2018计算机安全事件处理指南NIST.SP.800-61r2.docx

特别出版物800-61修订版2Nl三NationalInstituteofStandardsandTechnologyU.S.DepartmentofCommerce计算机安全事件处理指南美国国家标准技术研究院的建议抽象的计算机安全事件响应已成为信息技术（IT计划的重要组成部分。由于有效执行事件响应是一项复杂的任务邱曜立成功的事件响应能力需要大量的规划和资源。本出版物帮助组织建立计算机安全事件Il向应能力并高效且有效地处理事件。本出版物提供了事件处理指南,特别是分析事件相关数据并确定对每个事件的适当响应。可以独立于特定硬件白台、操作系统、协议或应用程序来遵循这些指南。关键词计算机安全事件；事件处理；事件响应；信息安全四号目录执行摘要11 .简介41.l权限41.2目标范国41.3受众41.4文档结构42 .组织计算机安全事件响应能力62.1 事件和事故62.2事件响应的必要性623事件响应政策计划程序创建72.3.：1.政策要素72.3.2计划元素82.3.3程序要素82.3.4与外部各方共享信息92.4事件响应团队结构13241团队模型132.4.2团队模型选择142.4.3事件响应人员162.4.4组织内的依赖性172.5事件口曲团队服务182.6建议.193 .处理事件213.1 准备工作213.1.1准备见理事件213.1.2预防事故233.2检测的析253.2.1攻击向量253.2.2事故迹象263.2.3前体和指示剂的来源273.2.4事件分析283.2.5事件文档303.2.6事件优先级323.2.7事件通知333.3遏制根除和恢复353.3.1选择遏制策略3533.2证据收集和处理3633.3识别攻击主机373.3.4根除和恢复373.4事件后活动383.4.1经验教训383.4.2使用收集的事件数据393.4.3证据保留413.5事件处理清单423.6建议424.协调秘言息共享454.1 协调454.1.1协调关系464.1.2共享协议和报告要求。474.2信息共享技术484.2.1临时484.2.2半自动化484.2.3安全注意事项494.3细粒度信息共享494.3.1业务影响信息494.3.2技术信息504.4建议51附录清单附录A事件处理场景52Al场景问题52A.2场景53附录B事件相关数据元素58B.1基本数据元素58B.2事件处理程序数据元素59附录C术语表60附录D缩略语61附录E资源63附录F常见问题65附录G危机处理步骤68附录H变更69图列表图2-1与外部各方的沟通10图3-1事件响应生命周期21图3-2事件响应生命周期（检测和分析）25图3-3事件响应生命周期（遏制根除和恢复）35图3-4事件响应生命周期（事件后活动）3846图4-1事件响应协调.表格列表表3-1前体和指示剂的常见来源27表3-2功能影口别33表3-3信息影响类别33表3-4可恢复性工作类别33表3-5事件处理清单42表4-1恰调矣系47执行摘要计算机安全事件响应已成为信息技术（IT计划的重要组成部分与网络安全相关的攻击不仅变得勃啜量和多样化,而S更具破坏性和破坏性。新型安全事件频发。基于风险评估结果的预防活动可以减屣故发生的娼,但并非所有事故都可以预防。因此,事件顺应能力对于快速检测W件、最大程度地减少损失和破坏、减轻被利用的弱点以及恢复IT服务至关重要。为此本出版物提供了事件处理指南特别三分析事件相领据并确定对每个事件的适当响应。可以独立于特定硬催台、操作系统'协议或应用程序来遵循这些指南。