兰德公司于2018年8月发布报告《发展网络安全能力-基于概念验证的实施指南》(Developing Cybersecurity Capacity- A proof-of concept implementation guide),旨在促进国家级网络安全能力建设计划以及整体政策和投资战略的制定,以应对网络领域的挑战。现由学术plus编译全文,仅供学习参考。
本文《发展网络安全能力(二)网络安全应急响应的开发和实施》针对国家网络安全能力成熟度模型中第一维度“网络安全政策与战略”中“安全应急响应”因素进行深入分析。这一因素强调的是安全应急响应能力,关注的是国家层面应对网络安全事件的能力。它涵盖了响应过程的开发和实施,使政府能够确定国家层面的网络事件并协调响应,从而确保损害得到控制,攻击者不再存在,网络和系统的功能和完整性得到恢复。
发展网络安全能力
Developing Cybersecurity Capacity
(二)
网络安全应急响应能力建设的7个步骤
编译:学术plus
原载:https://www.rand.org
网络攻击由各种各样的、动机各异的行为者发起,包括网络罪犯、内部人士、黑客分子、网络战士、网络恐怖分子、国家行动者、企业等。针对互联网用户包括:政府和公共机构到政治党派、私人企业、非政府组织、非营利性机构,个人公民和其他用户。网络攻击造成影响的类型和程度差异很大,可能包括减少网络和计算系统的功能、销毁记录、经济损失、敏感信息丢失、业务竞争力丧失,以及中断物理世界,例如,通过停电和损失关键基础设施来进行网络攻击。
国家级的安全应急响应可以涵盖这些领域中的全部,或者部分领域。本节重点讨论在国家层面认识和检测这些网络安全威胁和事件,并以协调的、系统的和有效的方式做出响应的能力。它鼓励各国建设安全应急响应能力,不仅从技术角度,而且通过制定适当的组织和沟通措施来进行建设。
方框1.2:建设安全应急响应能力的步骤(D1.2)
Ø 建立国家级计算机安全事件响应小组(CSIRT),负责国家层面的安全应急响应。 Ø 为国家计算机安全事件响应小组(CSIRT)招募、发展和保留员工队伍,负责在国家层面的安全应急响应。 Ø 建立物理设施和获取在国家层面响应事件所需的技术能力,并培训人员来执行这一任务。 Ø 定义、记载和操作安全应急响应流程。定期检查这些流程,以确保它们适合于不同的事件场景。 Ø 建立一个国家级网络安全事件的注册中心;建立定期更新注册中心的机制,并根据环境变化及不断演变的威胁情况发出警告。 Ø 建立或加入安全应急响应和信息共享的国际和区域协调机构。 |
建设安全应急响应能力的步骤1
Ø 建立国家级计算机安全事件响应小组(CSIRT),负责国家层面的安全应急响应。 |
国家级安全应急响应的职责应分配给明确确定的任务负责机构。这个角色通常由国家级的计算机安全事件响应小组(CSIRT)执行。计算机安全事件响应小组(CSIRT)是一个由信息技术(IT)安全专家组成的团队,负责处理和应对安全事件,支持目标对象,帮助其从入侵和事件中恢复。计算机安全事件响应小组(CSIRTs)可以提供广泛的服务,范围广至反应性安全应急响应到预防和教育服务。
有几个指南列出了建立计算机安全事件响应小组(CSIRT)所需的活动(参见本节末尾的参考列表)。这个工具箱并没有试图代替或扩充这些文档,而是强调了某些关键的重点领域,包括:
• 定义一个任务(计算机安全事件响应小组(CSIRT)打算做什么?);
• 确定有关的利益攸关方;
• 定义计算机安全事件响应小组(CSIRT)在更广泛的制度框架中的地位;
• 定义目标对象(计算机安全事件响应小组(CSIRT)为谁行动?);
• 通过法律框架建立计算机安全事件响应小组(CSIRT);
