美国NIST更新《网络安全风险管理事件响应建议指南》

近日，美国国家标准与技术研究院发布了最新指南《网络安全风险管理事件响应指南》，概述了如何将事件响应建议和考虑纳入网络安全风险管理活动，以配合其网络安全框架的第二版（CSF 2.0）。旨在帮助组织减轻网络事件的影响，并提高其事件检测、响应和恢复工作的效率和有效性。

执行摘要

事件响应是网络安全风险管理的重要组成部分，应在整个组织运营中加以整合。所有六项NIST 网络安全框架(CSF) 2.0 功能都在事件响应中发挥着重要作用：

治理、识别和保护可帮助组织预防某些事件的发生，为处理已发生的事件做好准备，减少这些事件的影响，并根据从这些事件中吸取的经验教训改进事件响应和网络安全风险管理实践。
检测、响应和恢复可帮助组织发现、管理、优先处理、控制、消除网络安全事件并从事件中恢复，以及执行事件报告、通知和其他与事件相关的通信。

许多个人、团队和第三方在支持组织事件响应的所有功能中承担着各种各样的角色和责任。组织无法直接控制对手使用的战术和技术，也无法确定未来事件发生的时间，只能知道另一起事件不可避免。不过，组织可以使用最适合自己的事件响应生命周期框架或模型，制定强有力的网络安全风险管理措施，将风险降低到可接受的水平。

许多个人、团队和第三方在支持组织事件响应的所有功能中承担着各种角色和责任。组织无法直接控制对手使用的战术和技术，也无法确定未来事件发生的时间，只能知道另一起事件不可避免。不过，组织可以使用最适合自己的事件响应生命周期框架或模型，制定强有力的网络安全风险管理措施，将风险降低到可接受的水平。

各组织应使用最适合自己的事件响应生命周期框架或模型。本文档中的模型基于CSF 2.0，以充分利用CSF 2.0 的丰富资源，并为已在使用CSF的组织提供帮助。无论使用哪种事件响应生命周期框架或模型，每个组织都应在整个网络安全风险管理活动中考虑到事件响应。

1. 导言

在本文档中，事件是指涉及计算资产（包括物理和虚拟平台、网络、服务和云环境）的任何可观察到的事件。事件的示例包括用户登录尝试、软件更新安装和应用程序响应事务请求。许多事件都以安全为重点或具有安全影响。负面事件是指与负面后果相关的任何事件，无论其原因如何，包括自然灾害、电力故障或网络安全攻击。本指南仅涉及负面网络安全事件。要确定不利网络安全事件是否表明发生了网络安全事件，通常需要进行额外的分析。许多个人、团队和第三方在支持组织事件响应的所有功能中承担着各种角色和责任。组织无法直接控制对手使用的战术和技术，也无法确定未来事件发生的时间，只能知道另一起事件不可避免。不过，组织可以使用最适合自己的事件响应生命周期框架或模型，制定强有力的网络安全风险管理措施，将风险降低到可接受的水平。

网络安全事件（或简称事件）是指在没有合法授权的情况下，实际或即将危及信息或信息系统的完整性、保密性或可用性的事件；或构成违反或即将威胁违反法律、安全政策、安全程序或可接受使用政策的事件。

事件实例包括攻击者：

利用僵尸网络向面向互联网的服务发送大量连接请求，导致合法服务用户无法使用该服务；
获取软件即服务提供商的管理凭据，从而将委托给该提供商的敏感租户数据置于危险之中；
侵入组织的业务网络以窃取凭据，并利用这些凭据指示工业控制系统关闭或破坏关键的物理组件，从而导致重大服务中断；
部署勒索软件以阻止计算机系统的使用，并通过复制这些系统中的文件造成多起数据泄露；
利用网络钓鱼电子邮件入侵用户账户，并利用这些账户进行金融欺诈；
发现网络管理设备中的新漏洞，并利用该漏洞在未经授权的情况下访问网络通信；
入侵供应商的软件，随后以被入侵的状态分发给客户。

