2018計算機(jī)安全事件處理指南NIST.SP.800-61r2

修訂版2計算機(jī)安全美國國家標(biāo)準(zhǔn)技術(shù)研究院的建議計算機(jī)安全事件處理指南抽象的（IT地處理事件。本出版物提供了事件處理指南，特別是分析事件相關(guān)數(shù)據(jù)并確定對每個事件的適當(dāng)響應(yīng)?？梢元?dú)立于特定硬件?臺、操作系統(tǒng)、協(xié)議或應(yīng)用程序來遵循這些指南。關(guān)鍵詞計算機(jī)安全事件；事件處理；事件響應(yīng)；信息安全四號計算機(jī)安全事件處理指南目錄要. 11.介. 41.1限. 41.2范圍. 41.3受眾 41.4結(jié)構(gòu) 4力. 6故. 62.2要性. 62.3策劃創(chuàng)建72.3.1政策要素72.3.2計劃元素82.3.3程序要素82.3.4與外部各方共享信息. 92.4結(jié)構(gòu)132.4.1團(tuán)隊(duì)模型132.4.2團(tuán)隊(duì)模型選擇142.4.3事件響應(yīng)人員162.4.4組織內(nèi)的依賴性. 172.5服務(wù) 182.6建議。 19件. 213.1準(zhǔn)備工作213.1.1準(zhǔn)備處理事件213.1.2預(yù)防事故. 233.2分析253.2.1攻擊向量253.2.2事故跡象263.2.3前體和指示劑的來源273.2.4事件分析283.2.5事件文檔303.2.6事件優(yōu)先級323.2.7事件通知. 333.3制恢復(fù)353.3.1略. 353.3.2證據(jù)收集和處理363.3.3識別攻擊主機(jī)373.3.4根除和恢復(fù) 373.4活動383.4.1經(jīng)驗(yàn)教訓(xùn)383.4.2使用收集的事件數(shù)據(jù)393.4.3證據(jù)保留. 41清單. 423.6建議 42享. 45六計算機(jī)安全事件處理指南4.1調(diào). 454.1.1關(guān)系464.1.2共享協(xié)議和報告要求。474.2信息共享技術(shù)484.2.1臨時484.2.2半自動化484.2.3安全注意事項(xiàng) 494.3共享494.3.1業(yè)務(wù)影響信息494.3.2技術(shù)信息. 504.4建議 51附錄清單錄A 景. 52A.1題 52A.2場景 53錄B 素. 58B.1素 58B.2元素. 59附錄C術(shù)語表60附錄D縮略語 61錄E源63錄F 問題65錄G 步驟. 68錄H志. 69圖列表圖2?1通. 10圖3?1周期. 21圖3?2（析）. 25圖3?3（制恢復(fù)）35圖3?4（動）. 38圖4?1調(diào). 46七計算機(jī)安全事件處理指南表格列表表3?1源. 27表3?2別. 33表3?3別. 33表3?4類別. 33表3?5清單. 42表4?1關(guān)系. 47八計算機(jī)安全事件處理指南執(zhí)行摘要執(zhí)行摘要（ITIT（（（第2版動共享有關(guān)這些攻擊跡象的信息是識別攻擊的日益有效的方法。實(shí)施以下要求和建議應(yīng)有助于聯(lián)邦部門和機(jī)構(gòu)高效且有效的事件響應(yīng)。(DHS(US?CERT(FISMAUS?CERT建立事件響應(yīng)能力應(yīng)包括以下行動：制定事件響應(yīng)政策和計劃制定執(zhí)行事件處理和報告的程序（（確定事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)提供哪些服務(wù)1計算機(jī)安全事件處理指南為事件響應(yīng)團(tuán)隊(duì)配備人員并進(jìn)行培訓(xùn)。