CISA发布新版网络安全事件和漏洞响应手册

本期关键词：美国 安全事件 漏洞 响应流程

当地时间2021年11月16日，美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA)发布了新版《网络安全事件和漏洞响应手册（Cybersecurity Incident & Vulnerability Response Playbooks）》，该手册共43页，旨在为联邦各部门的网络事件响应创建标准手册和定义集，确保所有联邦部门能够采取统一步骤来识别和缓解威胁。该手册还为私营部门提供应对威胁的模板。

据网络安全和基础设施安全局介绍，这份手册主要面向联邦政府民事行政部门（federal civilian executive branch agencies，FCEB）、承包商以及代表这些民事行政部门的其他组织所使用的信息系统。这份手册为联邦民事行政部门提供了一套标准程序，以识别、协调、补救、恢复以及跟踪针对联邦民事系统、数据的网络事件或漏洞，实施缓解措施。网络安全和基础设施安全局在发布手册时表示，联邦政府各民事行政部门“应该使用这份手册指导自身整体网络防御行动”，并鼓励各级政府部门乃至私营企业“参考手册内容，用以衡量自身漏洞与事件响应实践”。

新版《网络安全事件和漏洞响应手册》主要包括两部分内容：一部分是关于网络安全事件响应，另一部分是关于漏洞响应。手册详细介绍了各类情形响应的决策流程以及分步缓解和修复指南。下面进行简要介绍：

一、安全事件响应

本部分提供了网络安全事件的标准化响应流程，并描述 了美国国家标准与技术研究院(NIST)特别出版物(SP)800‑61Rev.2中定义的事件响应阶段的流程和完成情况。主要流程包括准备、检测和分析、遏制、清除和恢复以及事后措施。

如下图所示，安全事件响应过程从事件的“声明”开始，此处的“声明”是指识别安全事件并与网络安全和基础设施安全局和相关部门的网络安全人员进行沟通，而不是指针对重大事件而发布的正式声明。

图一 事件响应流程

（一）准备阶段

为重大事件发生之前做好准备，以减轻对组织的任何不良影响。准备活动主要包括：

记录和理解事件响应的政策和程序；检测环境以发现可疑以及恶意活动；制定人员配备计划；对用户进行网络威胁和通知程序方面的教育；利用网络威胁情报(CTI)主动识别潜在的恶意活动。

此外，准备工作还包括：拥有处理复杂事件的基础设施，包括机密事件和带外通信；制定和测试遏制和清除行动方案(COA)；建立收集数字取证和其他数据或证据的手段，等等。这些项目的目的是确保弹性架构和系统在受损状态下能够维持关键操作。采用重定向和监控对手活动等方法的主动 防御措施也可能在制定强大的事件响应方面发挥作用。

（二）检测和分析

事件响应流程中最具挑战性的方面通常是准确检测和评估网络安全事件：确认是否发生了事件，如果发生，则确定云、运营技术(OT)以及主机和网络系统内发生危害的类型和程度。对安全事件进行检测和分析，根据规定的流程，利用适当的技术和足够的基准信息，以监控、检测异常和可疑活动并发出警报。作为美国政府安全事件响应的牵头机构，网络安全和基础设施安全局将在检测和分析过程的各个方面与受影响的机构合作。

（三）遏制

遏制是突发事件应对的重中之重，尤其是重大突发事件。这样做的目的是通过取消攻击者的访问权限来防止进一步的损害和减少事件的直接影响。特定的场景将决定所使用的遏制策略的类型。例如，对使用无文件恶意软件的攻击者的遏制方法不同于对勒索软件的遏制方法。

主要的遏制措施包括：

将受影响的系统和网段彼此隔离，或与未受影响的系统和网络隔离；捕获forensic images并保存证据，以供进一步调查事件等使用；升级防火墙；阻止和记录未经授权的访问；阻止恶意软件来源；关闭特定端口和邮件服务器或其他相关服务器和服务；更改系统管理员密码、更换私钥和帐户密码；将对手引导至沙盒并监控其活动；收集额外的证据，并识别攻击向量，等等。

（四）清除与恢复

此阶段的目标是通过消除事件的组件（例如，删除恶意代码、重新镜像受感染的系统）和减轻被利用的漏洞或其他条件来恢复正常操作。在开始清除之前，确保所有持续访问网络的手段都已被考虑在内，攻击者的活动得到充分遏制，并且所有证据都已收集。这通常是一个迭代过程。如果已知入侵和初始访问向量的根本原因，它还可能涉及强化或修改环境以保护目标系统，有可能同时执行根除和恢复行动。 注意：在启动清除工作之前，与ICT服务提供商、商业供应商和执法部门进行协调。