由于网络安全事件会对组织及其客户、业务合作伙伴和其他方造成损害，因此在事件发生时做出快速有效的响应至关重要。有效实施事件响应流程可以通过分析信息和采取适当行动，系统地应对事件并从事件中恢复。这可以最大限度地减少数据丢失或被盗、服务中断以及事件的整体影响，从而降低网络安全和企业风险。从事件响应活动和根本原因分析中吸取的经验教训有助于改进网络安全风险管理和治理工作，并确保组织做好更充分的准备，以识别其当前的技术资产和网络安全风险，保护其资产，并检测、响应和恢复未来的事件。

1.1 目的和范围

本出版物旨在帮助组织将网络安全事件响应建议和注意事项纳入其整个网络安全风险管理活动。它还提供了一种通用语言，供所有组织用于就其事件响应计划和活动进行内部和外部沟通。本出版物的范围与以前的版本有很大不同。由于如何执行事件响应活动的细节经常发生变化，而且不同技术、环境和组织之间的差异也很大，因此在单一的静态出版物中捕捉和维护这些信息已不再可行。相反，本版本侧重于改进所有NIST 网络安全框架(CSF) 2.0功能[CSF2.0]的网络安全风险管理，以更好地支持组织的事件响应能力。

鼓励读者结合本文档使用其他NIST 资源，包括CSF 2.0 出版物和补充资源、事件响应项目页面，以及通过NIST 网络安全和隐私参考工具(CPRT) 提供的有关实施事件响应注意事项的其他信息源映射。CPRT映射的一个示例是将CSF 2.0 成果与NIST 特别出版物(SP) 800-53 中有助于实现成果的控制措施联系起来。通过这种方式，CSF 2.0 提供了一种通用语言，有助于访问大量其他资源。

本文件的范围与以前的版本有很大不同。由于如何执行事件响应活动的细节经常发生变化，而且不同技术、环境和组织之间的差异也很大，因此在单一的静态出版物中收集和维护这些信息已不再可行。相反，本版本侧重于改进所有NIST 网络安全框架(CSF) 2.0 功能[CSF2.0]的网络安全风险管理，以更好地支持组织的事件响应能力。

2. 事件响应作为网络安全风险管理的一部分

本节解释了事件响应作为网络安全风险管理组成部分的基本概念。第2.1 节探讨了事件响应生命周期，并根据CSF 2.0 功能提出了新的生命周期模型。第2.2 节讨论了组织内外的事件响应角色和责任。最后，第2.3 节简要介绍了事件响应政策、流程和程序。

2.1 事件响应生命周期模型

图 1描述了本出版物上一版本[SP800-61r2] 中的事件响应生命周期模型。

图 1.以前的事件响应生命周期模型

当时，事件相对罕见，大多数事件的范围狭窄且定义明确，事件响应和恢复通常在一两天内完成。在这种情况下，将事件响应作为单独的一组活动，由单独的人员执行，并将所有事件响应活动描绘成循环生命周期的一部分，是现实可行的。正式的事件后活动将确定所需的改进，并将其纳入准备阶段，从而再次开始循环。事件响应活动通常是间歇性的，而不是持续性的。

然而，自那时以来，事件响应的现状已经发生了巨大变化。如今，事件频繁发生，造成的损失也大得多。由于事件的广泛性、复杂性和动态性，从事件中恢复往往需要数周或数月的时间。现在，事件响应已被视为网络安全风险管理的重要组成部分，应在整个组织运营中加以整合。事件响应过程中汲取的经验教训通常应在发现后立即分享，而不是等到恢复结束后再分享。为了应对现代威胁，网络安全风险管理的各个方面都越来越需要不断改进。

图2显示了基于六项CSF 2.0功能的高层次事件响应生命周期模型，这六项功能将网络安全成果组织到最高级别：

治理(GV)：制定、传达和监控组织的网络安全风险管理策略、预期和政策；
识别(ID)：了解组织当前的网络安全风险；
保护(PR)：采用保障措施管理组织的网络安全风险；
检测(DE)：发现并分析可能的网络安全攻击和破坏；
响应(RS)：针对检测到的网络安全事件采取行动；
恢复(RC)：恢复受网络安全事件影响的资产和运行。