組織應(yīng)通過有效保護(hù)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序來減少事件發(fā)生的頻率。IT組織應(yīng)記錄與其他組織就事件進(jìn)行互動的指南。由于溝通通常需要快速進(jìn)行，組織應(yīng)預(yù)先確定溝通準(zhǔn)則，以便僅與正確的各方共享適當(dāng)?shù)男畔ⅰ＝M織通常應(yīng)做好處理任何事件的準(zhǔn)備，但應(yīng)重點(diǎn)準(zhǔn)備處理使用常見攻擊媒介的事件。部（或消耗：采用暴力方法來破壞、降級或破壞系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的攻擊。b電子郵件：通過電子郵件或附件執(zhí)行的攻擊。不當(dāng)使用：由于授權(quán)用戶違反組織的可接受的使用政策而導(dǎo)致的任何事件，不包括上述類別。（其他：不屬于任何其他類別的攻擊。2計算機(jī)安全事件處理指南組織應(yīng)強(qiáng)調(diào)整個組織中事件檢測和分析的重要性。在一個組織中，每天可能會發(fā)生數(shù)百萬個可能的事件跡象，這些跡象主要通過日志記錄和計算機(jī)安全軟和程序，以確保日志和安全軟件收集足夠的信息，并定期審查數(shù)據(jù)。組織應(yīng)制定書面指南來確定事件的優(yōu)先級。（）（）（從事件中恢復(fù)所必須花費(fèi)的資源類型）。組織應(yīng)利用吸取經(jīng)驗(yàn)教訓(xùn)的過程從事件中獲取價值。344美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定本文件是為了履行2002年聯(lián)邦信息安全管理法案(FISMA)公法107?347規(guī)定的法定職責(zé)。NIST)0第)0A?130III本指南已準(zhǔn)備好供聯(lián)邦機(jī)構(gòu)使用。非政府組織可以在自愿的基礎(chǔ)上使用它，并且不受版權(quán)保護(hù)，但需要注明歸屬。OMB(CSIRT)(CISO)(CIO)本文檔的其余部分分為以下部分和附錄：第2第3節(jié)回顧了基本的事件處理步驟，并提供了更有效地執(zhí)行事件處理的建議，特別是事件檢測和分析。第4節(jié)探討了事件響應(yīng)協(xié)調(diào)和信息共享的必要性。計算機(jī)安全事件處理指南A附錄B提供了為每個事件收集的建議數(shù)據(jù)字段列表。附錄C和D分別包含術(shù)語表和首字母縮寫詞列表。附錄E列出了可用于規(guī)劃和執(zhí)行事件響應(yīng)的資源。附錄F涵蓋有關(guān)事件響應(yīng)的常見問題。GH5PAGEPAGE7（C決定和行動。首先要考慮的因素之一應(yīng)該是為“事件”一詞創(chuàng)建一個特定于組織的定義，以便該術(shù)語的范圍清晰。組織應(yīng)決（以及執(zhí)行破壞數(shù)據(jù)的惡意軟件。本指南僅涉及與計算機(jī)安全相關(guān)的不良事件，而不涉及自然災(zāi)害、電源故障等引起的不良事件。計算機(jī)安全事件是指違反或即將違反計算機(jī)安全策略、可接受的使用策略或標(biāo)準(zhǔn)安全實(shí)踐的威脅。事件2的例子有：攻擊者命令僵尸網(wǎng)絡(luò)向Web服務(wù)器發(fā)送大量連接請求，導(dǎo)致它崩潰了。工具已感染他們的計算機(jī)并與外部主機(jī)建立連接。用戶通過點(diǎn)對點(diǎn)文件共享服務(wù)向他人提供或公開敏感信息。攻擊經(jīng)常損害個人和商業(yè)數(shù)據(jù)，當(dāng)發(fā)生安全漏洞時快速有效地響應(yīng)至關(guān)重要。