• 定义计算机安全事件响应小组(CSIRT)提供的功能和服务(与任务一致);
• 建立组织结构,包括内部组织和相关的其他组织。
1. 任务
从计算机安全事件响应小组(CSIRT)一开始就定义其总体任务是很重要的。任务应明确地、简明地进行定义、记载并分发,并应提供该团队正在努力实现的目标的基本概况。应该可以将任务说明限制在最多三到四个明确的句子中。任务说明应得到高级官员的支持,以确保它能得到政府和私营部门的认可。通常有用的是,在一份任务说明的基础上补充一份二级的目的说明,该说明简要概述计算机安全事件响应小组(CSIRT)形成的原因。
明确的任务说明很重要,因为它有助于形成计算机安全事件响应小组(CSIRT)的内部和外部感知。从内部看,一个清晰的任务说明为更精确的目标提供了重点,并允许以明确的方式定义,并把计算机安全事件响应小组(CSIRT)提供的功能和服务列入优先地位。从外部看,清晰的任务说明可以让其他网络安全利益攸关方理解并认识到该团队的作用和重要性。这对于确保和建立计算机安全事件响应小组(CSIRT)有效开展其活动所需的资金、资源和关系支持非常重要。 |
如果不能制订和传达一份明确的任务说明,就会导致不确定的、含糊不清的情况,从而造成困难,包括工作效率低下和资源开支不足,尤其是在危机情况下。 |
计算机安全事件响应小组(CSIRT)至少应提供某种形式的处理能力,以应对网络事件,但国家计算机安全事件响应小组(CSIRT)的任务通常包括以下内容:
(一)作为安全应急响应的国家协调员;
(二)充当国家事件和国际事件的联络点;
(三)担任其他部门、私营部门行动者和机构的信息安全咨询协调员;
(四)为政府的相关利益者及其他最终用户提供事故响应服务。
值得注意的是,国家计算机安全事件响应小组(CSIRT)协调安全应急响应可由各种其他的计算机安全事件响应小组(CSIRTs)进行协助,包括:
• 关键基础设施保护(CIP)或关键的信息基础设施保护(CIIP) 计算机安全事件响应小组(CSIRTs),负责关键基础设施资产的监控和保护;
• 政府计算机安全事件响应小组(CSIRTs),负责监测和应对政府网络中的事件,并确保政府IT基础设施和服务得到充分保障;
• 军事计算机安全事件响应小组(CSIRTs),其任务是保护国防设施和国防活动所需的网络和信息通信技术(ICT)基础设施;
• 学术计算机安全事件响应小组(CSIRTs),负责为学术机构和团体提供安全应急响应服务;
• 中小型企业(SME)部门计算机安全事件响应小组(CSIRTs),负责提供安全应急响应服务,以满足中小企业(SMEs)的需求;
• 商用计算机安全事件响应小组(CSIRTs),提供个人公司内或付费客户的事故响应服务。
由负责协调国家级安全应急响应的国家计算机安全事件响应小组(CSIRT)履行的职能和责任,将根据其国内计算机安全事件响应小组(CSIRTs)的业务情况而有所不同。特别是在更高级的环境情况下,可采用国家计算机安全事件响应小组(CSIRT)来代表“最后的手段计算机安全事件响应小组(CSIRT)”, 这意味着可能需要填补通常由部门计算机安全事件响应小组(CSIRT)或其他机构提供的事件响应缺口。在可用资源有限的情况下,计算机安全事件响应小组(CSIRT)可以作为安全应急响应的中央协调机构。 |
2. 利益攸关方
在建立国家级计算机安全事件响应小组(CSIRT)时,重要的是要确定相关的利益攸关方,他们既可能支持计算机安全事件响应小组(CSIRT),也可能从其存在中获益。对于国家的计算机安全事件响应小组(CSIRT)而言,参与其中的利益攸关方群体通常包括:
• 政府和政府机构
• 执法机构
• 国防机构
• 学术部门
