网络安全事件和漏洞响应手册

TLP：白色网络安全事件& 漏洞响应手册规划和操作程序在 FCEB 信息系统中开展网络安全事件和漏洞响应活动出版时间：2021 年 11 月网络安全和基础设施安全局免责声明：本文档标记为 TLP:WHITE。披露不受限制。根据适用的公开发布规则和程序，当信息的滥用风险很小或没有可预见的风险时，来源可以使用 TLP:WHITE。根据标准版权规则，TLP:WHITE 信息可以不受限制地分发。有关交通灯协议的更多信息，请参阅 https://www.cisa.gov/tlp/。TLP：白色 TLP：白色TLP：白色2CISA |网络安全和基础设施安全局内容介绍 3概览 3范围 3观众 4事件响应手册 5事件响应流程 5准备阶段 6检测与分析 10收容14根除与恢复 15事后活动 16协调 17漏洞响应手册 21准备 21漏洞响应流程 22鉴定 22评价 23修复 24报告和通知 24附录 A：关键术语 25附录 B：事件响应清单 27附录 C：事件响应准备清单 35附录 E：漏洞和事件类别 38附录 F：源文本 39附录 G：整个政府的角色和职责 41 TLP：白色TLP：白色3CISA |网络安全和基础设施安全局介绍网络安全和基础设施安全局 (CISA) 致力于领导对网络安全事件和漏洞的响应，以保护国家的关键资产。第 14028 号行政命令第 6 节指示国土安全部通过 CISA“制定一套标准的操作程序（剧本），用于规划和实施与联邦民事行政部门 (FCEB) 信息系统相关的网络安全漏洞和事件响应活动。” 1概述本文档提供了两本手册：一本用于事件响应，一本用于漏洞响应。这些手册为 FCEB 机构提供了一套标准程序，用于识别、协调、补救、恢复和跟踪影响 FCEB 系统、数据和网络的事件和漏洞的成功缓解措施。此外，这些剧本的未来迭代可能有助于 FCEB 以外的组织标准化事件响应实践。事实证明，所有联邦政府组织的合作是解决漏洞和事件的有效模式。基于从以往事件中汲取的经验教训并结合行业最佳实践，CISA 打算让这些剧本通过标准化共享实践来发展联邦政府的网络安全响应实践，这些实践将最佳人员和流程聚集在一起以推动协调行动。这些剧本中描述的标准化流程和程序： 促进受影响组织之间更好的协调和有效响应， 启用对跨组织成功操作的跟踪， 允许对事件进行编目以更好地管理未来事件，以及 引导分析和发现。机构应使用这些手册来帮助塑造整体防御性网络行动，以确保一致有效的响应和响应活动的协调沟通范围这些剧本供 FCEB 实体关注响应标准以及协调和报告的阈值。它们包括 FCEB 实体和 CISA 之间的通信；事件和漏洞响应活动之间的连接协调；关键网络安全术语和响应过程方面的通用定义。本手册范围内的响应活动包括： 由 FCEB 机构发起（例如，本地检测恶意活动或发现漏洞） 由 CISA（例如 CISA 警报或指令）或其他第三方发起，包括执法、情报机构或商业组织、承包商和服务提供商事件响应手册适用于涉及已确认的恶意网络活动且发生重大事件（由管理和预算办公室 [OMB] 在1行政命令 (EO) 14028：改善国家网络安全 TLP：白色TLP：白色4CISA |网络安全和基础设施安全局备忘录 M-20-042 或后续备忘录）已被宣布或尚未被合理排除。漏洞响应手册适用于在野外被积极利用的漏洞。根据 EO 14028 的要求，OMB 主任将发布有关 FCEB 机构使用这些剧本的指南。笔记：这些手册不包括涉及对机密信息或国家安全系统 (NSS) 构成威胁的响应活动，如 44 U.S.C.3552(b)(6) 所定义。有关特定于 NSS 或处理机密信息的系统的事件的协调/报告指南，请参阅 CNSSI10103。观众这些手册适用于所有 FCEB 机构、机构使用或运营的信息系统、机构的承包商或代表机构的其他组织。根据联邦政府的政策，与 FCEB 机构签订合同的信息和通信技术 (ICT) 服务提供商必须及时向此类机构和 CISA 报告事件。 