計算機(jī)安全事件響應(yīng)的概念已被廣泛接受和實(shí)（）事件導(dǎo)致的信息丟失或被盜以及服務(wù)中斷。事件響應(yīng)的另一個好處是能夠使用事件處理過程中獲得的信息來更好地準(zhǔn)備處理供應(yīng)商，警告他們新的惡意軟件正在互聯(lián)網(wǎng)上迅速傳播。在本文檔的其余部分中，術(shù)語“事件”和“計算機(jī)安全事件”可以互換。未來的事件，并為系統(tǒng)和數(shù)據(jù)提供更強(qiáng)有力的保護(hù)。事件響應(yīng)能力還有助于正確處理事件期間可能出現(xiàn)的法律問題。OMBA?130

32000年發(fā)布，指導(dǎo)聯(lián)邦機(jī)構(gòu)4FISMA（自2002年起），它要求各機(jī)構(gòu)制定“檢測、報告和響應(yīng)安全事件”并建立集中的聯(lián)邦信息安全事件中心，部分目的是：–“為機(jī)構(gòu)信息系統(tǒng)運(yùn)營商提供及時的技術(shù)援助??包括檢測和處理信息安全事件的指導(dǎo)??–編譯和分析有關(guān)威脅信息安全的事件的信息??)63NIST(SP800?53“BM?07?16年5I本節(jié)討論與事件響應(yīng)相關(guān)的政策、計劃和程序，重點(diǎn)是與外部各方的互動。管理事件響應(yīng)的策略對于組織來說是高度個性化的。然而，大多數(shù)政策都包含相同的關(guān)鍵要素：33456/omb/circulars/a130/a130trans4.html/drivers/documents/FISMA?final.pdf/publications/PubsFIPS.html/omb/memoranda/fy2007/m07?16.pdf計算機(jī)安全事件處理指南政策范圍（適用于誰、適用于什么以及在什么情況下適用）計算機(jī)安全事件及相關(guān)術(shù)語的定義（））事件的優(yōu)先級或嚴(yán)重性評級績效衡量（如第3.4.2節(jié)所述）報告和聯(lián)系表格。組織應(yīng)該有一個正式的、有重點(diǎn)的和協(xié)調(diào)的方法來響應(yīng)事件，包括一個事件響應(yīng)計劃，該計劃提供了實(shí)施事件響應(yīng)能力的路線圖。每使命戰(zhàn)略和目標(biāo)高級管理層批準(zhǔn)事件響應(yīng)的組織方法衡量事件響應(yīng)能力及其有效性的指標(biāo)2.4.1節(jié)討論了(SOPSOP8計算機(jī)安全事件處理指南SOPSOPSOP3(ISP)事件響應(yīng)團(tuán)隊(duì)。以下部分提供了與多種類型的外部各方進(jìn)行通信的指南，如圖2?1所示。雙頭箭頭表示任何一方都可以發(fā)起通信。有關(guān)與外部各方溝通的更多信息，請參閱第4節(jié)，有關(guān)涉及事件響應(yīng)外包商的溝通的討論，請參閱第2.4節(jié)。9PAGEPAGE13圖2?1。與外部各方的溝通聯(lián)系人(POC制定程序，在與媒體討論之前向媒體聯(lián)系人通報有關(guān)特定事件的問題和敏感性。7例如，一個組織可能希望其公共事務(wù)辦公室和法律部門的成員參與與媒體的所有事件討論。提醒所有員工處理媒體詢問的一般程序。在事件處理演習(xí)期間舉行模擬采訪和新聞發(fā)布會。以下是向媒體聯(lián)系人詢問的問題示例：–誰襲擊了你？為什么？?什么時候發(fā)生的？它是怎么發(fā)生的？發(fā)生這種情況是因?yàn)槟陌踩胧┹^差嗎做法？–此事件有多廣泛？您正在采取哪些步驟來確定發(fā)生的情況并防止將來再次發(fā)生？(PII)？（[FBI）（（）（）。