所有六项功能在事件响应中都起着至关重要的作用。治理、识别和保护可帮助组织预防某些事件的发生，为处理已发生的事件做好准备，减少这些事件的影响，并根据经验教训改进事件响应和网络安全风险管理实践。检测、响应和恢复帮助组织发现、管理、优先处理、控制、消除网络安全事件并从中恢复，以及执行事件报告、通知和其他与事件相关的通信。

图 2.基于CSF 2.0 功能的事件响应生命周期模型

底层反映了 “治理”、“识别”与“保护 ”这些准备活动并不是事件响应本身的一部分。相反，它们是更广泛的网络安全风险管理活动，也支持事件响应。图中的顶层显示了事件响应：检测、响应和恢复。此外，持续改进的需求显示在中间层，即识别功能和绿色虚线内的改进类别(ID.IM)。从所有职能的所有活动中汲取的经验教训都被纳入改进类别，并对这些经验教训进行分析、优先排序和用于指导所有职能。这反映出组织可以随时吸取新的经验教训（例如，检测到新威胁的存在并确定其行为特征），并将这些经验教训传达给相关人员，以便根据需要调整组织的事件响应和其他网络安全风险管理政策、流程和实践。

表1 将以前的SP 800-61事件响应生命周期模型的各个阶段与本文档中使用的CSF 2.0 功能相对应。

表1. 以前的事件响应生命周期模型的阶段和相应的CSF 2.0 功能

组织应使用最适合自己的事件响应生命周期框架或模型。本文档中的模型基于CSF 2.0，以充分利用CSF 2.0 的丰富资源，并为已在使用CSF的组织提供帮助。对于组织而言，合适的事件响应生命周期框架或模型取决于许多因素；例如，与其他组织相比，规模较大且更加依赖技术的组织可能会从使用强调持续改进的框架或模型中获益更多。无论使用哪种事件响应生命周期框架或模式，每个组织都应在整个网络安全风险管理活动中考虑到事件响应。

2.2. 事件响应角色和职责

过去，事件响应活动几乎完全由组织自身事件响应团队的事件处理人员执行。如今，虽然事件处理人员仍然至关重要，但大多数组织越来越认识到，其事件响应工作的成功取决于许多内部和外部人员的参与，这些人员的角色和职责多种多样，可能分布在世界各地。每个组织的角色和职责各不相同，组织内部也可能因特定事件的性质而有所不同。

事件响应角色和职责的示例包括以下内容：

领导。组织的领导团队负责监督事件响应、分配资金，并可能有权对影响较大的响应行动（如关闭或重建关键服务）做出决策。
事件处理人员。事件处理人员负责核实是否发生了事件，收集并分析数据和证据，确定事件响应活动的优先顺序，并采取适当行动以限制损失、查找根本原因和恢复运行。事件处理人员还经常向其他人员提供有关缓解网络安全问题和提高恢复能力的建议。组织的事件处理人员可能是：
o员工（例如，事件响应团队），
o合同人员（例如，将安全运营中心[SOC] 外包给托管安全服务提供商[MSSP]，或当事件发生在该提供商的云中时，利用云服务提供商的事件响应团队），和/或
o在需要时提供（例如，来自上级组织、网络安全服务提供商、业务合作伙伴或执法机构）。

许多组织可能会使用其中一种以上的方法，例如在内部执行基本的事件响应，并聘请第三方资源协助处理某些事件。规模较大的组织可能有多个事件响应团队，每个团队负责组织的特定逻辑或物理部分。采用这种模式时，各小组应成为单一协调实体（如联盟）的一部分，以确保整个组织的事件响应流程、程序和培训保持一致，各小组之间共享信息。

