企業級計算機安全事件響應團隊(CSIRT)構建指南
責編:gltian |2023-09-27 14:44:00計算機安全事件響應團隊(CSIRT)是一種專為及時有效解決計算機安全相關事件而設置的能力,以減輕網絡攻擊所造成的危害。目前,全球主要國家都建立了國家級CSIRT,來承擔保護本國網絡安全的國家責任。而隨著網絡攻擊和犯罪活動逐漸成為企業組織發展中面臨的最嚴重挑戰之一,這意味著企業也需要不斷改善自身的網絡安全態勢。在此背景下,構建一個能力強大的企業級CSIRT意義重大。
企業級CSIRT的職責
在很多企業中,會存在三種和計算機安全事件響應有關的工作團隊,分別是CSIRT、SOC和CERT。雖然它們有時可以互換使用,但從各自的職責定位上看,還是存在明顯區別的,如下圖所示:
網絡安全運營中心(SOC)是從網絡運營中心(NOC)演變而來的,主要充當網絡安全運營工作的中央指揮和控制樞紐角色。它的主要職責是全面保護企業的數字化系統安全運營。因此,SOC的職責不僅僅包括事件響應。在實際工作中,SOC可以充當網絡安全事件檢測的前端,用于標記事件,然后再將它們移交到CSIRT以進行解決。
計算機應急響應小組(CERT)則是主要針對計算機漏洞攻擊,目標是通過收集和傳播有關安全漏洞的信息來幫助企業保護數字化業務。許多人會將CERT與CSIRT的概念相互混淆,但是實際上,CERT的主要職責是漏洞情報收集和信息共享,以為其他安全團隊工作賦能。
而企業級CSIRT團隊通常由一組專職的網絡安全專家組成,致力于在評估、控制和預防網絡安全危機事件中為組織提供一系列服務和協助。此外,CSIRT還負責制定網絡安全事件響應計劃,并在安全事件發生時迅速有效地處理,最終恢復控制并減輕危害。
參考NIST給出的網絡安全事件響應生命周期定義,企業級CSIRT的工作任務主要包括以下四個部分:
1. 為事件響應做好準備
在此階段中,CSIRT可以為組織事件響應提供以下指導:
- 制定并優化事件管理流程的策略;
- 定義團隊所服務的群體(部門),并明確事件處置過程中直接匯報的對象;
- 準備事件處置的技術工具和資源,包括(但不限于):1)通訊設施,如電話、電子郵件、聊天、社交媒體等;2)物理設施,如專門的工作室;3)硬件和軟件,包括數字取證工作站和軟件、安全存儲設備、數據包嗅探器、協議分析器、干凈的操作系統映像和軟件。
2. 事件的檢測與分析
事件的偵查與檢測通常會通過多種渠道進行。首先,CSIRT會訪問IDS/IPS、反惡意軟件和日志分析工具,以識別網絡攻擊的來源。其他威脅情報信息將有助于提高檢測的準確性和效率。
根據攻擊類型的不同,對安全事件的分析涉及不同的技術。而事件分析主要可以確定以下三件事:
- 范圍:哪些用戶、系統和服務受到影響;
- 起源:是什么人因為什么原因引起了事件;
- 危害情況:攻擊使用了哪些攻擊方法或利用了哪些漏洞。
分析完成后,CSIRT團隊需要形成一份完整的事件分析報告。這有助于確定事件處置優先次序和規劃下一步行動。
3.?事件處置與恢復
為了限制攻擊的影響,CSIRT可能會隔離或關閉受感染的系統。在遏制之后,接下來就是清除惡意軟件。CSIRT可以在此階段使用各種技術(如刪除惡意文件、禁用受影響的賬戶、清除受感染的設備和修補漏洞)從IT系統中根除事件來源。恢復操作包括恢復受影響的系統、從備份中恢復數據或故障轉移到災難恢復站點。
4. 事后調查與溯源取證