• 互联网服务提供商(ISPs)
• 金融行业和其他关键行业
• 国家和国际组织和工作组。
不同机构的成员和利益攸关方群体应参与规划和建立一个国家安全战略,以确保它是各有关方面的代表。相关的利益攸关方可以通过绘制网络生态系统地图,和/或使用战略规划工具(如SWOT分析或PEST分析)来进行确定。 |
可以根据其预期角色和贡献来对利益攸关方进行集群。这包括查明那些应当更密切地参与,并能够影响国家计算机安全事件响应小组(CSIRT)的发展和运作的利益攸关方,以及那些应该被告知的利益攸关方。在建立国家计算机安全事件响应小组(CSIRT)的早期阶段,利益攸关方可以通过工作组参与进来,工作组独立地寻求完善团队的使命和更广泛的愿景。早期参与还有助于建立关系,并获得个人和组织的支持,这些个人和组织可能会在未来直接支持计算机安全事件响应小组(CSIRT)的活动。
3. 制度框架
国家计算机安全事件响应小组(CSIRT)应该与现有的政府结构很好地结合在一起,并拥有充足的资源。计算机安全事件响应小组(CSIRT)在更广泛的政府组织结构中的地位和沟通渠道应该得到明确界定。此外,国家计算机安全事件响应小组(CSIRT)应当能够获得充足的财政、人力和基础设施资源。国家计算机安全事件响应小组(CSIRT)的机构设置和资源配置应该能反映其任务说明中概述的抱负目标和责任。
项目团队的任务可能是为计算机安全事件响应小组(CSIRT)制定一个初始的机构框架。除了能够制定适当的框架外,这个团队的成员还应该能接触到政府的高级官员,使他们能够帮助规划国家层面的网络安全政策和资金支持。理想情况下,项目团队应该是多学科的,包括网络安全应急响应、技术和电信方面的公共政策、国家国防和安全、国际公法和法律框架等方面的专家。 |
4. 法律框架
如果没有严格的法律框架,计算机安全事件响应小组(CSIRT)就无法有效运行。应该验证计算机安全事件响应小组(CSIRT)是否符合现有法律,并为团队将要进行的活动提供法律依据。一个有缺陷的法律框架,可能使计算机安全事件响应小组(CSIRT)在应对网络攻击时容易受到诉讼或并发症的影响。
5. 目标对象
在建立计算机安全事件响应小组(CSIRT)时,重要的是确定团队想要为之提供服务的目标对象(即计算机安全事件响应小组(CSIRT)的客户)。确定客户或目标对象应该在计算机安全事件响应小组(CSIRT)的任务说明中予以明确。确定计算机安全事件响应小组(CSIRT)的目标对象时,任何现有的计算机安全事件响应小组(CSIRT)在公共部门和私营部门组织内的角色作用也应该考虑进去,以及是否应该给不同的委托人提供差异化服务(例如,某些服务是否应该只提供给数量受限制的利益攸关方行动者和群组)。计算机安全事件响应小组(CSIRT)相对于其目标对象的权威程度也应在现阶段予以确定。这可能会以权威的不同级别为基础,例如:
• 完全授权,使计算机安全事件响应小组(CSIRT)能够单方面地代表其目标对象执行必要的行动;
• 共享权力,计算机安全事件响应小组(CSIRT)能够通过与其目标对象的联合决策进行干预;
• 间接权力,即计算机安全事件响应小组(CSIRT)能够通过间接压力(例如,通过监管或信任关系)影响其目标对象;
• 无效权限,计算机安全事件响应小组(CSIRT)无法决定是否做出决策,尽管仍然可以提供建议、信息和经验。
功能和服务
除了总体任务之外,还应该确定国家计算机安全事件响应小组(CSIRT)的功能和作用。
在建立计算机安全事件响应小组(CSIRT)过程的早期阶段,与关键利益攸关方进行接触,可以帮助确定计算机安全事件响应小组(CSIRT)应该努力提供的核心服务和任何其他服务。 |
这些功能可以细分为以下四类:
• 正式功能指的是计算机安全事件响应小组(CSIRT)的官方授权。尽管各国对计算机安全事件响应小组(CSIRTs)的授权范围存在差异,计算机安全事件响应小组(CSIRTs)仍然可能在制定和实施国家网络安全战略方面发挥重要的作用。计算机安全事件响应小组(CSIRT)的任务一般包括:明确界定其在国家政策和法律框架中的作用和责任;对网络安全事件采取行动和做出反应的权力;明确定义计算机安全事件响应小组(CSIRT)与其他网络安全利益攸关方的关系;任务的稳定性以及成熟度和有效性的增长空间;以及资源和资金的连续性。
• 业务技术功能是指计算机安全事件响应小组(CSIRT)为外部组织和内部组织提供的技术服务。计算机安全事件响应小组(CSIRT)可为外部组织提供主动、被动和/或其他安全管理服务。计算机安全事件响应小组(CSIRTs)还可以向其总体组织(比如,国家计算机安全事件响应小组(CSIRTs)的国家政府)提供内部服务,例如针对内部员工以及外部利益攸关方和受众的提高网络安全意识或网络安全培训活动。国家计算机安全事件响应小组(CSIRT)的核心业务技术功能包括事件处理和管理,并且可被指定为国家联络点。下面的信息方框中提供了对计算机安全事件响应小组(CSIRTs)通常提供的外部业务-技术功能的进一步讨论。
• 业务-组织功能是指计算机安全事件响应小组(CSIRT)提供的资源、基础设施和服务提供的连续性。这包括人力资源(比如,人员编制、技能水平等)、技术资源(软件和硬件)、预算分配、培训供应和维持24/7运营的能力。
• 合作功能是指利益攸关方之间的纵向合作和横向合作。在国家层面有各种各样的利益攸关方参与到安全应急响应中,包括政府和其他公共机构、硬件和软件提供者、操作者、服务提供者和最终用户。网络空间是无国界的,而网络事件通常具有国际性,需要与其他国家的计算机安全事件响应小组(CSIRTs)和网络安全组织进行合作。建立和维护与所有相关的利益攸关方之间的信任和沟通对于安全应急响应来讲是非常重要的。
计算机安全事件响应小组(CSIRT)的业务-技术功能可以细分为若干子类别,包括: 反应性服务:计算机安全事件响应小组(CSIRT)为响应事件提供的反应性服务。计算机安全事件响应小组(CSIRT)可以响应援助请求、事件报告、外部事件检测或其自身计算机安全事件响应小组(CSIRT)系统中的事件检测。 主动性服务:旨在事件发生或被检测到之前,改进安全基础设施和流程的主动性服务。主动性服务的主要目标是预防和减少网络安全事件的影响。 安全管理服务:旨在提高外部组织网络安全的安全管理服务。 下面的表1.1中列出了这些服务的范例。 |
计算机安全事件响应小组(CSIRT)提供的服务应该与该团队的正式功能和任务相一致,并且应该以一种能够实际使用可用资源提供服务的方式进行定义。计算机安全事件响应小组(CSIRT)的成功在很大程度上取决于所提供的服务质量,提供少量的、高质量的服务比提供大量的、低质量的服务要好。 |
计算机安全事件响应小组(CSIRT)提供的功能和服务可能会随着时间的推移而发展壮大,尽管这取决于许多因素,包括规模、基础设施、资金支持和人力资源。
6. 组织结构
在计算机安全事件响应小组(CSIRT)中有明确的角色和责任的委派是很重要的,尽管在较小的团队中,单个个人可能会承担多个角色。虽然许多功能都与所有计算机安全事件响应小组(CSIRT)相关,但是内部组织结构在一定程度上还是依赖于计算机安全事件响应小组(CSIRT)的任务说明、规模和范围。建议将以下元素作为初始结构的最小组成部分:
• 管理:这包括战略、预算、运营组织、与外部利益攸关方的联系和沟通,以及媒体关系。
• 操作:这包括事件管理和威胁监控。
• IT:这包括IT基础设施的维护,以及对运营和研发(R&D)的支持。
