企業(yè)級(jí)計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)(CSIRT)構(gòu)建指南

隨著網(wǎng)絡(luò)攻擊和犯罪活動(dòng)逐漸成為企業(yè)組織發(fā)展中面臨的最嚴(yán)重挑戰(zhàn)之一,這意味著企業(yè)也需要不斷改善自身的網(wǎng)絡(luò)安全態(tài)勢。在此背景下,構(gòu)建一個(gè)能力強(qiáng)大的企業(yè)級(jí)CSIRT意義重大。

本文來自微信公眾號(hào)“安全牛”。

計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)(CSIRT)是一種專為及時(shí)有效解決計(jì)算機(jī)安全相關(guān)事件而設(shè)置的能力,以減輕網(wǎng)絡(luò)攻擊所造成的危害。目前,全球主要國家都建立了國家級(jí)CSIRT,來承擔(dān)保護(hù)本國網(wǎng)絡(luò)安全的國家責(zé)任。而隨著網(wǎng)絡(luò)攻擊和犯罪活動(dòng)逐漸成為企業(yè)組織發(fā)展中面臨的最嚴(yán)重挑戰(zhàn)之一,這意味著企業(yè)也需要不斷改善自身的網(wǎng)絡(luò)安全態(tài)勢。在此背景下,構(gòu)建一個(gè)能力強(qiáng)大的企業(yè)級(jí)CSIRT意義重大。

企業(yè)級(jí)CSIRT的職責(zé)

在很多企業(yè)中,會(huì)存在三種和計(jì)算機(jī)安全事件響應(yīng)有關(guān)的工作團(tuán)隊(duì),分別是CSIRT、SOC和CERT。雖然它們有時(shí)可以互換使用,但從各自的職責(zé)定位上看,還是存在明顯區(qū)別的,如下圖所示:

1.png

網(wǎng)絡(luò)安全運(yùn)營中心(SOC)是從網(wǎng)絡(luò)運(yùn)營中心(NOC)演變而來的,主要充當(dāng)網(wǎng)絡(luò)安全運(yùn)營工作的中央指揮和控制樞紐角色。它的主要職責(zé)是全面保護(hù)企業(yè)的數(shù)字化系統(tǒng)安全運(yùn)營。因此,SOC的職責(zé)不僅僅包括事件響應(yīng)。在實(shí)際工作中,SOC可以充當(dāng)網(wǎng)絡(luò)安全事件檢測的前端,用于標(biāo)記事件,然后再將它們移交到CSIRT以進(jìn)行解決。

計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)則是主要針對(duì)計(jì)算機(jī)漏洞攻擊,目標(biāo)是通過收集和傳播有關(guān)安全漏洞的信息來幫助企業(yè)保護(hù)數(shù)字化業(yè)務(wù)。許多人會(huì)將CERT與CSIRT的概念相互混淆,但是實(shí)際上,CERT的主要職責(zé)是漏洞情報(bào)收集和信息共享,以為其他安全團(tuán)隊(duì)工作賦能。

而企業(yè)級(jí)CSIRT團(tuán)隊(duì)通常由一組專職的網(wǎng)絡(luò)安全專家組成,致力于在評(píng)估、控制和預(yù)防網(wǎng)絡(luò)安全危機(jī)事件中為組織提供一系列服務(wù)和協(xié)助。此外,CSIRT還負(fù)責(zé)制定網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃,并在安全事件發(fā)生時(shí)迅速有效地處理,最終恢復(fù)控制并減輕危害。

參考NIST給出的網(wǎng)絡(luò)安全事件響應(yīng)生命周期定義,企業(yè)級(jí)CSIRT的工作任務(wù)主要包括以下四個(gè)部分:

1.png

1.為事件響應(yīng)做好準(zhǔn)備

在此階段中,CSIRT可以為組織事件響應(yīng)提供以下指導(dǎo):

●制定并優(yōu)化事件管理流程的策略;

●定義團(tuán)隊(duì)所服務(wù)的群體(部門),并明確事件處置過程中直接匯報(bào)的對(duì)象;

