11月16日,美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 发布了新的《网络安全事件和漏洞响应手册》,以补充行政令中指示DHS通过 CISA“制定一套标准的操作程序,用于规划和实施与联邦民事行政部门 (FCEB) 信息系统相关的网络安全漏洞和事件响应活动。”的指示,手册的发布为 FCEB 机构提供了一套标准程序,用于识别、协调、补救、恢复和跟踪影响 FCEB 系统、数据和网络的事件和漏洞。天极从于网络安全事件响应和漏洞响应两方面,进行解读,
文档提供了两部分内容:一部分用于网络安全事件响应,一部分于漏洞响应。手册的迭代版本有助于 FCEB 以外的组织标准化事件响应实践。事实证明,联邦政府组织间的合作是解决漏洞和事件的有效模式。基于从以往事件的经验教训和行业最佳实践,CISA通过发布手册标准化共享实践,整合人员和流程,从而推动联邦政府网络安全响应实践良性发展。
手册供FCEB实体关注响应标准以及协调与报告的阈值:包括FCEB 实体和CISA之间的沟通;事件和漏洞响应活动间的联系协调;关键网络安全术语和响应过程方面的通用定义。本手册范围内的响应活动包括:
由 FCEB 机构发起
由 CISA或其他第三方发起,包括执法、情报机构或商业组织、供应商和服务商
适用于涉及确认的恶意网络活动的事件,以及已经宣布或尚未合理排除的重大事件漏洞;适用于被积极利用的在野漏洞;但不包括涉及对机密信息或国家安全系统(NSS) 构成威胁的响应活动。
事件响应手册
手册为网络安全事件提供了一个标准化的响应过程,并描述了国家标准与技术研究所(NIST)定义的事件响应阶段的过程和完成情况,包括准备、检测和分析、遏制、消除和恢复以及事后活动。本手册描述了FCEB机构在处理已确认的恶意网络活动时应遵循的程序,这些活动已被宣布为重大事件或尚未被合理地排除在外。事件响应可以由多种类型的事件发起,包括但不限于:
• 自动检测系统或传感器警报;
• 用户报告;
• 承包商或第三方ICT 服务供应商报告;
• 内外部组织组件事件报告或态势感知更新;
• 第三方向已知受损基础设施报告网络活动、检测恶意代码、服务的损失等;
• 识别潜在恶意或未经授权的活动分析或追踪攻击团队。
01 事件响应流程
事件响应过程从事件声明开始,如图1 所示。“声明”是指事件的识别以及与 CISA和机构网络防御者的沟通,而不是在法律和政策中定义重大事件的正式声明。后续部分按IR生命周期的各个阶段组织,对每个步骤进行了描述。因为许多活动是迭代的,所以至事件结束前,会不断发生和演变。图1 说明了各阶段的事件响应活动,附录B 提供了完整配套清单跟踪活动的完成情况。
图1:事件响应流程
02 准备阶段
事件前做好准备,以减轻安全事件对组织的影响。
• 制定政策和程序以升级和报告重大事件;
• 对环境进行检测,以发现可疑和恶意活动,通过广泛实施遥测来支持系统和基于传感器的检测和监控功能,监控CISA 的EINSTEIN入侵检测系统和持续诊断和缓解(CDM)程序生成的警报,检测网络态势的变化;
• 制定人员配备计划,组建专业团队,定期培训演练;
• 对用户进行网络威胁和通知程序方面宣传和培训;
• 利用网络威胁情报(CTI)主动识别潜在恶意活动,将网络威胁指标和综合威胁反馈输入SIEM,并使用其他防御能力来识别和阻止已知的恶意行为。
在事件发生前,定义基线系统和网络,以了解“正常”活动范畴;建立基线使防御者识别偏差。
• 配备处理复杂事件的基础设施;
• 制定和测试遏制和根除行动方案(COA);
• 建立收集数字取证和其他数据或证据的手段,部署用于分析恶意软件的分析工具和沙盒软件,实施案例管理系统;
• 主动建立网络防御屏障,将攻击者重定向到沙箱或蜜网系统,或“暗网”,实施蜜罐和虚假账户来诱敌深入;