開展安全事件的事后(post-incident)調查活動,有助于未來可能出現的攻擊做出反應,并優化安全軟件的使用。此外,報告響應時間和影響遏制指標對于改進事件響應流程至關重要。CSIRT還應該與執法部門合作,追蹤攻擊來源,分析證據,并在必要時提供法律證詞。
企業級CSIRT構建指南
通過制定有效的事件響應策略,組織可以大大降低安全事件的損害,同時降低業務系統的恢復成本。企業在組建CSIRT團隊時,應該充分考慮以下幾點:
- 確定需要什么樣的技術背景、角色和職責。
- 明確一個公司高層領導來監督CSIRT的工作,以及與執行領導溝通事件和進展。
- 確定適當的CSIRT組織模型和團隊所需的工作時間。
- 為各種潛在的威脅和事件制定安全計劃、政策和程序。
- 為CSIRT成員提供日常的網絡安全教育和意識培訓。
- 進行全面的數字化資產發現和風險評估。
- 識別關鍵事件響應資產,包括數據、業務流程、技術和人員。
- 有一個流程完備的資產管理計劃。
- 實施配置管理程序,確保所有軟件都及時修補,任何更新都經過測試和應用。
一個有效運作的企業級CSIRT需要擁有不同技能和職責的成員。然而,沒有“放之四海而皆準”的方法。組織必須配備和培訓員工以滿足其特定的安全事件響應需求。一般而言,企業級CSIRT團隊的組成成員應該包括:
- CSIRT團隊領導。這一執行角色通常由首席信息安全官(CISO)擔任,負責與高級管理人員溝通事件,并協調申請CSIRT團隊的工作預算。
- 事件管理者。該角色負責協調CSIRT日常工作例會,明確每個CSIRT成員的責任,并確定是否應該將事件處置級別升級到高管層。
- CSIRT支持人員。這是一個專業的技術角色,包括安全分析師、事件處理人員或取證調查員等,他們主要負責事件檢測、響應和報告活動。
- 跨職能CSIRT角色。為了完成任務,CSIRT團隊需要將法律、人力資源(HR)和公共關系(PR)專家納入團隊。
有效的企業級CSIRT團隊要求工作人員具備多種技能,包括技術技能和非技術技能。CSIRT員工需要基本的技術技能和安全知識來執行日常任務。對安全原則、漏洞、編程和網絡協議的一般理解構成了這個基線。因此,CSIRT團隊員工應該接受以下專業的技術訓練:
- 識別入侵者的戰術和手法;
- 利用加密技術保護CSIRT通信;
- 分析事件,確定如何有效應對;
- 維護事故記錄和報告。
此外,由于企業級的CSIRT工作是基于服務的。因此,所有CSIRT員工都必須具有良好的溝通能力和協調能力。
- 愿意服從指示。CSIRT團隊人員應熟悉已定義的CSIRT程序和政策,以及堅持這些程序和政策的重要性。
- 溝通能力。CSIRT團隊成員應展示有效的書面和人際溝通技巧,以履行職責,如記錄事件報告或提供技術簡報。
- 協作能力。由于CSIRT結構的合作性質,CSIRT團隊成員必須是忠誠的,以確保集體士氣、生產力和敏捷性。
- 善于時間管理。CSIRT團隊成員應該了解如何使用提供的標準來確定各種CSIRT活動的優先級,并確定何時向管理層尋求幫助。
- 分析推理。CSIRT團隊人員需要跳出常規思維,在潛在的不穩定情況下預測攻擊者技術并解決問題。
- 壓力管理。網絡安全事件響應的緊迫性和安全人員倦怠的風險需要特別注意管理壓力,以及工作與生活的平衡。
- 持續學習。事件響應是一個不斷變化的專業領域。因此,CSIRT團隊成員必須是求知欲強的人,并通過培訓、認證或指導來抓住機會進一步提高他們的技能。
來源:安全牛