云事件响应（CIR）框架

©2022国际云安全联盟大中华区版权所有1 ©2022国际云安全联盟大中华区版权所有2云事件响应工作组官网网址：https://cloudsecurityalliance.org/research/working-groups/cloud-incident-response/.@2022国际云安全联盟大中华区-保留所有权利。本文档发布在国际云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于国际云安全联盟。 ©2022国际云安全联盟大中华区版权所有3序言随着云计算应用的深入，云计算在带来价值的同时，也带来了新的安全与技术挑战。随着《网络安全法》、《数据安全法》、《个人信息保护法》的相继推出，如何设计有效的纵深实时云安全防御体系成为信息安全从业者亟待解决的首要问题。其中如何制定网络安全事件应急预案、启动应急预案，网络安全信息收集、分析、通报和应急处置等成为困扰很多企业的问题。云计算是一个与传统环境完全不同的领域，将云事件响应与传统事件响应流程区分开来的三个关键方面是治理、可见性和云的责任共享。一个好的事件响应计划有助于确保组织在任何时候都充分准备。CSA旨在为用户提供一个广泛使用的整体框架和一致的视图，目的是为云用户提供有效准备和管理云事件后果的指南，并为云服务提供商与客户共享云事件响应实践提供透明和通用的框架。全面的事件响应建设是任何旨在管理和降低风险的组织不可或缺的能力。许多单位由于没有可靠的云事件响应计划，在遇到云事件后出现了很多的管理与技术问题。云事件响应架构是CSA基于《NIST800-61》以及SANS《信息安全阅读室事件处理者手册》梳理的用于云安全的管理框架，解决企业从应急准备到应急演练的诸多问题，是企业应用云安全解决方案必不可少的参考资料。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有4致谢《云事件响应（CIR）框架）（CloudIncidentResponse(CIR)Framework）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：李岩翻译组：贺志生蒋秋华吴潇薛琨殷铭审校组：贺志生殷铭李岩姚凯感谢以下单位的支持与贡献：北京奇虎科技有限公司北京天融信网络安全技术有限公司中国电信股份有限公司研究院英文版本编写专家主要作者:SoonTeinLimAlexSiowRicciIeongMichaelRozaSaanVandendriessche主要贡献者:AristideBouixDavidChongDavidCowenKarenGispanskiDennisHolsteinChristopherHughesAshishKurmiLarryMarksAbhishekPradhanMichaelRozaAshishVashishtha审核者:OscarMongeEspañaNirenjGeorgeTannerJamisonChelseaJoyceVaniMurthySandeepSinghFadiSodah ©2022国际云安全联盟大中华区版权所有5CSA全球员工:Hing-YanLeeEktaMishraHaojieZhuangAnnMarieUlskey(封面设计)特别感谢:BowenClose在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众 ©2022国际云安全联盟大中华区版权所有.6关于云事件响应工作组随着当今新兴和快速演变的威胁格局，有必要建立一个考虑云中断等因素范围的整体云事件响应框架（CIR）。云事件响应(CIR)工作组(WG)的目标是开发一个全面的CIR框架，涵盖云事件的根本原因(包括安全性和非安全性)及处理和缓解策略，目的是为云用户提供有效的详细计划，应对和管理云事件造成的后果。CIR也是一个透明和通用的框架，为云服务提供商与云客户分享云事件提供最佳实践。这个框架的发展包括云事件的必要因素，如操作失误、基础设施或系统故障、环境问题、网络安全事件和恶意行为等。 ©2022国际云安全联盟大中华区版权所有.7目录序言....................................................................3致谢....................................................................41.简介..................................................................8目标...................................................................8目标读者...............................................................82.规范性引用文件........................................................83.CIR定义..............................................................104.CIR概述.............................................................115.CIR架构..............................................................135.1第一阶段：准备和后续评审..........................................135.1.1文档编制......................................................185.2第二阶段：检测和分析..............................................195.2.1诱因..........................................................195.2.2分析事件判断影响..............................................215.2.3证据收集与处理................................................245.3第三阶段遏制、根除和恢复........................................255.3.1选择遏制策略..................................................275.3.2根除与恢复....................................................275.4第四阶段事后分析.................................................285.4.1事件评估......................................................285.4.2事件总结报告..................................................305.4.3事故证据保留..................................................336.协调和信息共享.......................................................336.1协调..............................................................346.1.1协调关系.......................................................346.1.2共享协议和报告要求............................................356.2信息共享技术......................................................356.3粒度信息共享......................................................366.3.1业务影响信息..................................................366.3.2技术信息......................................................366.3.3CSP仪表盘.....................................................376.4桌面演练和事件模拟................................................377.总结................................................................39 ©2022国际云安全联盟大中华区版权所有.81.简介在当今互联时代，全面的事件响应策略对于需要管理与降低风险概况的组织必不可少。许多没有可靠的事件响应计划的组织与企业在第一次遇到云事件后被粗暴地唤醒。导致重大停机的原因有很多，比如自然灾害、人为错误或网络攻击。良好的事件响应计划有助于确保组织在任意时刻都做好充分准备。然而，在基于云的基础设施和系统的事件响应策略方面，部分由于云的责任共担特性，存在诸多顾虑因素。1许多政府与行业的指南中都有针对传统的本地信息技术（IT）环境制定事件响应的框架，例如《NIST800-61r2计算机安全事件处理指南》或SANS研究院《信息安全阅读室事件处理者手册》。但是，当把云计算环境也考虑在内时，必须修改和完善传统事件响应框架中定义的角色和职责，以便与在不同云服务模式及部署模式的云服务提供商（以下简称：CSP）和云服务客户（以下简称：CSC）的角色和职责保持一致。目标本文档旨在提供一个云事件响应(以下简称：CIR)框架，针对破坏性事件的整个生命周期，为CSC提供有效准备和管理云事件的指引。它还可以作为一个透明和通用的框架，为CSP与其CSC共享云事件响应提供最佳实践。目标读者主要受益者是CSC。该框架指导CSC确定组织的安全需求，从而选择适当的事件保护级别。通过这种方式，CSC可以与CSP协商，或为其量身定制安全能力——提供相对清晰的安全角色和责任划分。2.规范性引用文件CIR框架参考了多个业界公认的标准与框架，用于云事件的规划和准备、缓解策略和事后分析过程。1CloudSecurityAlliance,CloudIncidentResponse,https://cloudsecurityalliance.org/research/working-groups/cloud-incident-response/ ©2022国际云安全联盟大中华区版权所有.9CSA云计算关键领域安全指南v4.0NIST800-61r2计算机安全事件处理指南ITSC技术参考（TR）62–云中断事件响应（COIR）FedRAMP事件通信程序NIST800-53信息系统和组织的安全与隐私控制SANS研究院信息安全阅读室事件处理者手册ENISA云计算风险评估图1显示了CIR