从NIST看2022年事件响应计划指南

当面对现实生活中的网络安全威胁时，很少有组织知道首先要采取哪些步骤来处理事件并将其对业务的影响降至最低。制定经过深思熟虑的网络安全事件响应计划(IRP)是让自己为应对这种情况做好充分准备的唯一方法。

在本文中，将详细探讨如何使用NIST事件响应框架构建完全符合业务需求的IRP。

事件响应计划什么、价值以及如何构建？

什么是IRP？​

事件响应计划是包含用于处理和减轻安全事件、网络攻击和数据泄露后果的结构化方法的文档。

为什么制定事件响应计划很重要？​

强烈建议任何规模的企业使用IRP。在规划事件响应时，采用多层方法来保护组织的网络和资产非常重要。

此外，始终需要在安全性与企业网络和部署系统的生产力之间取得平衡。

用于构建示例事件响应计划的清单

下面，我们探讨十个技巧来建立或检查事件响应计划。进一步阅读详细的NIST指南、关键步骤和寻找技术解决方案的提示。

• 指定需要遵循的主要事件响应要求（NIST、HIPAA、PCI DSS等）以及与业务相关的要求（响应时间、恢复策略等）。
• 进行安全审计，以确定公司网络和部署系统中的弱点，可以立即解决这些弱点。
• 定义什么是安全事件。员工需要知道哪些事件被视为安全事件，如何定义其严重性等。
• 指定将在事件期间负责的负责人，并决定需要通知哪些各方并参与处理事件。
• 包括一个全面的沟通计划。IRP必须指定在发生事件时首先给谁打电话、什么时候给他们打电话，以及在他们不可用时联系谁。
• 列出组织最有可能面临或过去曾面临的安全事件的简短列表。计划处理事件的程序。然后一点一点地扩大涵盖的安全事件的范围。
• 向IRP添加各种选项：可能的数据泄露级别、事件严重性级别、受影响端点的类型等。
• 计划恢复方案。整合备份解决方案并指定在发生安全事件时应遵循的系统恢复和数据恢复程序。
• 向有关当局报告。包括在发生特定事件时应通知的当局列表。例如，欧盟GDPR和美国加利福尼亚州的 SB1386要求在数据泄露的情况下发布公共通知。
• 根据以前的事件改进IRP。处理新事件后，深入分析它以使用更有效的响应策略、程序和方案更新当前的 IRP。

现在，让我们看看如何为组织构建合适的 IRP。在确定如何应对潜在的安全事件时，首先选择要遵循的指南。

NIST作为构建事件响应计划的指南

虽然有很多指导方针和现成的网络事件响应计划模板，但并非所有这些模板都适用于所有类型的组织。

从头开始创建事件响应程序与构建内部威胁程序一样具有挑战性。对于每个组织，最有效的事件响应方案的选择将取决于特定的IT环境、组织面临的威胁以及组织的业务需求。

但是，美国国家标准与技术研究院(NIST)提供了一系列指南，每个组织都可以将其用作构建其事件响应计划的基准。

特别是，可以遵循计算机安全事件处理指南800-61修订版2的建议来有效管理潜在的网络安全事件。

根据NIST事件管理指南，事件响应计划应包括以下主要阶段：

每个阶段都包括组织应考虑添加到其IRP的多个步骤。让我们仔细看看这些阶段。

组织应在网络安全事件实际发生之前做好应对准备，并提前计划所有必要的响应程序。准备阶段还包括首先计划如何防止数据泄露或攻击发生。

检测分析​

组织必须能够检测网络事件，并拥有适当的工具和技术来收集、记录和分析与事件相关的数据。为了更轻松地完成这项任务，NIST指定了八个攻击向量（见下文）并列出了网络安全事件的最常见迹象。