FISMA要求聯(lián)邦機(jī)構(gòu)向美國計算機(jī)應(yīng)急準(zhǔn)備小組(US?CERT)報告事件，8這是一個政府范圍內(nèi)的事件響應(yīng)組織，協(xié)助聯(lián)邦民事機(jī)構(gòu)進(jìn)行事件處理工作。US?CERT不會取代現(xiàn)有US?CERT88每個機(jī)構(gòu)必須向US?CERT指定主要和次要POC并報告所有事件US?CERTUS?CERTUS?CERTCSIRTCSIRTISAC10US?CERTISACISPISPIP地址空間US?CERTISAC（（）(FIRST)11(GFIRST)12(APWG)13事件響應(yīng)團(tuán)隊(duì)，但它們促進(jìn)事件響應(yīng)團(tuán)隊(duì)之間的信息共享。受影響的外部各方。事件可能會直接影響外部各方?例如，外部組織可能會聯(lián)系該組織并聲稱該組織的一名用戶正在發(fā)起攻擊9910http://www.us?/federal/reportingRequirements.htmlISAC/ISAC/111213GFIRST專門針對聯(lián)邦部門和機(jī)構(gòu)。（http://www.us?/federal/gfirst.html）/OMBM?07?16，(PIIPII泄露時M?07?16PII15。任何發(fā)現(xiàn)或懷疑發(fā)生涉及組織的事件的人都應(yīng)該有一個事件響應(yīng)團(tuán)隊(duì)。然后，根據(jù)事件的嚴(yán)重程度和人員的可用性，一名或多名團(tuán)隊(duì)成員事件響應(yīng)團(tuán)隊(duì)的可能結(jié)構(gòu)包括以下內(nèi)容：中央事件響應(yīng)小組。單個事件響應(yīng)團(tuán)隊(duì)負(fù)責(zé)處理整個組織內(nèi)的事件。此模型對于小型組織和計算資源地理多樣性最小的組織非常有效。（（CSIRTCSIRT141415/default.aspx?tabid=13489事件響應(yīng)團(tuán)隊(duì)還可以使用三種人員配置模型中的任何一種：部分外包。該組織將部分事件響應(yīng)工作外包。第2.4.2–最普遍的安排是組織7天、每天24小時外包(24/7(MSSPMSSP–一些組織在內(nèi)部執(zhí)行基本的事件響應(yīng)工作，并要求承包商協(xié)助處理事件，特別是那些更嚴(yán)重或廣泛的事件。在為事件響應(yīng)團(tuán)隊(duì)選擇適當(dāng)?shù)慕Y(jié)構(gòu)和人員配置模型時，組織應(yīng)考慮以下因素：需要24/7可用性。大多數(shù)組織需要事件響應(yīng)人員24/7待命。全職與兼職團(tuán)隊(duì)成員。資金、人員或資源有限的組織（IT臺POC2416 (CSIRTCERT?/CC（/archive/pdf/03hb001.pdf）。計算機(jī)安全事件處理指南減少團(tuán)隊(duì)成員負(fù)責(zé)執(zhí)行的行政工作量可以顯著提高士氣。成本。成本是一個主要因素，特別是如果要求員工24/7都在現(xiàn)場的話。組織機(jī)構(gòu)可能無法將特定于事件響應(yīng)的成本納入預(yù)算，例如足夠的培訓(xùn)資金ITIT員工專業(yè)知識。事件處理需要多方面的專業(yè)知識和經(jīng)驗(yàn)MSSP2.4.3成員技能的附加信息。在考慮外包時，組織應(yīng)牢記以下問題：當(dāng)前和未來的工作質(zhì)量。組織不僅應(yīng)該考慮當(dāng)前的質(zhì)量（）例如，最大限度地減少人員流動和倦怠，并為新員工提供可靠的培訓(xùn)計劃。組織應(yīng)該考慮如何客觀地評估外包商的工作質(zhì)量。職責(zé)分工。組織通常不愿意授予外包商權(quán)力（Web）支持。向承包商透露的敏感信息。