42管理和预算办公室 (OMB) 备忘录 M-20-04：2019-2020 财年联邦信息安全和隐私管理要求指南3国家安全系统委员会4EO 14028，秒。 2. 消除共享威胁信息的障碍 TLP：白色TLP：白色5CISA |网络安全和基础设施安全局事件响应手册本手册提供了网络安全事件的标准化响应流程，并描述了美国国家标准与技术研究院 (NIST) 特别出版物 (SP) 800-61 Rev. 2,5 中定义的事件响应阶段的流程和完成情况，包括准备、检测和分析、遏制、根除和恢复以及事后活动。本手册描述了 FCEB 机构应对已确认的恶意网络活动（已宣布或尚未合理排除重大事件）应遵循的流程。 事件响应可以由多种类型的事件发起，包括但不限于： 自动检测系统或传感器警报 机构用户报告 承包商或第三方 ICT 服务提供商报告 内部或外部组织组件事件报告或态势感知更新 第三方向已知受损基础设施报告网络活动、检测恶意代码、服务丢失等。 识别潜在恶意或未经授权的活动的分析或追捕团队事件响应流程事件响应流程从事件声明开始，如图 1 所示。在这种情况下，“声明”是指识别事件并与 CISA 和机构网络防御者进行沟通，而不是正式声明所定义的重大事件在适用的法律和政策中。后续部分按 IR 生命周期的各个阶段组织，更详细地描述了每个步骤。许多活动是迭代的，可能会不断发生和演变，直到事件结束。图 1 说明了这些阶段的事件响应活动，附录 B 提供了一个配套清单来跟踪活动的完成情况。5NIST 特别出版物 (SP) 800-61 修订版 2：计算机安全事件处理指南何时使用此剧本对于涉及已确认的恶意网络活动且已宣布或尚未合理排除重大事件的事件，请使用本手册。例如：涉及横向移动、凭证访问、数据泄露的事件涉及多个用户或系统的网络入侵受感染的管理员帐户本手册不适用于似乎没有此类重大事件可能性的活动，例如：机密信息或其他被认为仅由无意行为引起的事件的“泄漏”用户在没有妥协结果时点击网络钓鱼电子邮件单个机器上的商品恶意软件或丢失的硬件，在任何一种情况下都不太可能对美国的国家安全利益、外交关系或经济或公众信心、公民自由或公共健康造成明显损害和美国人民的安全。 TLP：白色TLP：白色6CISA |网络安全和基础设施安全局图 1：事件响应流程准备阶段在重大事件发生之前做好准备，以减轻对组织的任何影响。准备活动包括： 记录和理解事件响应的政策和程序 检测环境以检测可疑和恶意活动 制定人员配备计划 对用户进行网络威胁和通知程序方面的教育 利用网络威胁情报 (CTI) 主动识别潜在的恶意活动在事件发生之前定义基线系统和网络，以了解“正常”活动的基础知识。建立基线使防御者能够识别偏差。准备工作还包括 拥有处理复杂事件的基础设施，包括机密和带外通信 制定和测试遏制和根除行动方案 (COA) 建立收集数字取证和其他数据或证据的手段这些项目的目标是确保弹性架构和系统在受损状态下维持关键操作。采用重定向和监控对手活动等方法的主动防御措施也可能在制定稳健的事件响应方面发挥作用。 66例如，如 NIST SP 800-160 Vol. 2：开发网络弹性系统：一种系统安全工程方法。 TLP：白色TLP：白色7CISA |网络安全和基础设施安全局准备活动政策和程序记录事件响应计划，包括指定协调负责人（事件经理）的流程和程序。制定政策和程序以升级和报告重大事件以及对机构使命有影响的事件。将额外资源和“紧急支持”的应急计划记录在案，并分配到指定的角色和职责。政策和计划应涉及与执法部门的通知、互动和证据共享。仪表通过广泛实施遥测来支持系统和基于传感器的检测和监控功能，例如防病毒 (AV) 软件，开发和维护基础设施（系统、网络、云平台和承包商托管的网络）的准确情况；端点检测和响应 (EDR) 解决方案；7 数据丢失防护 (DLP) 功能；入侵检测和预防系统（IDPS）；授权、主机、应用程序和云日志；8 个网络流、数据包捕获 (PCAP)；以及安全信息和事件管理 (SIEM) 系统。