• 建立本地和跨机构的沟通程序和机制,以便与CISA 和其他共享合作伙伴协调重大事件;
• 利用威胁情报创建规则和签名,以识别与事件相关的活动并确定影响范围及类型。
以上准备活动的目的确保弹性架构和系统在受损状态下维持关键业务。
03 检测与分析阶段
准确检测和评估网络安全事件是事件响应过程中最具挑战性阶段,需要有相应的技术和程序支持来消除潜在事件与授权活动的冲突。作为美国政府资产响应的牵头机构,CISA将在检测和分析过程的各个方面与受影响的机构合作。
报告事件:检测到事件时向CISA报告事件来声明事件并提醒机构领导层需要进行调查和响应。CISA可协助确定事件的严重性以及是否将其宣布为重大事件。
确定调查范围:使用可用数据来确定访问类型、资产受影响程度、攻击者获得的权限、操作;通过跟踪网络数据发现相关恶意活动;通过检查主机、防火墙和代理日志以及其他网络数据发现相关基于主机的攻击活动。
收集和保存数据:收集和保存数据,以便对事件进行核实、分类、优先处理、缓解、报告和归属。在必要和可能的情况下,应将这些信息作为最佳证据加以保存和保护,以便在任何潜在的执法调查中使用。
进行技术分析:加深对事件的技术和背景的理解。对信息进行关联,根据已知的基线评估异常活动,以确定根本原因,并记录对手的TTP,以便对后续响应活动进行优先排序。
关联事件和时间:获取、存储和分析日志以关联对手活动。表1给出了一个通常用于检测和分析攻击者活动的日志和事件数据示例。建立简单的知识库和时间表,记录和对应记录各阶段攻击活动和措施,便于结束后创建调查结果报告。
识别异常活动:评估和分析受影响的系统和网络,以发现潜在攻击活动
确定根本原因和有利条件:尝试确定事件的根本原因并收集可用于进一步搜索的威胁信息,为后续响应工作提供信息。识别对手能够访问和操作的条件。
收集事件指标:识别和记录可用于网络相关分析的指标,深入了解对手的能力和基础设施。
分析常见的对手TTP:将TTP 与ATT&CK 中记录的对手TTP 进行比较,并分析TTP 如何适应攻击生命周期。响应TTP使防御者能够假设对手最有可能采取的行动。表1 提供了一些应该研究的常见对抗技术。
表1:示例对手策略、技术以及相关日志和事件数据
验证和细化调查范围:使用可用数据和进行响应活动的结果,确定受影响的系统、设备和相关帐户,从而确定新的入侵指标(IOC) 和TTP,为检测工具提供进一步的反馈;更新范围并同步至利益攸关者。
寻求第三方支持:对于潜在的重大事件,机构可寻求 CISA 帮助。每个 FCEB 机构都向 CISA 存档了联邦网络授权 (FNA),以启用事件响应和追捕协助。
调整工具:应急响应(IR)团队应该利用其对攻击者TTP 分析理解,调整工具。重点应放在预防和检测战术上,以最大限度地减少渗透和/或操作或信息影响的可能性。IOC签名可以被纳入预防和检测工具中,增加攻击者的操作成本,并协助确定事件的范围。
04 遏制阶段
遏制是事件响应的重中之重,特别是对于重大事件。其目的是防止进一步的损害,并通过消除对手的接触来减少事件的直接影响。
在评估遏制方案时,考虑:
• 对任务操作、服务可用性的额外不利影响;
• 持续时间、所需资源和有效性;
• 对证据的收集、保存、保护的影响。
实施短期缓解措施,以隔离攻击者的活动,并防止该活动造成额外的损害或转入其他系统。关键的遏制活动包括:
•将受影响的系统和网段彼此隔离和/或与未受影响的系统和网络隔离。如果需要,请考虑任务或业务需求,以便可以继续执行任务;
• 保存证据以供合法使用和进一步调查事件;
• 更新防火墙过滤功能;
• 阻止(和记录)未经授权的访问;
•. 阻止恶意软件来源;
• 关闭特定端口和邮件服务器或其他相关服务;
