本文来自微信公众号“安全牛”。
计算机安全事件响应团队(CSIRT)是一种专为及时有效解决计算机安全相关事件而设置的能力,以减轻网络攻击所造成的危害。目前,全球主要国家都建立了国家级CSIRT,来承担保护本国网络安全的国家责任。而随着网络攻击和犯罪活动逐渐成为企业组织发展中面临的最严重挑战之一,这意味着企业也需要不断改善自身的网络安全态势。在此背景下,构建一个能力强大的企业级CSIRT意义重大。
企业级CSIRT的职责
在很多企业中,会存在三种和计算机安全事件响应有关的工作团队,分别是CSIRT、SOC和CERT。虽然它们有时可以互换使用,但从各自的职责定位上看,还是存在明显区别的,如下图所示:
网络安全运营中心(SOC)是从网络运营中心(NOC)演变而来的,主要充当网络安全运营工作的中央指挥和控制枢纽角色。它的主要职责是全面保护企业的数字化系统安全运营。因此,SOC的职责不仅仅包括事件响应。在实际工作中,SOC可以充当网络安全事件检测的前端,用于标记事件,然后再将它们移交到CSIRT以进行解决。
计算机应急响应小组(CERT)则是主要针对计算机漏洞攻击,目标是通过收集和传播有关安全漏洞的信息来帮助企业保护数字化业务。许多人会将CERT与CSIRT的概念相互混淆,但是实际上,CERT的主要职责是漏洞情报收集和信息共享,以为其他安全团队工作赋能。
而企业级CSIRT团队通常由一组专职的网络安全专家组成,致力于在评估、控制和预防网络安全危机事件中为组织提供一系列服务和协助。此外,CSIRT还负责制定网络安全事件响应计划,并在安全事件发生时迅速有效地处理,最终恢复控制并减轻危害。
参考NIST给出的网络安全事件响应生命周期定义,企业级CSIRT的工作任务主要包括以下四个部分:
1.为事件响应做好准备
在此阶段中,CSIRT可以为组织事件响应提供以下指导:
●制定并优化事件管理流程的策略;
●定义团队所服务的群体(部门),并明确事件处置过程中直接汇报的对象;
●准备事件处置的技术工具和资源,包括(但不限于):1)通讯设施,如电话、电子邮件、聊天、社交媒体等;2)物理设施,如专门的工作室;3)硬件和软件,包括数字取证工作站和软件、安全存储设备、数据包嗅探器、协议分析器、干净的操作系统映像和软件。
2.事件的检测与分析
事件的侦查与检测通常会通过多种渠道进行。首先,CSIRT会访问IDS/IPS、反恶意软件和日志分析工具,以识别网络攻击的来源。其他威胁情报信息将有助于提高检测的准确性和效率。
根据攻击类型的不同,对安全事件的分析涉及不同的技术。而事件分析主要可以确定以下三件事:
●范围:哪些用户、系统和服务受到影响;
●起源:是什么人因为什么原因引起了事件;
●危害情况:攻击使用了哪些攻击方法或利用了哪些漏洞。
分析完成后,CSIRT团队需要形成一份完整的事件分析报告。这有助于确定事件处置优先次序和规划下一步行动。
3.事件处置与恢复
为了限制攻击的影响,CSIRT可能会隔离或关闭受感染的系统。在遏制之后,接下来就是清除恶意软件。CSIRT可以在此阶段使用各种技术(如删除恶意文件、禁用受影响的账户、清除受感染的设备和修补漏洞)从IT系统中根除事件来源。恢复操作包括恢复受影响的系统、从备份中恢复数据或故障转移到灾难恢复站点。
4.事后调查与溯源取证
开展安全事件的事后(post-incident)调查活动,有助于未来可能出现的攻击做出反应,并优化安全软件的使用。此外,报告响应时间和影响遏制指标对于改进事件响应流程至关重要。CSIRT还应该与执法部门合作,追踪攻击来源,分析证据,并在必要时提供法律证词。
企业级CSIRT构建指南
通过制定有效的事件响应策略,组织可以大大降低安全事件的损害,同时降低业务系统的恢复成本。企业在组建CSIRT团队时,应该充分考虑以下几点:
●确定需要什么样的技术背景、角色和职责。
●明确一个公司高层领导来监督CSIRT的工作,以及与执行领导沟通事件和进展。
●确定适当的CSIRT组织模型和团队所需的工作时间。
●为各种潜在的威胁和事件制定安全计划、政策和程序。
●为CSIRT成员提供日常的网络安全教育和意识培训。
●进行全面的数字化资产发现和风险评估。
●识别关键事件响应资产,包括数据、业务流程、技术和人员。
●有一个流程完备的资产管理计划。
●实施配置管理程序,确保所有软件都及时修补,任何更新都经过测试和应用。
一个有效运作的企业级CSIRT需要拥有不同技能和职责的成员。然而,没有“放之四海而皆准”的方法。组织必须配备和培训员工以满足其特定的安全事件响应需求。一般而言,企业级CSIRT团队的组成成员应该包括:
●CSIRT团队领导。这一执行角色通常由首席信息安全官(CISO)担任,负责与高级管理人员沟通事件,并协调申请CSIRT团队的工作预算。
●事件管理者。该角色负责协调CSIRT日常工作例会,明确每个CSIRT成员的责任,并确定是否应该将事件处置级别升级到高管层。
●CSIRT支持人员。这是一个专业的技术角色,包括安全分析师、事件处理人员或取证调查员等,他们主要负责事件检测、响应和报告活动。
●跨职能CSIRT角色。为了完成任务,CSIRT团队需要将法律、人力资源(HR)和公共关系(PR)专家纳入团队。
有效的企业级CSIRT团队要求工作人员具备多种技能,包括技术技能和非技术技能。CSIRT员工需要基本的技术技能和安全知识来执行日常任务。对安全原则、漏洞、编程和网络协议的一般理解构成了这个基线。因此,CSIRT团队员工应该接受以下专业的技术训练:
●识别入侵者的战术和手法;
●利用加密技术保护CSIRT通信;
●分析事件,确定如何有效应对;
●维护事故记录和报告。
此外,由于企业级的CSIRT工作是基于服务的。因此,所有CSIRT员工都必须具有良好的沟通能力和协调能力。
●愿意服从指示。CSIRT团队人员应熟悉已定义的CSIRT程序和政策,以及坚持这些程序和政策的重要性。
●沟通能力。CSIRT团队成员应展示有效的书面和人际沟通技巧,以履行职责,如记录事件报告或提供技术简报。
●协作能力。由于CSIRT结构的合作性质,CSIRT团队成员必须是忠诚的,以确保集体士气、生产力和敏捷性。
●善于时间管理。CSIRT团队成员应该了解如何使用提供的标准来确定各种CSIRT活动的优先级,并确定何时向管理层寻求帮助。
●分析推理。CSIRT团队人员需要跳出常规思维,在潜在的不稳定情况下预测攻击者技术并解决问题。
●压力管理。网络安全事件响应的紧迫性和安全人员倦怠的风险需要特别注意管理压力,以及工作与生活的平衡。
●持续学习。事件响应是一个不断变化的专业领域。因此,CSIRT团队成员必须是求知欲强的人,并通过培训、认证或指导来抓住机会进一步提高他们的技能。