世界银行 — 数第一响应者 — — 发展中国家计委安全事件应小组(CSIRTS) 的作用(汉) - 2024

授权公开披露数字第一响应者 授权公开披露计算机安全事件响应团队(CSIRTS) 在发展中国家的作用 © 2024 国际复兴开发银行 / 世界银行1818 H Street NW, 华盛顿, DC 20433 本研究由世界银行工作人员完成，并得到外部贡献。本工作中表达的观点、解释和结论不一定反映世界银行、其执行董事会或其所代表的政府的观点。世界银行不对本工作中包含的数据的准确性、完整性和时效性承担责任，也不对使用或不使用此处所述的信息、方法、过程或结论所产生的任何错误、遗漏、差异或由此引起的任何责任负责。地图上所示的边界、颜色、名称及其他信息并不代表世界银行对任何领土法律地位的判断，也不代表世界银行对这些边界的认可或接受。 此处 nada 将构成或被视为限制或放弃国际复兴开发银行（世界银行）的特权和豁免权，所有这些权利均明确保留。 权限和权限 此作品采用知识共享署名3.0国际政府组织许可协议（CC BY 3.0 IGO）http://creativecommons.org/licenses/by/3.0/igo。根据知识共享署名许可，您可以自由复制、分发、传输和改编此作品，包括用于商业目的，并需适当引用。 受众和范围 这份报告旨在为发展中国家的政策制定者提供关于计算机应急响应团队（CSIRTs）在增强网络安全韧性方面的作用和重要性的清晰理解。它提供了有关CSIRT部署状况的新数据和证据，涵盖了不同地区和收入组别的情况，并概述了建立和运营国家级CSIRT的实用建议，包括成本和人员配置。本报告未涉及网络安全韧性方面的其他关键维度，如国家网络安全战略和治理模式、技能发展以及法律框架，这些内容已在世界银行的其他知识产品中进行了讨论。 免责声明 这份笔记基于写作时可用的数据，反映了 evolving 国际良好实践，包括来自不同地区多种国家的经验。它主要依赖于 FIRST 成员身份作为代理指标，以确定 CSIRT 的有效性。本笔记的作者认识到，这一代理指标并不一定反映每个具体背景下的实际情况。然而，尽管这一代理指标存在局限性，但它在评估来自不同地区和收入群体的国家的事件响应能力方面证明是有用且通常准确的，包括在较低收入背景下。 Acknowledgements 本报告由世界银行数字发展全球实践的高级数字化发展专家Ghislain de Salins及顾问Robert Collett撰写，与Chris Gibson、Serge Droz、Olivier Caleff和Klee Aiken共同合作，他们分别来自全球事件响应团队论坛(FIRST)。报告经过Giaco 目录 缩略语和缩写 … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …执行摘要 … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …介绍 … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … 1 、什么是 CSIRT ？ 9 2 、 CSIRT 的主要特点选区。. 11 服务。. 12 治理。. 14. 3. CSIRT 需要多少钱 ？ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … 执行摘要 •计算机安全事件响应团队（CSIRTs）是数字领域的消防员和其他紧急救援人员的等效团队。 •在发展中国家 ， 应进一步优先考虑建立 ， 加强和运营CSIRT 的投资。 •CSIRT 是任何国家网络安全生态系统基础的关键。除了事件响应，他们还可以提供培训、提高意识并促进社区建设。然而，他们不参与执法或政策制定。 •在低收入国家，政府应专注于建立并运营国家级计算机应急响应团队（nCSIRT）功能。在成立初期，nCSIRT可以专注于仅向政府或特定关键基础设施运营商提供服务。 •国家强大的事件响应功能与其整体网络安全能力之间存在密切的相关性。例如，在西非和中非地区，国际电信联盟（ITU）全球网络安全指数（GCI）排名最高的四个国家同时也是拥有完整运作的CSIRT（国家计算机应急响应小组）的国家。1 •在中等收入国家，政府应加强其nCSIRT职能，并建立稳固的行业CSIRT网络。致力于关键基础设施保护。 •新成立的 CSIRT 应该 “从小做起 ”通过专注于少数关键组成部分和一套有限的核心服务，特别是在低收入背景下。它们可以随着时间的增长来调整以适应不断变化的环境、需求和资源。 •尽管高收入国家已建立了超过500个计算机安全应急响应团队（CSIRTs），但只有六个低收入国家拥有完全运作的CSIRT。平均而言 ， 中等收入国家只有一个可运行的 CSIRT 。 •开源工具的使用并且由实践者社区开发的资源可以帮助减少CSIRTs的初始投资和运营成本。 • 与网络安全事件的估计年度成本(高达 GDP 的 3 ％) 相比 ，对事件反应的投资突出表明 ， 为整体经济发展带来了显著的回报。 •参与国际和区域事件响应网络至关重要以确保 “快速获胜 ”(例如 ， 对等学习) 并在新建立的 CSIRT 中快速建立能力。 •正在实施一些创新模式 (例如公私伙伴关系 (PPP))并可以促进知识转移并减少建立 CSIRT 所需的初始公共投资。 Introduction 网络安全事件的影响持续增加 ， 随着每年的社会成本占 GDP 的 3%（世界银行，2024（即将发布））。在发达国家和发展中国家 alike，关键领域如医疗、能源和交通日益受到网络安全事件的影响。对于全球绝大多数政府和组织而言，相关的问题不再是if网络安全事件将会发生 ， 但when. 