必要时，组织还应该能够根据事件的影响和可恢复性确定事件的优先级，然后将违规情况通知有关当局。

遏制、根除和恢复​

组织必须能够有效地处理攻击、消除威胁并开始恢复受影响的系统和数据。

在这些阶段，收集有关事件的证据以供日后用于解决事件和法律诉讼也很重要。

事后活动​

在有效处理安全事件后，组织应使用从事件中获得的信息来改进其当前的IRP。

NIST网络安全框架的最佳之处在于它既灵活又适应性强，因此大企业和小企业都可以有效地实施它。让我们看看如何为组织构建符合NIST的IRP。

实施符合NIST的事件响应计划的提示

NIST为构建有效的IRP提供了非常详细的事件响应指南。这里的主要问题是信息太多，可能会发现自己在推荐中迷失方向。

以下是NIST事件响应清单，其中包含五个必须采取的步骤，以确保事件响应计划同时满足NIST要求和组织的需求。

1. 建立网络安全事件响应小组

或者至少选择负责的人员。​

无论组织规模或工作领域如何，在规划IRP时首先要做的就是创建一个网络安全事件响应团队(CIRT)。

CIRT负责在安全事件期间协调关键资源和团队成员，以便将攻击的影响降至最低，并尽快恢复所有操作。

CIRT的主要职能是：

• 定义事件响应策略和程序
• 及时处理网络安全事件
• 调查和分析以前的事件
• 创建事件报告能力并建立必要的沟通
• 培训员工并提高对网络安全威胁及其缓解措施的认识
• 改进当前的事件响应计划

CIRT的成员数量取决于公司的规模、潜在的数据丢失和地理范围。但是，请务必指定一名负责响应和处理事件的团队负责人。​

特别注意CIRT培训：每个CIRT成员都应该了解组织的关键网络安全政策和程序，以及他们在发生攻击时的具体责任。

2. 提前计划所有程序

提前计划至关重要。​

如果发生网络安全事件，CIRT需要确切知道如何以最小的损失处理它。但是，不仅需要制定而且还需要在实际事件发生之前对计算机安全事件响应计划进行实战测试。

CIRT在规划阶段需要完成四项主要任务：​

首先，需要确定哪些事件被视为网络安全事件。然后，为每种类型的潜在事件制定事件响应计划。

在其计算机安全事件处理指南中，NIST指定了攻击向量列表，并建议为使用相同攻击向量的事件开发通用事件响应方案。

常见的攻击媒介包括：

• 外部或可移动媒体（例如，受感染的USB设备）
• 设备丢失或被盗（丢失的公司笔记本电脑或授权令牌）
• Web（从Web应用程序执行的攻击）
• 电子邮件攻击（带有恶意网站链接的电子邮件）
• 冒充（欺骗和中间人攻击）
• 不当使用（访问滥用）
• 损耗（蛮力攻击）
• 其他（所有其他攻击）

接下来，根据其影响确定可能的威胁和攻击的优先级。毕竟，当更大的漏洞仍未解决时，浪费时间来管理轻微的攻击是没有意义的。

NIST事件响应计划提供了三个基于影响的标准来确定事件的优先级：

NIST事件严重程度取决于几个因素：

(1) 功能影响决定了特定事件对业务运营的影响。

功能影响分为四个级别：

• 无——对组织的系统没有功能影响
• 低——组织的系统基本不受影响
• 中等——组织无法提供某些服务高——组织不能为所有用户提供至少一项关键服务

(2) 信息影响取决于事件期间泄露的信息的重要性和敏感性。

信息影响也有四类：

• 无——没有数据泄露
• 隐私泄露——敏感的个人身份信息被泄露
• 专有违规——可能泄露商业秘密
• 完整性损失——数据可能被更改

(3) 可恢复性影响是衡量组织从事件中完全恢复所需的资源。

可恢复性影响也有四个级别：

• 定期——不需要额外的资源
• 补充——需要额外的资源，但组织可以预测总体恢复时间
• 延长-无法预测恢复时间
• 不可恢复——组织无法从事件中恢复

这种三层方法足够灵活，可以被任何组织采用。

完成所有分类工作后，就该开始规划响应不同类别网络安全事件的标准程序了。考虑为最常见的事件类型（例如系统故障、拒绝服务、入侵和间谍软件感染）制定遏制策略和标准操作程序(SOP)。