• 研究和发展:这包括技术开发、威胁和事件趋势的统计分析、系统和工具的开发、培训,以及运营支持等方面的研究。
• 支持服务:这包括市场营销、法律支持、媒体关系、行政和财务。
较大的计算机安全事件响应小组(CSIRT)通常包括另外的职能,如专家安全应急响应团队、安全操作中心、培训、专家信息安全管理、内部审核和恶意软件取证实验室。
建设安全应急响应能力的步骤2
Ø 为国家计算机安全事件响应小组(CSIRT)招募、发展和保留员工队伍,负责在国家层面的安全应急响应。 |
重要的是要确保计算机安全事件响应小组(CSIRT)配备有足够数量的专业人员,他们具有承担安全应急响应功能所需的真正的技能。美国国家标准与技术研究所商务部,通过国家网络安全教育计划(NICE),开发一个全面的网络安全工作框架,以便于描绘不同类型的网络安全专家角色所需要的知识、技能和能力, 从更广泛的意义上讲,包括那些与计算机安全事件响应小组(CSIRTs)和安全应急响应有关的知识、技能和能力。除了标准的管理角色和配置文件外,计算机安全事件响应小组(CSIRT)还应聘用具有网络安全应急响应、计算机取证、信息保障和系统开发方面专业知识和经验的操作人员。
要取得这些专长,工作人员首先应具备下列起码的知识水平:(一)互联网技术和协议;(二)Linux、Unix或Windows系统(取决于目标对象的设备);(三)网络基础设施设备;(四)互联网应用;以及(五)安全威胁和风险评估。
有一些网络安全认证可以帮助确定在计算机安全事件响应小组(CSIRT)中工作的合适人选。这些网络安全认证包括:
• 电子商务理事会(EC-Council)认证事件处理程序(ECIH)项目:ECIH是由EC-Council提供的为期两天的培训项目,重点是事件处理、风险管理、渗透测试、事故调查以及其他检测和应对计算机安全威胁的原理和技术。为了获取证书,必须在课程结束时通过考试。EC-Council是一家私营的网络安全技术认证机构,在全球145个国家开展业务,为公共部门和私营部门的雇员提供认证。
• GIAC认证事件处理程序(GCIH):GCIH由全球信息保证认证(GIAC)提供,是对检测、响应和解决计算机安全事件熟练程度的认证。它不是一个培训课程,而是一个4小时的考试,涵盖了事件处理、检测恶意应用程序和网络活动、常见攻击技术、检测和分析漏洞以及实现持续的过程改进。该认证必须每四年更新一次。GIAC是一家专注于计算机、信息和软件安全的私人认证公司,为政府和行业的事件处理人员提供认证。
• GIAC响应和工业防御(GRID):该GRID认证也由GIAC提供,重点是确定和保护关键基础设施,比如公共设施、商业制造设施或其他类型的工业控制系统(ICS)。特别是,它要求考生展示对特定ICS的主动防御战略的理解,以及对特定ICS的攻击的理解,以及这些攻击是如何为缓解战略提供信息的。为了获得认证,考生必须通过一场历时两个小时的考试。该认证必须每四年更新一次。
• 认证网络取证专业人员(CCFP):CCFP是一个专业认证,专注于取证技术和程序,实践标准,以及法律和伦理原则,以确保网络取证证据在法庭上的可接受性。该认证旨在适用于不同的领域,包括执法、国防和安全领域的网络情报,以及私营部门。
• GIAC计算机取证认证:GIAC还提供一系列的网络取证认证,包括全球信息保证认证鉴证员(GCFE)、GIAC网络取证分析师(GNFA)和GIAC高级智能手机取证(GASF)。
建设安全应急响应能力的步骤3
Ø 建立物理设施和获取在国家层面响应事件所需的技术能力,并培训人员来执行这一任务。 |
