美国发布《网络安全指南》规范网络事件响应“全流程标准”
2019学术大礼包丨加入学术plus丨2018学术大礼包丨2017不可以错过的重磅报告们
在今年5月12日美国总统拜登签署的增强国家网络安全的行政命令中,要求CISA牵头制定用于联邦机构(非军用)信息系统规划和制定网络安全漏洞和安全事件响应活动的操作流程标准。
为此,2021年11月16日,美国网络安全和基础设施安全局(CISA)按照行政命令的要求,发布了《联邦政府网络安全事件和漏洞影响响应指南》(Federal Government Cybersecurity Incident and Vulnerability Response Playbooks),以改善和标准化联邦机构识别、修复和从影响其系统的网络安全事件和漏洞中恢复的方法。本文详细介绍了该指南的两个主要部分,即:网络安全事件响应与漏洞响应的方法流程与对策。
CISA发布联邦政府网络安全事件和漏洞响应指南
编译:学术plus高级观察员 张涛
2.网络漏洞管理与响应的四个阶段:识别阶段,评估阶段,修复阶段,报告和通知阶段,建议其他公私机构和企业参考该操作指南
内容主要整理自外文网站相关资料
仅供学习参考,欢迎交流指正!
文章观点不代表本机构立场
*****
阅读英文原文/完整报告
请点击文末:阅读原文
【plus 小专辑】
《拜登网络安全三部曲》
2021年7月27日拜登喊话:严重网络攻击将引发现实战争2021年8月25日
1.六个阶段
网络安全事件响应六个阶段
图1:网络安全事件响应流程
1.1 准备阶段
准备阶段是指在网络安全事件发生前进行准备活动以预防其对组织的影响,准备阶段包括:
制定和理解网络安全事件响应的策略和流程
检测环境中的可疑和恶意活动
制定人员配置计划
对用户进行网络威胁和通知流程的培训
使用网络威胁情报来主动识别可能的恶意活动
1.2 检测和分析阶段
网络安全事件响应过程中最具挑战的一个环节就是准确地检测和评估网络安全事件:确定事件是否发生,如果发生,那么云内、主机、网络系统中被入侵的类型、范围和程度如何。为检测和分析网络安全事件,实现预先定义的流程、适当的技术和足够的基准信息来对异常和可疑活动进行监控、检测和预警。检测和分析阶段的活动包括:
报告事件,向CISA报告网络安全事件
确定调查范围
收集和保存数据
进行技术分析
借助第三方开展分析(可选项)
调整检测工具
1.3 控制阶段
将受影响的系统和网络与未受影响的系统和网络进行隔离
获取取证图像和保留证据用于事件的进一步调查
更新防火墙过滤规则
非授权访问的拦截、记录,以及对恶意软件资源的拦截
关闭特定端口、邮件服务器或其他相关的服务器和服务
修改系统管理员密码、服务或应用账户信息
让攻击者在沙箱中运行来监控攻击者的活动、收集其他证据、并识别攻击向量
1.4 根除和恢复阶段
修复所有受感染的IT环境,包括云、主体和网络系统等
重购硬件
用未受感染的版本来替换被黑的文件
安装补丁
重置被黑的账户密码
监控所有攻击者对控制活动做出的响应
恢复相关的活动包括:
重新连接系统到网络中
加强边界安全和零信任访问规则
测试系统,包括安全控制的测试
监控异常行为活动
1.5 事件后阶段
1.6 协作阶段
ICT服务提供商
向FCEB机构报告网络安全事件,并同时报告给CISA
收集和保留与所有其控制的信息系统的网络安全事件预防、检测、响应和调查相关的数据和信息,其中包括以FCEB机构名义运行的系统 与联邦网络安全机构或调查机构协作开展针对联邦信息系统安全事件的调查和响应工作
FCEB机构
与CISA协作开展网络安全事件响应
必要时向OMB、OFCIO、国会等机构报告 必要时向执法机构报告网络安全事件 通知利益相关者采取必要措施 根据CISA要求提供网络和系统日志信息,包括ICT服务提供商的日志 在FCEB和子组织内开展应急响应,确保机构层面的SOC能够开展应急响应活动
美国国土安全部(DHS)
美国网络安全和基础设施安全局(CISA)
信息系统安全事件响应活动的总负责机构
与产业和政府合作者协作来帮助组织理解和应对关键基础设施和网络安全威胁 中心化地收集和管理FCEB和ICT服务提供商的安全事件应急响应信息 与受影响的FCEB机构沟通以确定网络安全事件或漏洞的产生原因 FCEB机构请求时,对受影响的机构提供分析、专家和其他技术帮助 对FCEB机构进行定向网络威胁和修复措施进行培训 应急响应完成后对FCEB机构的应急响应和修复结果进行评审和验证