技术专业人员。网络安全、隐私、系统、网络、云和其他技术架构师、工程师和管理员以及软件开发人员可能会参与事件响应和恢复工作。
法律。法律专家可以审查事件响应计划、政策和程序，以确保符合适用的法律法规，包括隐私权。当涉及事件响应时，法律专家还可以审查与技术供应商和其他第三方的合同。此外，如果特定事件可能涉及法律问题，如起诉嫌疑人、诉讼或需要谅解备忘录 (MOU) 或其他有约束力协议的情况，事件响应者可以向组织的法律部门寻求指导。
公共事务和媒体关系。根据事件的性质和影响，可能有必要通知媒体，进而通知公众。有时，媒体会通过其他渠道（如不通过公共事务人员）了解事件。在这种情况下，制定媒体参与战略会大有裨益。
人力资源。某些人力资源实践应考虑网络安全风险管理，包括入职前筛选、员工入职、离职和职位变动。如果员工涉嫌蓄意制造事件，人力资源部门也可能参与其中。
实体安全和设施管理。有些计算机安全事件是通过物理安全漏洞发生的，或涉及协调的逻辑和物理攻击。在事件处理期间，事件响应小组可能还需要访问设施（例如，访问上锁办公室中被入侵的工作站）。
资产所有者。资产所有者（如系统所有者、数据所有者和业务流程所有者）可能对其受影响资产的响应和恢复优先级有宝贵的见解。他们还需要随时了解响应和恢复工作的最新情况。

第三方可与组织签订合同，帮助执行事件响应活动。一些第三方可能扮演主要角色（例如，执行事件检测、响应和恢复活动的MSSP），而其他第三方（例如，云服务提供商[CSP] 和互联网服务提供商[ISP]）可能参与特定类型事件的某些事件响应活动。这是一种责任分担模式，组织将其部分责任转移给提供商。这些责任应在合同中明确规定，事件响应团队应了解责任分工，包括信息流、协调和代表组织行事的权力。这还包括对服务提供商所能做事情的限制，如与其他客户共享经过消毒的事件信息，或做出并执行操作决策（如立即停用某些服务以控制事件）。

服务提供商可以比单个组织更快地发现恶意活动，因为它可以将客户的事件关联起来。在某些情况下，服务提供商可能会利用对某一客户事件的了解，主动预防其他客户的类似事件。服务提供商通常拥有访问组织系统的权限，还可能访问敏感的组织数据。因此，应考虑并应对内部恶意人员或服务提供商受到损害的风险。保密协议（NDA）和合同条款是阻止未经授权披露敏感数据的备选方案。

2.3 事件响应政策、流程和程序

组织应制定管理其网络安全事件响应的政策。虽然政策因组织而异，但大多数事件响应政策都包含相同的关键要素：

管理层承诺声明；
政策的目的和目标；
政策的范围（即政策适用于哪些人、哪些内容以及在什么情况下）；
事件、网络安全事件、调查和相关术语的定义；
角色、责任和权限，例如哪些角色有权没收、断开连接或关闭技术资产
确定事件优先级、估计其严重性、启动恢复流程、维持或恢复运行以及其他关键行动的指导原则；
绩效衡量标准。

流程和程序应以事件响应政策和计划为基础。记录在案的程序应说明如何执行技术流程和其他操作程序。可以定期测试或演练程序，以验证其准确性，并可用于帮助培训新员工。虽然不可能针对每种可能的情况都制定详细的程序，但组织应考虑记录应对最常见类型事件和威胁的程序。组织还应针对紧急情况下可能急需的特别重要流程制定和维护程序，例如重新部署组织的主要身份验证平台。

许多组织选择创建操作手册，作为记录程序的一部分。操作手册提供了可操作的步骤或任务，供员工在各种场景或情况下执行。将程序格式化为操作手册，而不是其他格式，可以提高程序的可用性。

3. 用于网络事件风险管理的CSF 2.0 社区简介

CSF社区简介是CSF成果的基线，其创建和发布是为了解决一些组织在降低网络安全风险方面的共同利益和目标。社区简介通常针对特定行业、子行业、技术、威胁类型或其他用例而开发[CSF2.0]。

本节定义了NIST 用于网络事件风险管理的CSF 2.0 社区概况。它以CSF核心为基础，突出强调了对事件响应非常重要的网络安全成果并对其进行了优先排序，提出了建议，并针对事件响应中的某些CSF 成果提供了其他支持信息[CSWP32]。社区概况分为两个表格：表2涵盖准备（治理、识别和保护）和经验教训（识别-改进），表3涵盖事件响应（检测、响应和恢复）。

CSF 2.0 的每个功能、类别和子类别在两个表格中都有自己的一行。每一行在事件响应中的相对优先级由以下一项表示：