计算机安全事件响应小组(CSIRT)的人员应该有专用的空间和设施,这些设施的安保措施与组织机构保护数据中心的安保措施相同。计算机安全事件响应小组(CSIRT)不应位于开放的小隔间环境中,而应位于单独的办公空间中,并制定限制访问战略,以防止未经授权访问计算机安全事件响应小组(CSIRT)资源和信息。计算机安全事件响应小组(CSIRT)的建筑物或设施应该受到24小时的监控保护。对服务器、通信设备、逻辑安全设备和数据存储库的物理和逻辑访问应该受到严格的访问控制。图1.1概述了最低设计的计算机安全事件响应小组(CSIRT)的网络体系结构。
资料来源:美洲国家组织(OAS)(2016a)
图1.1:概述计算机安全事件响应小组(CSIRT)网络体系结构的最低设计
除了将计算机安全事件响应小组(CSIRT)安置在设备齐全的专用设施内以外,还应向计算机安全事件响应小组(CSIRT)的人员提供定期培训,并且更新课程,确保他们能够有效地履行其职责。除上述技术认证外,计算机安全事件响应小组(CSIRT)的操作人员还应在内部或通过外部供应商来学习网络安全基础和威胁、计算机和网络取证、恶意软件分析和逆向工程,以及其他分析工具和技术等课程。
除了培训以外,网络演习也成为培训人员处理网络事件的有效工具。这需要评估哪些资源(例如,人员、基础设施和通信功能)有待进行测试,确定演习的目标和负责人员,并且将演习纳入网络安全战略。需要对演习的影响进行评估,而且评估结果将为未来演习或网络安全战略的整体调整提供依据。
建设安全应急响应能力的步骤4
Ø 定义、记载和操作安全应急响应过程。定期检查这些过程,以确保它们适合于不同的事件场景。 |
事件处理响应过程是计算机安全事件响应小组(CSIRT)需遵循的一组已定义好的步骤,以便于有效地应对网络安全事件,它是一个独立于特定事件而定义和开发的过程,其目标是开发一个框架,使安全应急响应能够采用结构化的、协调的、有系统的和一致的方法。
事件处理响应过程通常是在较高级别上进行开发的,然后针对特定类型的攻击细化为更具体的过程。从战略层面看,一个包罗万象的安全应急响应过程概述了应对网络事件时应该采取的通用步骤。这些步骤的定义方式应该能够使其适用于不同类型的攻击,尽管如此,仍然可以针对特定的计算机安全事件响应小组(CSIRT)范围内的事件处理响应进行调整,虽然在单个计算机安全事件响应小组(CSIRT)范围中,根据本地需求开发事件处理响应过程是最有效的,但是已经开发了许多通用框架来支持 计算机安全事件响应小组(CSIRTs)开发其安全应急响应过程。这些框架在其分解和结构上略有不同,但大体上涵盖了同样的因素。
美国国家标准与技术研究所(NIST)安全应急响应生命周期 美国国家标准与技术研究所(NIST)将事故处理响应过程分为四个关键阶段:(一)准备阶段;(二)检测和分析阶段;(三)遏制、根除和恢复阶段;以及(四)事件后的行动。 |
图1.2:安全应急响应过程范例
下列各段落依次对这些阶段进行了进一步的阐述。准备阶段是指事件发生之前的一段时间,它不仅包括应对网络攻击所需要的技术和人的能力,还包括应对网络攻击所需要的、清晰而协调一致的组织结构和程序。准备工作还包括为了保护系统和网络以防止攻击的过程,尽管这通常超出了计算机安全事件响应小组(CSIRT)呈交当局解决的事项范围。
检测和分析阶段的目的是一旦发生网络攻击,对其进行确定和了解。在检测阶段,这涉及到引入和维持适当的技术检测机制,以及建立能够确定数据丢失,监控和检测系统和网络入侵的组织程序,一旦检测到有攻击发生,随后的分析应该力求了解该攻击的类型、规模和影响,包括端点分析、二进制分析和企业捕获。
