在今年5月12日美国总统拜登签署的增强国家网络安全的行政命令中,要求CISA牵头制定用于联邦机构(非军用)信息系统规划和制定网络安全漏洞和安全事件响应活动的操作的过程标准。
为此,2021年11月16日,美国网络安全和基础设施安全局(CISA)按照行政命令的要求,发布了《联邦政府网络安全事件和漏洞影响响应指南》(Federal Government Cybersecurity Incident and Vulnerability Response Playbooks),以改善和标准化联邦机构识别、修复和从影响其系统的网络安全事件和漏洞中恢复的方法。本文详细的介绍了该指南的两个主要部分,即:网络安全事件响应与漏洞响应的方法流程与对策。
1.网络安全事件响应的六个阶段:准备阶段,检测和分析阶段(最具挑战环节),控制阶段(优先级最高),根除和恢复阶段,事件后阶段,协作阶段;相关政府机构在安全事件监控监测、分析和响应过程中的角色和责任,总负责机构为美国国土安全部(DHS)与美国网络安全和基础设施安全局(CISA)
2.网络漏洞管理与响应的四个阶段:识别阶段,评估阶段,修复阶段,报告和通知阶段,建议其他公私机构和企业参考该操作指南
如图1所示,网络安全事件响应流程可大致分为6个阶段,分别为:准备阶段、检测和分析阶段、控制阶段、根除和恢复阶段、事件后阶段、协作阶段。
准备阶段是指在网络安全事件发生前进行准备活动以预防其对组织的影响,准备阶段包括:
网络安全事件响应过程中最具挑战的一个环节就是准确地检测和评估网络安全事件:确定事件是否发生,如果发生,那么云内、主机、网络系统中被入侵的类型、范围和程度如何。为检测和分析网络安全事件,实现预先定义的流程、适当的技术和足够的基准信息来对异常和可疑活动进行监控、检测和预警。检测和分析阶段的活动包括:
控制和遏制在网络安全事件响应中优先级很高。目的是通过移除攻击者的访问来预防进一步伤害和减少事件的直接影响。常采取的控制活动包括:
这一阶段的目标是通过移除恶意代码等方式来清除安全事件的影响以回到正常状态活动。根除相关的活动包括:
这一阶段的目标是记录事件、通知机构领导、加固系统环境来预防类似事件的发生。
不同机构的网络防御能力是不同的,因此,受影响的机构和CISA之间应该有不同程度的协作来增强网络安全事件响应。
收集和保留与所有其控制的信息系统的网络安全事件预防、检测、响应和调查相关的数据和信息,这中间还包括以FCEB机构名义运行的系统
与联邦网络安全机构或调查机构协作开展针对联邦信息系统安全事件的调查和响应工作
在FCEB和子组织内开展应急响应,确保机构层面的SOC能够开展应急响应活动
标准的漏洞管理程序包括识别、分析、修复和报告漏洞4个阶段。下图描述了标准的漏洞管理程序:
CISA资源:CISA/US-CERT国家网络威胁系统产品,包括每周的安全漏洞总结
首先确定漏洞是不是真的存在,然后使用SSVC等方法来评估底层的软件或硬件的重要性。现有的补丁和资产管理工具很重要,能够适用于大多数漏洞的自动化监测。对于以及被利用的漏洞,使用这一些工具的快速响应过程。在评估阶段的最后,目标是理解环境中每个系统的状态,如:
系统或环境中存在的漏洞必须及时修复。大多数情况下,修复过程包含给漏洞打补丁。其他情况下,可采用的修复措施包括:
共享关于漏洞如何被利用的信息能够在一定程度上帮助联邦政府机构的防护者理解哪些漏洞最需要被修复。CISA与其他联邦机构合作负责联邦机构(非军事)系统的整体安全。因此,CISA有必要了解已被利用的漏洞的漏洞响应状态。相关机构应该要依据联邦网络安全事件通知指南等向CISA报告。
同时,CISA也建议其他公私机构和企业参考该操作指南制定漏洞和安全事件影响最佳实践。