（五）事后措施

此阶段的目标是记录事件、通知部门领导层、强化网络环境以防止类似事件再次发生，以及吸取经验教训，以改进对类似事件的处理流程。

此外，协调是有效应对突发事件的基础。重要的是，经历这起事件的联邦政府民事行政部门机构和网络和基础设施安全局应尽早并经常在整个响应过程中进行沟通协调。同样重要的是要了解，一些机构拥有在事件期间非常有用的特殊权限、专业知识和信息。

编号的IR协调活动

二、漏洞应对流程

对于组织来说，确定漏洞响应的优先顺序并保护自己免受危害的最直接、最有效的方法之一是关注已经在野利用的漏洞。本攻略标准化了机构在响应这些紧急和高优先级漏洞时应遵循的高级流程。它不是对机构现有漏洞管理计划的替代，而是建立在现有漏洞管理做法的基础上。标准化的响应流程可确保包括网络和基础设施安全局在内的机构能够了解这些严重且危险的漏洞在整个联邦政府中的影响。受影响的机构、网络和基础设施安全局、行业合作伙伴或相关任务空间中的其他人可以观察到本攻略解决的漏洞。大多数漏洞都有共同的漏洞和暴露(CVE)描述符。在其他情况下，机构可能会遇到尚未具有CVE的新漏洞(例如，零日漏洞)或由于配置错误而导致的漏洞。

有效的漏洞响应建立在强大的漏洞管理之上。应确保遵循有效的漏洞管理实践。此类实践包括构建和保持稳健的资产管理，包括盘点：机构运营的系统和网络；涉及与其他组织合作的系统和网络；以及由其他人运营的系统和网络，包括云、承包商和服务提供商系统。通过跟踪所有系统的操作系统和其他应用程序，制定流程以了解漏洞与环境的相关性，了解所有系统可能存在漏洞以及潜在漏洞对操作的影响。

漏洞响应流程

（一）鉴别

通过监控威胁源和信息源，主动识别在野利用的漏洞报告，包括但不限于：网络和基础设施安全局资源；外部威胁或漏洞源，例如NIST 的国家漏洞数据库，也可以显示漏洞在联邦政府民事行政部门之外被在野利用；内部SOC监控和事件响应，可以检测机构正在利用的漏洞。

（二）评估

首先，使用StakholderSpecific漏洞分类(SSVC)等方法确定环境中是否存在漏洞，以及底层软件或硬件的重要性。现有的补丁程序和资产管理工具非常关键，可用于自动检测大多数漏洞的过程。对于主动利用的漏洞，应使用这些工具中的“快速响应”进程(例如CDM)。在极少数情况下，例如一次性错误配置和零日漏洞，可能需要执行额外的手动扫描。网络和基础设施安全局发布的有约束力的操作指令(BOD)或紧急指令(ED)也可能列出具体的技术步骤，以评估是否存在漏洞。

（三）修复

及时补救环境中存在的所有主动利用漏洞。在大多数情况下，补救措施应该包括打补丁。在其他情况下，以下缓解措施可能是合适的：限制访问；隔离易受攻击的系统、应用程序、服务、配置文件或其他资产；或永久更改配置。现有的补丁管理工具和进程可用于定期修补所有漏洞。在那些在野外被积极利用的漏洞工具中使用“快速响应”流程(如上面的评估部分所述)。如果修补程序不存在、未经过测试或不能立即应用，请采取其他措施来防止利用漏洞，例如：禁用服务、重新配置防火墙以阻止访问或增加监控以检测利用漏洞。

（四）报告和通知

共享有关攻击者如何利用漏洞的信息可以帮助联邦政府的安全人员了解哪些漏洞是最关键的。网络和基础设施安全局与其他联邦机构合作，负责联邦政府民事行政部门的整体安全态势。因此，网络和基础设施安全局需要保持对主动利用漏洞的漏洞响应状态的了解。这种意识使网络和基础设施安全局能够帮助其他机构了解漏洞的影响，并缩短披露和漏洞利用之间的时间。各机构必须根据联邦事故通知指南、具有约束力的操作指令或根据网络和基础设施安全局在紧急指令中的指示向其报告。

此外，该手册还包含六个附录。附录A:关键术语；附录B:事件响应清单；附录C:事件响应准备清单；附录E:漏洞和事件分类；附录F:报告源头；附录G:整个政府的角色和责任。为响应流程的细化落实提供了有力支撑（注：原文无附录D）。

（参考来源：CISA官网等网站）