遏制、根除和恢复阶段指的是最初确定和分析网络攻击后的一段时间。第一阶段——遏制——试图通过阻止网络攻击扩散到其他设备、系统和网络,来限制网络攻击造成的损害。然后从受影响的系统中删除攻击本身,例如,通过阻止攻击者访问网络,删除恶意软件和禁用已被攻击的用户帐户,根除阶段还应监控来自该攻击者的任何响应,与此同时,努力识别和删除攻击期间最初利用的漏洞。
尽管尽快根除攻击最重要,但满足网络安全应急响应处理的取证要求也非常重要。这包括确保以行动日志中详细描述的方式收集和保存证据的一系列保管链。 |
在成功遏制和根除该网络攻击后,恢复阶段开始,目标是使系统恢复正常运行标准,这包括更换和重建受损的系统,并将其重新连接到网络,删除临时限制,例如权限、密码和临时防火墙;安装合适的补丁,并对该系统进行测试,以确保它不会遭受到同样的攻击。
事故处理过程的最后一个阶段是事件后的行动,这涉及到从事件中收集和存储信息和证据,并从该响应中学习经验、吸取教训,以改进未来的事件处理过程。
数字证据的正确处理是很重要的,而且要根据国家的程序立法来处理,因为如果攻击者被确定并起诉的话,这些证据可以在刑事法庭使用。 |
为了确保在对特定事件的响应过程中完成每一个阶段,可以使用事件处理检查清单来跟踪整个事件处理过程的进度。一般的事件处理过程,在可用的文献资料中已经有不同粒度层次的详细描述,而且应该根据计算机安全事件响应小组(CSIRT)的特定需求开发定制的检查清单。
最后,一旦开发了一种高级别的事件处理方法,通常就可以为特定类型的网络攻击定制这种方法。具体来说,不同类型的网络攻击需要不同类型的遏制、根除和恢复过程,这意味着针对安全应急响应的更有针对性的方法可能比单一的总体框架更有用。
在安全应急响应的早期阶段,通常很难确定网络攻击的类型。因此,定制的过程应该使用一种通用的方法,直到确定了网络攻击的类型,在此之后,更具体的分析、遏制、根除和恢复形式就变得重要起来了。 |
更具体的安全应急响应过程是针对特定类型的攻击(比如,分布式拒绝服务(DDOS)攻击或恶意软件的检测)而定制的。
国家和国际法律和标准 安全应急响应过程包括接收事件报告、评估事件以及采取行动处理事件。因此,重要的是,安全应急响应过程不仅要有效,而且要遵守国家和国际法律和标准。例如: 国际 《巴塞尔协议II》,《欧洲委员会关于网络犯罪的公约》,《欧洲委员会人权公约》,《国际会计准则》。 欧洲 关于电子签署的指示(1993/93/EC)、关于数据保护的指示(1995/46/EC)及电子通讯中隐私的指示(2002/58/EC)、关于电子通讯网络及服务的指示(2002/19/EC - 2002/22/EC)、关于公司法的指示(例如,第8号公司法指示)。 标准 英国标准BS 7799(信息安全)、国际标准ISO2700x(信息安全管理系统)、德国IT-Grundschutzbuch、法国EBIOS等其他国家版本的标准。 |
建设安全应急响应能力的步骤5
Ø 建立一个国家级网络安全事件的注册中心;建立定期更新注册中心的机制,并根据环境变化及不断演变的威胁情况发出警告。 |
国家计算机安全事件响应小组(CSIRT)应该托管一个服务器,作为国家级事件的注册中心,记录和跟踪网络安全事件。该注册中心应该记载接收到的事件报告,以及与安全应急响应有关的进出计算机安全事件响应小组(CSIRT)的通信记录,并应将其用于检查参与安全应急响应的人员的状况。
此外,计算机安全事件响应小组(CSIRT)应该运行并定期检查为其目标对象(用户)和客户创建安全咨询警报和警告的过程。这一过程应包括下列几个步骤:
1. 从计算机安全事件响应小组(CSIRT)的合作伙伴网络或供应商简报和时事通讯接收关于安全漏洞的警告。
2 收集有关漏洞的信息,并对其相关性、分类、相关风险和潜在影响进行评估。