• 更改系统管理密码、轮换私钥和服务/应用程序账户秘密;必要时,取消特权访问;
• 将攻击者引导至沙箱以监控其活动、收集额外证据并识别攻击向量(活动仅限于具有成熟功能的高级SOC)。
确保遏制范围涵盖所有相关事件和活动。如发现新入侵迹象,请返回技术分析,重新确定事件的范围。在成功遏制后,保留证据供参考或调查,调整检测工具,并转入根除和恢复阶段。
05 根除与恢复阶段
此阶段的目标是通过消除事件影响,恢复正常操作。在进入消除阶段前,需确保对手的活动得到充分遏制,并且已收集所有证据。此阶段通常是一个迭代过程,可能同时执行根除和恢复行动。攻击者通常有多个后门可访问系统和网络,如果计划不严密周全,可能会回溯至“干净”区域。因此,需提前制定好根除计划,一旦攻击者利用特定漏洞,及时启用漏洞响应手册,修复漏洞。
1 根除活动
• 修复所有受感染的IT环境(例如,云、OT、混合、主机和网络系统);
• 从备份镜像中恢复系统,从头开始重建系统;
• 重建硬件(事件涉及rootkit );
• 纯净版本替换受感染文件;
• 安装补丁;
• 重置帐户密码;
• 监控攻击者对遏制活动的反应;
• 使用替代攻击媒介开发响应场景;
• 预留时间,确保攻击者持久性机制被清除
执行根除计划后,继续进行检测和分析。如完成计划后发现入侵活动,控制活动,并返回技术分析,直到确定真实影响范围和初始感染媒介;如未检测到入侵活动,则进入恢复阶段。
2 恢复系统和服务
将系统恢复正常运行状态,并确认其功能正常。此阶段的主要挑战确认补救措施是否有效。
恢复操作
• 重建/新系统重新连接到网络。
• 加强边界安全(例如,防火墙规则集、边界路由器访问控制列表)和零信任访问规则。
• 彻底测试系统,包括安全控制。
• 监控异常行为的操作。
恢复阶段的一个关键方面是加强警惕和控制,以验证恢复计划已成功执行,且环境中不存在对手活动的迹象。要验证正常操作是否已恢复,请考虑执行独立测试或审查与入侵/响应相关的活动。
06 事后活动阶段
这一阶段的目标是记录事件,通知机构领导,强化环境以防止类似事件的发生,并运用所学到的经验来改进未来事件的处理。
1 调整传感器、警报和日志收集
增加企业检测范围,以减轻事件中成功执行的对手TTPs。识别并解决“盲点”,以确保未来有足够的覆盖面。高级SOC应考虑模拟对手的TTP,以确保措施能够有效地检测或缓解捕捉到的活动。该测试应与蓝队密切协调,以降低误报。
2 完成报告
根据法律和政策的要求提供事件后更新。与CISA合作提供所需的工件、关闭故障单和/或采取额外的响应操作。
3 总结反思
进行经验教训分析,以审查事件处理的有效性和效率。获取经验教训、最初的根本原因、执行行动方案的问题以及任何缺失的政策和程序。
分析的主要目标包括:
• 确保消除或减轻根本原因;
• 确定要解决的基础设施问题;
• 确定要解决的组织政策和程序问题;
• 审查和更新角色、职责、接口和权限以确保清晰;
• 确定技术或操作培训需求;
• 改进执行保护、检测、分析或响应操作所需的工具。
07 协调
协调是有效事件响应的基础,在整个响应过程中,遭遇攻击的FCEB 机构和CISA尽早并经常协调至关重要;了解机构特权、专业知识和信息也同样重要。本节重点介绍这些方面的协调。
1与CISA 的协调
网络防御能力差异很大。因此,协调工作涉及受影响机构和CISA之间不同程度的接触。作为基准,每个影响FCEB机构的网络安全事件都必须报告给CISA。对于拥有成熟安全运营工作的组织而言,报告和信息共享是帮助他人的关键。各机构还利用CISA 的网络防御服务来补充他们自己的IR 能力。FCEB机构的报告要求由FISMA 定义并由CISA 执行。请参见图2中编号的圆圈,这是IR过程的一部分。详见附录B第11条,了解跟踪协调活动完成情况的配套检查表。
图2:编号的IR协调活动
