美國(guó)國(guó)土安全部 (DHS) 網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 當(dāng)?shù)貢r(shí)間11月16日發(fā)布了新的網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊(cè),完成了拜登總統(tǒng)網(wǎng)絡(luò)安全行政命令(EO) 的一項(xiàng)重要任務(wù)。這個(gè)手冊(cè)為聯(lián)邦文職行政部門(mén) (FCEB) 機(jī)構(gòu)提供了一套標(biāo)準(zhǔn)程序,以識(shí)別、協(xié)調(diào)、補(bǔ)救、恢復(fù)和跟蹤影響FCEB系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)的事件和漏洞的成功緩解措施。基于從以往事件中汲取的經(jīng)驗(yàn)教訓(xùn)并結(jié)合行業(yè)最佳實(shí)踐,CISA 打算通過(guò)標(biāo)準(zhǔn)化共享實(shí)踐,將最佳的人員和流程整合在一起以推動(dòng)協(xié)調(diào)一致的行動(dòng),從而使這個(gè)手冊(cè)有效提升聯(lián)邦政府的網(wǎng)絡(luò)安全響應(yīng)實(shí)踐。
CISA 發(fā)布的手冊(cè)為兩部分內(nèi)容的組合:一部分關(guān)于漏洞響應(yīng),另一部分關(guān)于網(wǎng)絡(luò)安全事件響應(yīng)。手冊(cè)包括每類情形響應(yīng)的決策樹(shù)以及每個(gè)情形的分步緩解和修復(fù)指南。手冊(cè)為發(fā)生網(wǎng)絡(luò)安全漏洞或事件的聯(lián)邦文職行政部門(mén) (FCEB) 機(jī)構(gòu)制定了操作程序。這份43頁(yè)的文件為由聯(lián)邦機(jī)構(gòu)或 CISA 發(fā)起的任何響應(yīng)活動(dòng)制定了行動(dòng)方針,并將指導(dǎo)分析和發(fā)現(xiàn)的實(shí)踐標(biāo)準(zhǔn)化,促進(jìn)受影響各方之間更好的協(xié)調(diào),使 CISA 能夠跟蹤成功的跨組織操作并允許事件編目。
CISA 在手冊(cè)發(fā)布的新聞稿中稱,F(xiàn)CEB 機(jī)構(gòu)應(yīng)該使用這本手冊(cè)來(lái)塑造他們的整體防御性網(wǎng)絡(luò)行動(dòng)。這本手冊(cè)適用于 FCEB 機(jī)構(gòu)、該機(jī)構(gòu)的承包商或代表該機(jī)構(gòu)的其他組織使用或運(yùn)營(yíng)的信息系統(tǒng)。
手冊(cè)的概述中說(shuō),事實(shí)證明,所有聯(lián)邦政府組織的合作是解決漏洞和事件的有效模式?;趶囊酝录屑橙〉慕?jīng)驗(yàn)教訓(xùn)并結(jié)合行業(yè)最佳實(shí)踐,CISA 打算通過(guò)標(biāo)準(zhǔn)化共享實(shí)踐,將最佳人員和流程聚集在一起以推動(dòng)協(xié)調(diào)行動(dòng),從而使這些劇本發(fā)展聯(lián)邦政府的網(wǎng)絡(luò)安全響應(yīng)實(shí)踐。
新手冊(cè)的大部分內(nèi)容都側(cè)重于聯(lián)邦部門(mén)為應(yīng)對(duì)未來(lái)網(wǎng)絡(luò)攻擊所做的準(zhǔn)備工作,其中包括監(jiān)控多種威脅情報(bào)來(lái)源,包括來(lái)自 CISA 的EINSTEIN入侵檢測(cè)系統(tǒng)和持續(xù)診斷和緩解 (CDM)計(jì)劃的警報(bào)。
如果機(jī)構(gòu)遇到新的漏洞或網(wǎng)絡(luò)事件,這本手冊(cè)應(yīng)該有助于加強(qiáng)聯(lián)邦安全態(tài)勢(shì)。CISA之前還發(fā)布了一項(xiàng)具有約束力的操作指令(BOD),其中包含需要聯(lián)邦機(jī)構(gòu)修復(fù)的分類和風(fēng)險(xiǎn)排序漏洞。將手冊(cè)和BOD結(jié)合起來(lái),可以修復(fù)當(dāng)前已知的漏洞,并為未來(lái)的任何漏洞制定行動(dòng)計(jì)劃。
安全事件響應(yīng)流程
事件響應(yīng)過(guò)程從事件的聲明開(kāi)始,如下圖1所示。流程共分為六個(gè)階段,依次是準(zhǔn)備、檢測(cè)分析、遏制、根除與恢復(fù)、事件后活動(dòng)和協(xié)調(diào)聯(lián)動(dòng)。在此背景下,“聲明”指的是對(duì)事件的識(shí)別和向CISA和機(jī)構(gòu)網(wǎng)絡(luò)防御者的通信,而不是對(duì)適用法律和政策中定義的重大事件的正式聲明。后面的部分按IR生命周期的階段組織,更詳細(xì)地描述每個(gè)步驟。許多活動(dòng)是迭代的,并且可能持續(xù)地發(fā)生和發(fā)展,直到事件結(jié)束。圖1根據(jù)這些階段說(shuō)明了事件響應(yīng)活動(dòng),而附錄B提供了一個(gè)伴隨檢查表來(lái)跟蹤活動(dòng)直至完成。
圖1 CISA的安全事件響應(yīng)流程
漏洞響應(yīng)流程
標(biāo)準(zhǔn)的漏洞管理程序包括識(shí)別、分析、修復(fù)和報(bào)告漏洞的四個(gè)階段。下圖2根據(jù)標(biāo)準(zhǔn)漏洞管理程序階段描述了漏洞響應(yīng)過(guò)程。
圖2 CISA的漏洞響應(yīng)流程
手冊(cè)包含六個(gè)附錄,附錄A:關(guān)鍵術(shù)語(yǔ) 、附錄B:事件響應(yīng)清單、附錄C:事件響應(yīng)準(zhǔn)備清單、附錄E:漏洞和事件分類、附錄F:報(bào)告源頭、附錄G:整個(gè)政府的角色和責(zé)任,為響應(yīng)流程的細(xì)化落實(shí)提供了有力保障。