因此，政府已大幅投资于提升其检测和应对网络安全事件的能力。而在现实世界中，消防员和医疗紧急救援人员通常是第一响应者，而在数字领域，计算机安全事件响应团队（CSIRTs）的工作人员则是标准的第一响应者。 CSIRT 通过事件响应和安全小组论坛(FIRST) 在国际一级进行合作 ，此外，FIRST还通过各种区域组织与之合作，例如非洲计算机紧急响应团队（AfricaCERT）、TrustBroker Africa、CSIRTAmericas 或APCERT（亚洲太平洋地区）。FIRST成立于1988年莫里斯蠕虫严重扰乱互联网之后（Denning, 1989），当时有大约5个参与团队。截至2024年，来自108个国家的超过700个事件响应团队已成为FIRST的成员（见图1）。 FIRST 的成员可以被认为是一个国家整体事件响应能力的相关代理指标 ，2发达国家通常有许多团队参加 FIRST 。 在高收入国家 ， 事故响应生态系统通常相当发达。这些国家通常为关键行业设立专门的计算机应急响应团队（CSIRT），同时为一些大型组织设立企业级CSIRT。在高收入背景下，国家级CSIRT（nCSIRT）通常扮演事件响应生态系统协调者的角色，并且作为“最后手段”的CSIRT储备用于处理重大事件。在美国、西班牙和日本，分别有111个、57个和44个团队参与FIRST组织（FIRST，2024年5月）。平均而言，每个国家至少有六个CSIRT团队参与。 高收入国家（见表1）。较大的国家通常拥有更多的非FIRST成员团队（例如，在日本 alone， nippon csirt协会（nca）统计会员人数超过500人）。 在中等收入国家 ， 国家或政府的 CSIRT 通常是可操作的 ，此外，在某些情况下可能只有一个或几个特定领域的CSIRT（例如，金融或电信领域）。然而，中低收入国家的CSIRT成熟度通常不如高收入国家。哥斯达黎加、格鲁吉亚、加纳和埃及各有两个CSIRT参与FIRST。平均而言，每个中低收入国家至少有一个CSIRT（详见表1）。 在低收入国家，事件响应能力通常更为有限（见表1）。仅六个低收入国家- 埃塞俄比亚、马拉维、卢旺达、苏丹、多哥和乌干达 -有一个 CSIRT 参与第一 ， 没有一个低收入国家有超过一个。在一些低收入国家，初步的应急响应能力正在形成，尽管其有效性仍然有限。 因此，在低收入和中等收入国家建立并增强CSIRTs成为数字发展议程的关键要素。在低收入和中等收入国家，CSIRTs的建立和增强通常得到了世界银行、国际电信联盟（ITU）、美洲国家组织（OAS）和欧盟等组织通过国际发展援助提供的资金支持。例如，世界银行帮助在多个地区建立了CSIRTs，包括亚美尼亚、孟加拉国、不丹、加纳、吉尔吉斯斯坦和塞拉利昂等国家。 然而，CSIRTs（计算机应急响应小组）在整体网络安全韧性中的作用，以及使其运作的关键成功因素，对政策制定者而言往往仍不清晰。因此，本报告旨在为政策制定者提供清晰了解CSIRT（计算机安全应急响应团队）的作用和重要性的理解，同时基于公认的最佳实践和世界银行项目中的实地经验，提供基于证据的政策建议，以促进和发展中国家的CSIRT建立与提升。为此，表2揭示了一些常见的误解，这些误解往往模糊了对发展中国家CSIRT投资政策讨论的认识。 1. 什么是 CSIRT ？ CSIRT ， CERT 和 CIRT 都是相关术语 ， 它们指的是网络安全事件响应团队的相同概念。该术语CERT™于1997年由卡内基梅隆大学在美国注册商标，从而鼓励使用替代术语。国际电信联盟（ITU）通常指的是“CIRTs”，而FIRST和OAS则通常使用“CSIRT”这一术语。 现有的事件响应功能缩写多样性反映了过去30年中CSIRTs出现时自下而上的方法。然而，此后已经努力为事件响应功能提供更多标准化，如箱1所述。 方框 1. 实现事件响应函数的标准化 自20世纪90年代成立以来，事件响应 practitioner 社区开发了许多工具，这些工具为 CSIRTs 的建立和提升提供了可比性和指导。 例如，安全事件管理成熟度模型（SIM3）提供了一个框架来评估CSIRTs的成熟度。SIM3由45个可测量参数组成（例如，“使命”、“利益相关者”和“行为准则”），这些参数分为四个关键领域（“组织”、“人力”、“工具”和“流程”）。可以通过五个成熟度级别来分析每个参数对CSIRTs成熟度的评估。通过SIM3进行自我评估是CSIRTs成为FIRST成员的前提条件。 重要的是，由于CSIRT的职责、受众以及服务内容可能差异显著，它们通常仅实施这些要求的一部分。换句话说，CSIRT完全运作并为受众提供价值，并不一定需要在SIM3参数的45个指标中都达到高成熟度。 最近 ， 出现了与事件响应功能相关的其他标准 ， 包括FIRST CSIRT 服务框架,ITU CIRT 框架,NIST 800-61,ITU- T X.1060and ISO / IEC 27035. 来源 ： 世界银行 ， Open CSIRT Foundation 为了理解CSIRTs在整体网络安全韧性中的作用，考虑NIST网络安全框架（CSF）是有帮助的，which conceptualizes cybersecurity risk management around six key functions: 治理、识别、保护、检测、响应和恢复（详见图1）。 CSIRT 可以定义为专门从事 “响应 ” 的组织或单位4功能 ， 因为 CSIRT 的核心特征是提供事件处理能力。应急响应是CSIRTs的主要职责，尽管在许多国家，他们还提供“事件检测”服务并承担其他角色，例如通过培训、提高意识、推广网络安全习惯以及共享威胁信息来促进更广泛的网络安全风险合作管理。 CSIRT 应与以下实体区分开来 ： •安全运营中心 (SOC)例