受影响的部门或机构必须与CISA就IR流程图中的每个步骤进行密切的合作和协调。一些基本的协调和沟通活动由编号的圆圈来定义。每个数字都与下面的描述相对应。
1) 通知和更新CISA
FCEB机构向CISA 提供态势感知报告,包括:
• 按照OMBM-20-04的指示,在事件确定后1 小时内通知CISA;
• 在适用的情况下,按照OMB M-20-04的指示,通知其相应的国会委员会、监察长办公室(OIG) 和联邦首席信息官办公室(OFCIO);
• 酌情向CISA提供事件更新,直到所有根除活动完成或直到CISA 与FCEB 机构商定事件结束。
• 遵守OMB和其他联邦政策规定的重大事件的额外报告要求。
2) CISA提供事件跟踪和NCISS 评级
在收到初始报告的一小时内,CISA向该机构提供(1) 跟踪事件编号和(2) 基于CISA 国家网络事件评分系统(NCISS) 评分的风险评级。
3) 共享IOC、TTPs、数据
受影响的FCEB 机构与CISA和合作伙伴共享相关日志数据、带有相关背景的网络威胁指标(包括相关的TTPs,如果可用)以及建议的防御措施。在整个遏制阶段,共享额外的威胁信息是的并发过程。事件更新包括以下内容:
• 更新范围
• 更新的时间表(调查结果、响应工作等)
• 对手活动的新指标
• 更新对影响的理解
• 未完成工作的最新状态
• 遏制、根除等的时间估计
4) CISA共享协调网络情报
CISA与情报界和执法部门协调,向相关组织分享相关的网络情报。
5) 向联邦执法部门报告
FCEB机构会酌情向联邦执法部门报告事件。
6) CISA确定升级情况
CISA或联邦调查局(FBI)决定该事件是否需要升级为网络统一协调小组(C-UCG),如果需要,建议按照PPD-41的规定建立一个C-UCG。C-UCG是联邦机构之间协调应对重大网络事件的主要机制,也是将私营部门合作伙伴纳入事件响应工作的主要机制。
7) 提供最终事件报告
FCEB机构按要求向CISA提供事件后的最新情况。
8) CISA进行核查和验证
为确保恢复工作完成,CISA将验证机构事件和漏洞响应结果和流程。验证可确保机构达到基线标准,实施所有重要步骤,并已完全消除事件或漏洞。对于所需使用手册的事件,机构必须主动提供完整的事件响应清单和完整的事件报告以关闭故障单。如果机构无法完成检查表,机构将与CISA 协商以确保采取所有适当的行动。CISA 将评估这些材料并:
• 确定事件已得到充分解决,并关闭CISA 故障单;
• 确定是否完成额外的响应操作,并在关闭故障单之前要求机构完成这些操作;
• 提供更多信息,包括日志数据和技术资料;
• 推荐使用CISA 或其他第三方事件响应服务;
受影响的FCEB 实体必须在结束事件前,采取CISA 要求的行动。CISA 与受影响的FCEB 实体合作,确定行动。
2政府间协调
在更广泛的背景下,FCEB网络防御行动在处理重大事件方面并非孤军奋战。多个政府部门和机构已经确定了角色和职责,甚至在事件发生前就进行协调。这些角色和职责可以用并行工作路线(LOE)来描述:资产响应、威胁响应、情报支持和受影响的机构响应;这些LOE 共同确保了全面的解决方案。表2 总结了机构响应网络安全事件的LOE。
表2:根据NCIRP 的联邦政府工作重点
对于重大事件或可能变得重大的事件,CISA是机构进行资产响应的“前门”。CISA 将与受影响的FCEB机构合作,确定需求,提供服务建议,并与其他机构协调,以提供整个政府的响应。根据事件的性质和涉及的组织,FCEB机构也可能直接与其他LOE 牵头机构合作,以支持这些LOE。图3确定了提供数据和信息类型的组织,这些数据和信息为事件检测、分析和响应提供了依据。整个政府的角色和职责在附录G中概述。
图3:政府资产响应
漏洞应对手册