●準(zhǔn)備事件處置的技術(shù)工具和資源,包括(但不限于):1)通訊設(shè)施,如電話、電子郵件、聊天、社交媒體等;2)物理設(shè)施,如專門的工作室;3)硬件和軟件,包括數(shù)字取證工作站和軟件、安全存儲(chǔ)設(shè)備、數(shù)據(jù)包嗅探器、協(xié)議分析器、干凈的操作系統(tǒng)映像和軟件。

2.事件的檢測與分析

事件的偵查與檢測通常會(huì)通過多種渠道進(jìn)行。首先,CSIRT會(huì)訪問IDS/IPS、反惡意軟件和日志分析工具,以識(shí)別網(wǎng)絡(luò)攻擊的來源。其他威脅情報(bào)信息將有助于提高檢測的準(zhǔn)確性和效率。

根據(jù)攻擊類型的不同,對(duì)安全事件的分析涉及不同的技術(shù)。而事件分析主要可以確定以下三件事:

●范圍:哪些用戶、系統(tǒng)和服務(wù)受到影響;

●起源:是什么人因?yàn)槭裁丛蛞鹆耸录?/p>

●危害情況:攻擊使用了哪些攻擊方法或利用了哪些漏洞。

分析完成后,CSIRT團(tuán)隊(duì)需要形成一份完整的事件分析報(bào)告。這有助于確定事件處置優(yōu)先次序和規(guī)劃下一步行動(dòng)。

3.事件處置與恢復(fù)

為了限制攻擊的影響,CSIRT可能會(huì)隔離或關(guān)閉受感染的系統(tǒng)。在遏制之后,接下來就是清除惡意軟件。CSIRT可以在此階段使用各種技術(shù)(如刪除惡意文件、禁用受影響的賬戶、清除受感染的設(shè)備和修補(bǔ)漏洞)從IT系統(tǒng)中根除事件來源?;謴?fù)操作包括恢復(fù)受影響的系統(tǒng)、從備份中恢復(fù)數(shù)據(jù)或故障轉(zhuǎn)移到災(zāi)難恢復(fù)站點(diǎn)。

4.事后調(diào)查與溯源取證

開展安全事件的事后(post-incident)調(diào)查活動(dòng),有助于未來可能出現(xiàn)的攻擊做出反應(yīng),并優(yōu)化安全軟件的使用。此外,報(bào)告響應(yīng)時(shí)間和影響遏制指標(biāo)對(duì)于改進(jìn)事件響應(yīng)流程至關(guān)重要。CSIRT還應(yīng)該與執(zhí)法部門合作,追蹤攻擊來源,分析證據(jù),并在必要時(shí)提供法律證詞。

企業(yè)級(jí)CSIRT構(gòu)建指南

通過制定有效的事件響應(yīng)策略,組織可以大大降低安全事件的損害,同時(shí)降低業(yè)務(wù)系統(tǒng)的恢復(fù)成本。企業(yè)在組建CSIRT團(tuán)隊(duì)時(shí),應(yīng)該充分考慮以下幾點(diǎn):

●確定需要什么樣的技術(shù)背景、角色和職責(zé)。

●明確一個(gè)公司高層領(lǐng)導(dǎo)來監(jiān)督CSIRT的工作,以及與執(zhí)行領(lǐng)導(dǎo)溝通事件和進(jìn)展。

●確定適當(dāng)?shù)腃SIRT組織模型和團(tuán)隊(duì)所需的工作時(shí)間。

●為各種潛在的威脅和事件制定安全計(jì)劃、政策和程序。

●為CSIRT成員提供日常的網(wǎng)絡(luò)安全教育和意識(shí)培訓(xùn)。

●進(jìn)行全面的數(shù)字化資產(chǎn)發(fā)現(xiàn)和風(fēng)險(xiǎn)評(píng)估。

●識(shí)別關(guān)鍵事件響應(yīng)資產(chǎn),包括數(shù)據(jù)、業(yè)務(wù)流程、技術(shù)和人員。

●有一個(gè)流程完備的資產(chǎn)管理計(jì)劃。

●實(shí)施配置管理程序,確保所有軟件都及時(shí)修補(bǔ),任何更新都經(jīng)過測試和應(yīng)用。

一個(gè)有效運(yùn)作的企業(yè)級(jí)CSIRT需要擁有不同技能和職責(zé)的成員。然而,沒有“放之四海而皆準(zhǔn)”的方法。組織必須配備和培訓(xùn)員工以滿足其特定的安全事件響應(yīng)需求。一般而言,企業(yè)級(jí)CSIRT團(tuán)隊(duì)的組成成員應(yīng)該包括:

●CSIRT團(tuán)隊(duì)領(lǐng)導(dǎo)。這一執(zhí)行角色通常由首席信息安全官(CISO)擔(dān)任,負(fù)責(zé)與高級(jí)管理人員溝通事件,并協(xié)調(diào)申請(qǐng)CSIRT團(tuán)隊(duì)的工作預(yù)算。

●事件管理者。該角色負(fù)責(zé)協(xié)調(diào)CSIRT日常工作例會(huì),明確每個(gè)CSIRT成員的責(zé)任,并確定是否應(yīng)該將事件處置級(jí)別升級(jí)到高管層。

●CSIRT支持人員。這是一個(gè)專業(yè)的技術(shù)角色,包括安全分析師、事件處理人員或取證調(diào)查員等,他們主要負(fù)責(zé)事件檢測、響應(yīng)和報(bào)告活動(dòng)。

●跨職能CSIRT角色。為了完成任務(wù),CSIRT團(tuán)隊(duì)需要將法律、人力資源(HR)和公共關(guān)系(PR)專家納入團(tuán)隊(duì)。

有效的企業(yè)級(jí)CSIRT團(tuán)隊(duì)要求工作人員具備多種技能,包括技術(shù)技能和非技術(shù)技能。CSIRT員工需要基本的技術(shù)技能和安全知識(shí)來執(zhí)行日常任務(wù)。對(duì)安全原則、漏洞、編程和網(wǎng)絡(luò)協(xié)議的一般理解構(gòu)成了這個(gè)基線。因此,CSIRT團(tuán)隊(duì)員工應(yīng)該接受以下專業(yè)的技術(shù)訓(xùn)練:

●識(shí)別入侵者的戰(zhàn)術(shù)和手法;

●利用加密技術(shù)保護(hù)CSIRT通信;

●分析事件,確定如何有效應(yīng)對(duì);

●維護(hù)事故記錄和報(bào)告。

此外,由于企業(yè)級(jí)的CSIRT工作是基于服務(wù)的。因此,所有CSIRT員工都必須具有良好的溝通能力和協(xié)調(diào)能力。

●愿意服從指示。CSIRT團(tuán)隊(duì)人員應(yīng)熟悉已定義的CSIRT程序和政策,以及堅(jiān)持這些程序和政策的重要性。

●溝通能力。CSIRT團(tuán)隊(duì)成員應(yīng)展示有效的書面和人際溝通技巧,以履行職責(zé),如記錄事件報(bào)告或提供技術(shù)簡報(bào)。

●協(xié)作能力。由于CSIRT結(jié)構(gòu)的合作性質(zhì),CSIRT團(tuán)隊(duì)成員必須是忠誠的,以確保集體士氣、生產(chǎn)力和敏捷性。

●善于時(shí)間管理。CSIRT團(tuán)隊(duì)成員應(yīng)該了解如何使用提供的標(biāo)準(zhǔn)來確定各種CSIRT活動(dòng)的優(yōu)先級(jí),并確定何時(shí)向管理層尋求幫助。

●分析推理。CSIRT團(tuán)隊(duì)人員需要跳出常規(guī)思維,在潛在的不穩(wěn)定情況下預(yù)測攻擊者技術(shù)并解決問題。

●壓力管理。網(wǎng)絡(luò)安全事件響應(yīng)的緊迫性和安全人員倦怠的風(fēng)險(xiǎn)需要特別注意管理壓力,以及工作與生活的平衡。

●持續(xù)學(xué)習(xí)。事件響應(yīng)是一個(gè)不斷變化的專業(yè)領(lǐng)域。因此,CSIRT團(tuán)隊(duì)成員必須是求知欲強(qiáng)的人,并通過培訓(xùn)、認(rèn)證或指導(dǎo)來抓住機(jī)會(huì)進(jìn)一步提高他們的技能。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論