由于有效执行事件响应是一项复杂的任务,因此建立成功的事件O艇Z能力需要大量的规划ffl资源。献监控!攵击至关重要。建立明确的程序来确定事件处理的优先Il褥至关重要实施有效的雌、分析和报告蝇妨法½至关壁与其他内部团体（例如人力资源、法睥11和外部团体（例如其他事件响应团队、扰超Irl建立关系并建立适当的沟通方式也至关重要。本出版物帮助组织建立计算机安全事件响应能力并高效且有效地处理事件。该出版物的修订版（第2版更新了整个出版物的材料,以反映攻击和事件的变（匕。了解威胁并在早期阶段识别现代攻击是防止后续危害的关键,而在组织之间主动共享有关这些攻击迹象的信息是识别攻击的日益有效的方法实施以下要求和建议应有助于联邦部门和机构高效且有效的事件响应。组织必须创建、提供和运行正式的事件响应能力。联邦法律要求联邦机构向国土安全部（DHS）内的美国计算机应急准备小组（US-CERT）办公室报告事件。联邦信息安全管理法案（FlSMA）要求联邦机构建立事件响应能力。每个联邦民事机构必须指定US-CERT的主要和次要联络点（POC）并根据该机构的事件0前政策报告所有事件。每个机构负责确定如何满足这些要求。建立事件响应能力应包括以下行动：制定事件响应政策和计划制定执行事件勉理和报告的程序制定与外部各方就事件进行沟通的准则选择团队结构和人员配置模式在事件响应团队和其他内部（例如法律部门和外部（例如执法机构旧体之间建立关系和沟通渠道确定事件响应团队应提供哪些服务为事件响应团队配备人员并进行培训。组织应通过有效保护网络、系统和应用程序来减少事件发生的频率。预防问题通常比问题发生后才做出反应成本更低、更有效。Sitb事件预防是事件!啦能力的重要补充。如毅皂嚼!K足可能会发生大量事件。这可能会压垮响应的资懒!能力从而导致恢复延迟或不完整并可能导致更广泛的损坏以及更长的服务和数据不可用时间。如果组织用足够的资源来补充其事件响应能力以主睚廊监、系雌应用程序娥全,贝阿以更有效地执行事件处理。这包括培训IT员工遵守组织的安全标准并使用户了解有关正确®用懈、系绩的用程序的策略和程序。组织应记录与其他组织就事件进行互动的指南在事件处理过程中组织需要与外部各方进行沟通例联嶂件IlW队'扰撷H'媒体'供应砺暧害程殿。因为这些由于沟通通常需要快速进行组织应预先确定沟通准则以便仅与正确的各方共享适当的信息。组织通常应做好处理任何事件的准备，但应重点准备处理使用常见攻击媒介的事件。事件可能以无数种方式发生因此制症处理每个事件的分步说明是不可行的。本出版物根据常见的攻击向量定义了几种类型的事件；这些类别并非旨在为事件提供明确的分类而是用作定义更具体的处理程序的基础,不同类型的事件需要不同的应对策略。攻击向量是:外部/可移动媒体：从可移动媒体（例如闪存驱动器CD或外围设备。消耗：采用暴力方法来破坏'降级或破坏系统、网络或服务的攻击。Web:从网站或基于Web的应用程序执行的攻击。电子邮件：通过电子邮件或附件执行的攻击。不当使用：由于授权用户违反组织的可接受的使用政策而导致的任何事件不包括上述类别。设备丢失或被盗：组织使用的计算设备或介质（例如笔记本电脑或智能手机医失或被盗。其他：不属于任何其他类别的攻击。组织应强调整个组织中事件检测和分析的重要性。在一个组织中,每天可能会发生数百万个可能的事件迹象,这些迹象主要通过日志记录和计算机安全软件进行记录。需要自动彳睐执行数据的初步分析并选择感兴酬事件进行人工审宣。事件关联软件对于自珈匕分析过程具有很大的价值。然而该过程的有效性取决于该过程中数据的质量。组织应建立日志记录标准和程序以确保日志和安全软件收集足够的信息并定期审查数据。