国家NIS之间实现信息共享和交换。

  • 私营机构还应努力发展自己的网络韧性能力,并在各个部门之间共享最佳实践。业界开发的用于应对突发事件、确定原因和进行取证调查的工具也应让公共部门受益。

国家网络事件应急计划旨在有效应对大规模网络事故。重点应放在发生大规模网络中断、突发事件响应和恢复时,国家公共与私人利益相关者之间进行沟通的基准机制和程序。国家应急计划应基于对关键信息基础设施的风险评估,在工作过程中CSIRT应发挥重要作用。

加强事件处理合作

网络危机合作与管理

网络危机也可能超越国家和地理范围。一项针对欧盟公共组织之间合作的程序性三层框架的提案清楚地描述了一种管理大规模危机的实用方法。管理网络危机分为三个级别:

  • 当事件升级为具有潜在社会经济影响的危机时,将涉及到战略级别。此级别的可能参与者是各部门、网络安全委员会、国防委员会、国家危机管理委员会等的负责人。如果多个成员国受到危机的影响,则可能会触发高级别的欧盟危机管理机制。

  • 运营级别侧重于威胁分析、态势评估和缓解措施。此级别的参与者是网络安全机构或主管部门、政府CSIRT、国家通信主管部门和运营危机管理机构。

  • 技术级别涉及通过监视、检测和处理突发事件,以及向运营上报信息,并采取适当的技术和信息来处理事件。此级别的参与者主要包括CSIRT团队。

有效的网络危机协调的关键是利益相关方之间的共同责任和应对方法,其中涉及到国家信息交换机制和在管理机构之间的跨境合作。

互助强化应对

网络危机管理不仅限于缓解网络攻击,还包括处理低概率/高影响事件(黑天鹅)。为了提高应对这些黑天鹅事件的准备水平,ENISA提出了欧洲韧性基础设施互助(MARIE)的概念。只有公共部门和私营部门都参与互助协议,并且先前提到的战略、业务和技术领域在危机管理中发挥它们应有的作用,互助的概念才能被充分利用。

事件响应合作演习

网络演习是评估对网络危机、技术故障和关键信息基础设施突发事件的准备情况的重要工具。根据欧盟网络安全战略,欧盟级别的演习对于模拟成员国与私营机构之间的合作至关重要。进行跨国演练的原因是网络事件和攻击的威胁是无国界的,因此跨境危机合作机制需要不断进行测试和验证。

为了给会员国的工作提供便利,ENISA制作了有关如何计划网络演习的培训,重点是危机协调演习。网络安全计划的各个要素可以在演习中被测试,涉及技术、运营或战略级别。欧盟从2010年开始每两年组织一次演习,2020年演习将于6月5日开始。

培训提升CSIRT能力

培训在CSIRT能力提升中起着不可或缺的作用,有许多课程和模块可以被用来培训CSIRT的员工。最广为人知的CSIRT培训课程是TRANSITS培训,该培训每年至少进行两次。RANSITS计划包括基础和高级(实践)课程。它提供了对事件处理和响应操作中的关键领域的深入研究,关于如何改善与甲方沟通的培训,以及实践练习。

ENISA在CSIRT培训中也起着重要作用。它开发了许多培训资源,这些资源构成了一个模块,可用于组织培训或实践活动。申请这些培训课程通常必须通过国家和政府的CSIRT或欧盟成员国中的其他主管部门。课程主题包括:组织、技术、操作和法律问题。通过该培训,CSIRT员工将能够掌握事件响应的基准能力。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。