在SOP中，指定CIRT在发生特定事件时使用的技术流程、技术、检查表和表格。

有关建立适当响应程序的进一步指导，可以参考NIST特别出版物800-86，将取证技术集成到事件响应中的指南。

3. 监控用户和网络活动

如果你能看到它，你就可以管理它。​

防止潜在攻击的最佳方法之一是监视网络上发生的一切。考虑部署用户活动监控解决方案来解决内部威胁和与分包商相关的安全风险问题。

通过关注个人用户的活动和网络上的活动，可以：

• 及早检测并终止攻击
• 收集证据和有价值的数据以供进一步分析

更进一步，可以实施具有行为用户监控功能的解决方案。使用 AI 驱动的技术，此类解决方案可以检测到受监控基础设施内的异常和与基线用户行为的偏差。不要忘记通过制定内部威胁事件响应计划来减轻自己组织的风险。

在选择正确的用户活动监控解决方案时，请寻找一个同时配备灵活事件响应系统的解决方案。能够设置自定义实时警报并自动化至少一些 SOP 将确保及时响应网络安全事件。

4. 注意备份和恢复策略

没有人愿意丢失有价值的数据。​

恢复策略是任何 IT 事件响应计划的关键部分。

就像处理事件一样，最好在实际发生任何违规行为之前考虑从事件中恢复，并针对不同场景编写数据恢复过程的详细示例。

可以从确定哪些数据对组织业务最有价值开始，并额外注意其保护。这在发生现实生活中的网络安全事件时应该关注什么：将立即需要恢复哪些数据以及哪些资产可以在第二天甚至下周恢复而不会对业务造成任何损害。

关于组织从网络安全攻击或数据泄露中的恢复， CIRT 需要牢记两项主要任务：​

(1) 数据恢复。如果没有备份系统，将很难快速应对网络安全事件。如果组织面临网络安全事件，部署数据丢失防护工具并创建备份将帮助组织安全地恢复所有关键业务信息。

为了更好地保护关键数据，请选择结合了本地和基于云的服务的混合备份解决方案。此外，考虑通过为 NIST 合规性部署身份和访问管理 解决方案来限制对敏感数据的访问。

如果确实发生了安全事件，请确保备份受影响的系统，以便可以保留其当前状态以进行取证。

(2) 服务恢复。以下两个步骤对于在事件发生后将组织的系统恢复到正常运行至关重要：

• 检查网络以确认所有系统都在运行。
• 重新认证在事件期间可能受到影响的任何系统或组件可操作。

可能还需要为被入侵账户的用户重置密码，并阻止可能启用入侵的账户和后门。

5. 更新事件响应计划时要关注什么

总是有改进的余地。​

根据 NIST 的说法，组织应至少每年审查一次事件响应计划。但是，鉴于新的网络安全威胁不断出现，更明智的做法是更频繁地检查和更新此计划，尤其是对于大型公司而言。

每当业务面临重大变化时，无论是进入新领域还是更改内部基础架构，这些变化都应反映在IRP 中。

• 与业务相关的新攻击向量和安全威胁
• 本地和行业网络安全要求的更新和变更
• 从以前的攻击和违规中吸取的教训
• 可以改进的事件处理程序和解决方案

例如，如果组织是新的网络安全威胁的潜在目标，则为此类攻击准备足够的事件响应方案非常重要。计划、测试和记录与新威胁相关的所有程序和恢复工具。

检查组织中处理现实事件的方式也很重要。这样的分析可以告诉我们当前的策略是否良好，以及可以采取哪些措施来防止此类事件再次发生。

制定事件响应计划对于任何规模的组织和企业都至关重要。

虽然有现成的事件响应计划模板，但根据内部调查构建自定义事件响应计划以反映组织特定要求并构建自己的内部威胁响应计划会更有益。

为了使这个过程更容易一些，组织可以参考常见的安全标准和流行的准则，例如 NIST 提供的那些。根据 NIST 标准制定事件响应计划时，组织应涵盖NIST 事件响应过程的四个主要阶段：​

• 遏制、根除和恢复

在这些阶段的每一个中，都应指定一组工具和程序来处理特定的攻击向量或特定的安全问题。​