美国司法部(DOJ)
美国联邦调查局(FBI)
开展执法调查、取证和修复活动以支持对攻击者开展制裁
向FCEB机构反馈响应过程中获得的情报和信息 共享情报
国家安全局(NSA)
提供情报以支持网络安全事件和漏洞的响应
提供攻击的发起者信息 在请求时,提供技术支持 为NSS和其他系统提供威胁响应、资产(信息系统)响应和情报支持
2.漏洞管理
2.1 识别阶段
通过监控威胁流和信息资源来主动识别被利用的漏洞情况,包括但不限于:
CISA资源:CISA/US-CERT国家网络威胁系统产品,包括每周的安全漏洞总结 外部威胁和漏洞流,比如NIST国家漏洞数据库 内部SOC监控和事件响应
2.2 评估阶段
首先确定漏洞是否存在,然后使用SSVC等方法来评估底层的软件或硬件的重要性。现有的补丁和资产管理工具非常重要,可以用于大多数漏洞的自动化监测。对于以及被利用的漏洞,使用这些工具的快速响应过程。在评估阶段的最后,目标是理解环境中每个系统的状态,如:
不受影响 受影响,但是没有被利用的迹象 系统有漏洞,且系统被黑
2.3 修复阶段
限制访问 隔离有漏洞的系统、应用、服务和其他资产 对配置进行永久变化
2.4 报告和通知阶段
【参考链接】
[1]https://us-cert.cisa.gov/ncas/current-activity/2021/11/16/new-federal-government-cybersecurity-incident-and-vulnerability
[2]https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf
(全文完)
张涛,学术plus高级观察员,专注研究人工智能产业技术与网络信息安全。
紧急!拜登whole of nation网络安全计划 | 美国防部2022财年预算:将中国作为首要挑战,网络安全与作战预算超百亿美元 | 美国防部报告《国防导航能力》研究PNT 技术以弥补 GPS 的不足 | 5年,10亿,12个研究中心!美国最新数字发展战略汇总丨白宫消息!美国未来5大重点研发领域(全文)丨【Gartner】人工智能成熟度模型丨令美国闻风丧胆的5G网络究竟有哪些威胁?最新最全的“5G威胁图谱”来了!丨人工智能在国防领域的七大应用丨美国最新发布《国防部人工智能原则》看懂了吗?这就是军用AI的前期部署啊!丨美国国防部2019年消费账单出炉,竟频频打脸!丨欧盟发布《5G网络安全风险评估报告》,并未将中国列入威胁丨美国最新《2019空军人工智能战略》解析丨5G失利,美国想引领6G?丨美发布《5G市场份额和风险分析》简报丨【CNAS】美国战法转型丨欧盟AI发展不起来的原因丨我国的三艘航母丨特朗普签署《网络安全人才行政令》我国网络安全人才缺口超100万丨俄罗斯断网进行时,战斗种族也怕美国?丨欧盟最新《AI网络安全政策发展框架》丨中美AI竞赛,中国惜败?丨两会热点:人工智能立法丨美新一轮技术出口管制,或得不偿失丨美国国会发布《美国未来四大战略威胁》丨人工智能监管指南丨关于区块链你必须知道的:10个行业案例+核心问题与解决方案丨中美贸易战下,日本被这4个困境团团围住丨【Nature】如果AI可以预测和限制战争?丨【麦肯锡】政策制定者必读的AI报告:人工智能时代应解决这三件事丨美国发布《武器系统网络安全报告》丨欧盟发布国家网络安全战略评估工具,涵盖15个目标142个问题丨美国发布AI白皮书《机器崛起:人工智能及对美国政策不断增长的影响》丨网络战,没有规则!丨美国《国家网络安全应急措施》四大挑战与十项措施丨Deepfakes变脸术 竟成为美国国家安全的新威胁丨【布鲁金斯】2020-2040年军事技术变化预测丨【五眼情报联盟】最新发布:加密数据三原则丨机器学习的偏见丨牛津大学在思考:如何让AI成为一个好人?丨无人驾驶,法律你准备好了吗?
长按识别二维码查看更多观点或进入公众号“个人专栏”结识“学术plus”专家作者团队。
来了快看:2019学术大礼包
点击领取:2018学术大礼包
声明:版权归原作者所有。文章观点不代表本机构立场。图片均来自于网络。
《中国电子科学研究院学报》欢迎各位专家、学者赐稿!
投稿链接 http://kjpl.cbpt.cnki.net
邮箱:dkyxuebao@vip.126.com