监控 CISA 的 EINSTEIN 入侵检测系统和持续诊断和缓解 (CDM) 程序生成的警报，以检测网络态势的变化。根据行政命令 14028, Sec. 实施对日志记录、日志保留和日志管理的附加要求。 8. 提高联邦政府的调查和补救能力，9 并确保集中收集这些日志。训练有素的响应人员确保人员经过培训、锻炼并准备好应对网络安全事件。火车可能来自内部能力、上级机构/部门、第三方组织的可用能力或其组合的所有人力资源。定期进行恢复练习，以测试运营计划 (COOP) 和故障转移/备份/恢复系统的完整组织连续性，以确保这些工作按计划进行。网络威胁情报积极监控来自政府、可信合作伙伴、开源和商业实体的威胁或漏洞建议的情报源。网络威胁情报可以包括威胁态势报告、威胁参与者概况和意图、组织目标和活动，以及更具体的威胁指标和行动方案。将网络威胁指标和集成威胁源摄取到 SIEM 中，并使用其他防御功能来识别和阻止已知的恶意行为。威胁指标可以包括： 可以检测对手基础设施和工具的原子指标，例如域和 IP 地址 计算指标，例如 Yara 规则和正则表达式，可检测已知的恶意工件或活动迹象 模式和行为，例如检测对手战术、技术和程序 (TTP) 的分析原子指标最初对于检测已知活动的迹象可能很有价值。然而，由于攻击者经常在活动之间改变他们的基础设施（例如，水坑、僵尸网络、C2 服务器），用于检测新攻击者活动的原子指标的“保质期”是有限的。此外，高级威胁行为者7EO 14028，秒。 7. 改进对联邦政府网络上的网络安全漏洞和事件的检测8NIST SP 800-92：计算机安全日志管理指南9E0 14028，秒。 8. 提高联邦政府的调查和补救能力 TLP：白色TLP：白色8CISA |网络安全和基础设施安全局可能会针对不同的目标利用不同的基础设施，或者在活动期间检测到他们的活动时切换到新的基础设施。最后，攻击者通常隐藏在目标环境中，使用本机操作系统实用程序和其他资源来实现其目标。出于这些原因，机构应尽可能使用模式和行为或对手 TTP 来识别恶意活动。尽管应用检测方法和验证应用更加困难，但与单独的原子指标相比，TTP 提供了关于威胁行为者、他们的意图和他们的方法的更有用和可持续的背景。 MITRE ATT&CK®框架详细记录并解释了对手的 TTP，使其成为网络防御者的宝贵资源。 10共享网络威胁情报是准备工作的关键要素。强烈鼓励 FCEB 机构与 CISA 和其他合作伙伴持续共享网络威胁情报，包括对手指标、TTP 和相关的防御措施（也称为“对策”）。与 CISA 共享网络威胁信息、指标和相关防御措施的主要方法是通过自动指标共享 (AIS) 计划。11 FCEB 机构应加入 AIS。如果该机构未在 AIS 中注册，请联系 CISA 获取更多信息。12 机构应使用网络威胁指标和防御措施提交系统——一种安全的、支持网络的方法——与 CISA 共享网络威胁指标和防御措施。适用或适合通过 AIS.13 共享10有关使用 ATT&CK 分析和报告网络安全威胁的指南，请参阅 MITRE ATT&CK® 映射框架的最佳实践。11CISA 自动指标共享12CISA 自动指标共享主动防御具有先进防御能力和工作人员的 FCEB 机构可能会建立主动防御能力——例如将对手重定向到沙箱或蜜网系统进行额外研究的能力，或“暗网”——以延迟对手发现该机构合法身份的能力基础设施。网络防御者可以实施蜜币（虚构的数据对象）和虚假账户来充当恶意活动的金丝雀。这些能力使防御者能够研究对手的行为和 TTP，从而全面了解对手的能力。通讯与物流建立本地和跨机构沟通程序和机制，以与 CISA 和其他共享合作伙伴协调重大事件，并确定要使用的信息共享协议（即商定的标准）。如果需要，定义处理机密信息和数据的方法。建立通信渠道（聊天室、电话桥接器）和带外协调方法。 14操作安