关注被积极利用的在野漏洞是组织优先考虑和免受攻击的有效手段之一。手册规范了机构应对紧急和高优先级漏洞的流程。标准化响应流程可确保,包括CISA在内的机构能够了解政府关键高危漏洞的影响。一般漏洞都具有CVE编号;特殊情况下,可能会遇到尚未分配CVE编号的新漏洞或由错误配置导致的漏洞。附录D提供了用于跟踪响应活动的完成情况的配套清单。
01 准备阶段
有效的漏洞响应建立在强大的漏洞管理之上。确保遵循有效的漏洞管理实践,建立和维护资产管理,包括盘点:
• 机构运营的系统和网络;
• 与合作伙伴共同建立的系统和网络;
• 他人运营的系统和网络,包括云、供应商和服务商系统。
跟踪操作系统和应用程序,制定流程了解漏洞与环境相关性。了解系统可能存在漏洞以及潜在漏洞对运营的影响。
02 漏洞响应流程
标准漏洞管理程序包括识别、分析、修复和报告漏洞的阶段。图4根据标准漏洞管理程序阶段描述了漏洞响应过程。
图4: 漏洞应对阶段
03 识别阶段
通过监控威胁源和信息源,主动识别在野外被积极利用的漏洞报告,包括但不限于:
• CISA资源;
• 外部威胁或漏洞源,如:NIST的国家漏洞数据库NVD
• 内部SOC监控和事件响应,可以检测机构正在利用的漏洞。
捕获漏洞相关的其他信息以帮助响应,包括漏洞的严重性、易受攻击的软件版本以及IOC或可用于确定它是否被利用的其他调查步骤。
04 分析阶段
首先,确定环境中是否存在漏洞,以及底层软件或硬件的重要性。现有补丁和资产管理工具至关重要,可用于自动化漏洞检测过程“快速响应”。CISA 发布的约束性操作指令(BOD) 或紧急指令(ED)也可能列出具体的技术步骤来评估是否存在漏洞。如果环境中存在漏洞,则修复漏洞并确定是否已被利用。使用现有的最佳实践来寻找被利用的迹象,包括:
• 扫描与漏洞利用相关的已知IOC;
• 调查与易受攻击的系统或服务相关的任何异常活动,包括异常访问尝试和行为;
• 完成CISA 指令中的检测过程;
• 如果需要,可与第三方合作。
如果该漏洞被利用,请立即开始手册中的事件响应活动。在评估阶段结束时,了解系统状态:
• 不受影响。该系统不易受到攻击。
•易受影响。该系统易受攻击,但没有发现被利用的迹象,修复工作已经开始。
• 被渗透。该系统易受攻击,发现了被利用的迹象,事件响应和漏洞修复已经开始。
05 修复阶段
修复存在于环境中或环境中的所有积极利用的漏洞。大多数情况下,修复应包括补丁包。在其他情况下:
• 限制访问;
• 隔离易受攻击的系统、应用程序、服务、配置文件或其他资产;
• 进行永久性配置更改。
现有的补丁管理工具和流程可用于定期修复漏洞。在这些工具中使用“快速响应”流程来处理在野外被积极利用的漏洞。
如果补丁不存在、未经测试或无法立即应用,请采取其他措施来防止漏洞利用,例如:
• 禁用服务
• 重新配置防火墙以阻止访问
• 加强监测
一旦补丁安全可用,则立刻删除缓解措施并应用补丁。
修复时,进行状态跟踪报告。每个系统都应该能够被描述为以下类别之一:
• 修复。已应用补丁或配置更改,系统不再易受攻击。
• 缓解。其他补偿控制(例如检测或访问限制)已到位,漏洞风险降低。
• 易受影响/被渗透。尚未采取任何措施,系统仍然易受攻击或受到损害。
06 报告和通知
分享攻击者如何利用漏洞的信息可深化政府防御者漏洞响应的意识。CISA 与其他联邦机构合作,负责FCEB 的整体安全态势。因此,CISA需要保持对被主动利用的漏洞响应状态的认识,以帮助其他机构了解漏洞的影响,并缩短披露和漏洞利用之间的时间。机构必须根据《联邦事件通知指南》、具有约束力的操作指令或CISA 在紧急指令中的指示向CISA 报告。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