组织应制定书面指南来确定事件的优先级。优先处理个别事件是事件响应过程中的关键决策点。有效的信息共享可以帮取组织识更严重并需要立即关注的情况。应根据相关因素对事件进行优先级排序,分加事件的工境蔗响（例如当前和未来可能对业务功能产生的负面影响）'事件的信息影响（例如对机密性、会假问用性的影响殂织的信息）以及事件的可恢复性（例如时间和从事件中恢复所必须花费的资源类型）。组织应利用吸取经验教训的过程从事件中获取价值。处理重大事件后组织应召开经验教训会议审查事件处理流程的有效性,并确定对现有安全堤厢实践的必要改进。对于较小的事件也可以定期举行经瞬如Il会议在时间和资源允许的情况下。从所有经验教训会议中积累的信息应用于识S雌1.nn嫌和程序中的系统性弱点不瞅陷。为每个已解决的事件生成的后续报告不仅对于i琥目州瞳要而且对于处理未来事件和培训新团队成员也可供参考。-'WY1.1 权限美国国家标准与技术研究院(NIST)制定本文件是为了履行2002年联邦信息安全管理法案(FISMA)公法107-347规定的法定职员«NIST负贡定标准和指南例S三鎏R-以为所有机隰爵陵产提供足够的信息安全回嗟标准和指南不适用于国家安全系统本指南符合管理和预算办公室(OMB)通告A-130第8b(3)节"保护机构信息系统"BW如V130附录IV缠章节分析中所分析。A-130附录m提供了补充信息。本指南已准备好供联邦机构使用。非政府组织可以在自愿的基础上使用它,并且不受版权保护,但需要注明归属本文件中的任何内容均不应被视为与商务部长根据法定权力对联丰圈I磔IJ定的强制性和具有约束力的标准和指南相矛盾南也不应被解释为改变或取代商务部长、商务部主任懒有权力。OMB或任何其他联邦官员1.2 目的和范围本出版物旨在通过提供有效和高效地响应事件的实用指南来帮助组织减轻计算机安全事件的风险它包括立有效的事件响瓯物的指南但该文件的主要重点是检测、分析、般优顺和好鳏件蹒鳍醴I蝌号醐单株方案以满足其特定的安全和任务要求1.3 受众本文档是为计算机安全事件响应团队(CSIRT)、系箍蹴管购、安全人员、技术瑚人员、首席信息安全官(QSO)、首席隹息官(CIO)'计算机安全项目经理被他人员创跑悯责准备或响应安全事件1.4 文档结构本文档的其余部分分为以下部分和附录：第2部分讨论事件响应的必要性,趣可能的事件响应团队结构并突出显示组织内可能参与事件处理的其1蟠第3节回顾了基本的事件处理步骤,并提供了更有效地执行事件必理的建议,特别是事件检测和分析。第4节探讨了事件响应协调和信息共享的必要性。附录A包含在事件响应桌面中使用的事件响应场景和问题讨论附录B提供了为每个事件收集的建议数据字段列表。附录C和D分别包含术语表和首字母缩写词列表附录E列出了可用于规划和执行事件响应的资源附录F涵盖有尖事件响应的常见问题。附录G列出了处理计算机安全事件相关危机时应遵循的主要步骤附录H包含一份变更日志,列出了自上次修订以来6勺重大变更2.组织计算机安全事件响应能力蛆织有效的计算机安全事件口向应能力（CSIRC陟及几个主要方面决定和行动。首先要考虑的因素之一应该是为"事件"一词创建一个特定于组织的定义以便该术语的范围清晰。组织应决定事件响应团队应提供哪些服务考虑哪些团队结构和!镂可以提颊些服务并选择和实施f或多个事件响应团队郃搀件响应计划、策喃晦序是建立团队的重要组成部分以便有效、高效和登Wl行事件O艇Z并授权团队做需要做的事情。让眇政策和程序应反映团队与蛆织内其他团队以及外部各方（例如执法部门'媒体?限他事件响应组织的互动。本节不仅提