3 准备并向计算机安全事件响应小组(CSIRT)的目标对象(用户)发布安全警告,说明漏洞的来源、相关性(即它所应用的软件或硬件)、风险、影响和潜在损害、解决方案以及细节描述。
建设安全应急响应能力的步骤6
Ø 建立公共部门和私营部门之间的国家级协调机构,为政府和关键行业设立国家接触点。 |
由于网络安全是一个由不同的公共和私人行为主体承担责任和能力的领域,因此这些行为主体彼此之间的密切合作至关重要。应该采用具有接触点的国家级协调机构和日常合作,范围从信息交流和分享良好做法一直到联合行动。
建设安全应急响应能力的步骤7
Ø 建立或加入安全应急响应和信息共享的国际和区域协调机构。 |
国家计算机安全事件响应小组(CSIRT)工作的一个重要方面涉及到与邻国计算机安全事件响应小组(CSIRTs)发展互相受信任的工作关系。此外,国家计算机安全事件响应小组(CSIRT)可以加入某些区域和国际协调机构,以便分享和协调安全应急响应信息。这些包括:
• 安全应急响应和安全小组论坛(FIRST): 按照其任务说明,FIRST是一个受信任的计算机事件响应小组国际联盟,合作处理计算机安全事件,并促进事件预防方案的制定。具体来说,FIRST:(一)鼓励和促进开发高质量的安全产品、政策和服务; (二)制定和推广计算机安全方面的最佳做法实践;以及(三)推动成立及扩张来自世界各地组织机构的安全应急响应小组及成员。FIRST:(一)开发和分享技术资料、工具、方法、过程和最佳做法实践;以及(二)利用他们的知识、技能和经验,来促成更安全的全球电子环境。
• 工作组(TF)-计算机安全事件响应小组(CSIRT):TF-CSIRT旨在促进欧洲各国计算机安全事件响应小组(CSIRTs)之间的协作。工作组(TF)的主要目标包括: (一)提供一个交流经验和知识的论坛; (二)为欧洲计算机安全事件响应小组(CSIRT)共同体建立试点服务; (三)推广对安全事件做出响应的共同标准和程序;以及(四)协助设立新的计算机安全事件响应小组(CSIRTs),并对计算机安全事件响应小组(CSIRT)的工作人员进行培训。
• 亚太计算机应急响应小组(APCERT):亚太计算机应急响应小组是一个论坛,旨在维护亚太地区计算机安全专家受信任(可信)的联系网络,以提高该地区对计算机安全事件的认识和应变能力。APCERT的目标包括:(一)加强亚太地区和国际在信息安全方面的合作;(二)共同制定应对大规模、区域性网络安全事件的措施;(三)促进其成员间进行信息共享和技术交流,包括信息安全、计算机病毒和恶意代码;(四)促进对其成员感兴趣的课题的合作研发;(五)协助该地区内其他CERTs及计算机安全事件响应小组(CSIRTs)进行有效率的、有效的计算机应急响应;(六)提供输入文件和/或建议,帮助解决区域范围内与信息安全和应急响应有关的法律问题。
• 非洲CERT:非洲CERT将自己描述为非洲安全应急响应小组论坛。非洲CERT的目标包括:(一)协调非洲计算机安全事件响应小组(CSIRTs)之间的合作;(二)协助非洲国家建立计算机安全事件响应小组(CSIRTs);(三)在非洲国家和国家之间促进和支持信息和通信技术安全方面的教育和外展方案;(四)加强非洲计算机安全事件响应小组(CSIRTs)和世界各地其他利益攸关方之间的关系;(五)鼓励信息通信技术安全领域的信息共享,以便于迅速地确定漏洞,并消除风险;(六)促进其成员之间分享最佳实践做法和经验,从而制定全面的网络安全框架;(七)协助非洲计算机安全事件响应小组(CSIRTs)提高网络战备能力和增强信息通信技术(ICT)基础设施的恢复能力;以及(八)促进信息和通信技术安全领域的合作技术研究、发展和创新。
(未完待续)
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。