劃分事件響應(yīng)職責(zé)并限制對敏感信息的訪問可以限制這種情況。例如，承包商可以確定在事件中使用了什么用戶ID（D)缺乏組織特定的知識。準(zhǔn)確分析事件并確定優(yōu)先級IT15計算機(jī)安全事件處理指南缺乏相關(guān)性。多個數(shù)據(jù)源之間的關(guān)聯(lián)性非常重要。如果入侵性、技術(shù)含義和影響。務(wù)，包括充當(dāng)與高層管理人員以及其他團(tuán)隊(duì)和組織的聯(lián)絡(luò)人，化解危機(jī)情況，并確保團(tuán)隊(duì)擁有必要的人員、資源和事件響應(yīng)團(tuán)隊(duì)的成員應(yīng)具有出色的技術(shù)技能，例如系統(tǒng)管理、網(wǎng)絡(luò)管理、編程、技術(shù)支持或入侵檢測。每個（）（（通過提供學(xué)習(xí)和成長的機(jī)會來抵消員工的倦怠非常重要。建立和維持技能的建議如下：16計算機(jī)安全事件處理指南（（）?？紤]讓工作人員輪流進(jìn)出事件響應(yīng)團(tuán)隊(duì)，并參與（（）。制定事件處理場景并讓團(tuán)隊(duì)成員討論如何處理這些場景。附錄A包含一組場景和場景討論期間要使用的問題列表。OMB(GAO（（）。ITIT（計算機(jī)安全事件處理指南(MOU公共事務(wù)和媒體關(guān)系。根據(jù)事件的性質(zhì)和影響，可能需要其存在的目的是告知媒體，進(jìn)而告知公眾。業(yè)務(wù)連續(xù)性規(guī)劃。組織應(yīng)確保事件響應(yīng)政策和（咨詢分發(fā)。團(tuán)隊(duì)可以在組織內(nèi)發(fā)布有關(guān)新產(chǎn)品的建議18(NVDXMLRSS（）應(yīng)分發(fā)計算機(jī)安全建議，以避免重復(fù)工作和信息沖突。教育和意識。教育和意識是資源倍增器用戶和技術(shù)人員對檢測、報告和響應(yīng)事件了解得越多，資源消耗就越少

IDPSNISTSP800?94(IDPS/publications/PubsSPs.html#800?9418 /18計算機(jī)安全事件處理指南ISAC本節(jié)提出的有關(guān)組織計算機(jī)安全事件處理能力的主要建議總結(jié)如下。FISMA應(yīng)對事件處理人員進(jìn)行培訓(xùn)和要求。制定有關(guān)事件相關(guān)信息共享的政策和程序。這（US?CERTUS?CERT和ISACUS?CERT和ISAC選擇事件響應(yīng)團(tuán)隊(duì)模型時請考慮相關(guān)因素。組織機(jī)構(gòu)應(yīng)根據(jù)組織的需求和可用資源仔細(xì)權(quán)衡每種可能的團(tuán)隊(duì)結(jié)構(gòu)模型和人員配置模型的優(yōu)缺點(diǎn)。為事件響應(yīng)團(tuán)隊(duì)選擇具有適當(dāng)技能的人員。信譽(yù)度和19計算機(jī)安全事件處理指南還需要有效的事件處理。應(yīng)向所有團(tuán)隊(duì)成員提供必要的培訓(xùn)。確定組織內(nèi)可能需要參與事件處理的其他小組。每個事件響應(yīng)團(tuán)隊(duì)都依賴其他團(tuán)隊(duì)的專業(yè)知識、判斷和能力，包括管理、信息保證、IT支持、法律、公共事務(wù)和設(shè)施管理。20PAGEPAGE253.處理事件3.處理事件圖3?1圖3?1。事件響應(yīng)生命周期備 備件事件響應(yīng)計劃。本節(jié)提供有關(guān)準(zhǔn)備處理事件和預(yù)防事件的基本建議。（事件處理者通訊和設(shè)施：（（組織內(nèi)其他團(tuán)隊(duì)的待命信息，包括升級信息問題跟蹤系統(tǒng)，用于跟蹤事件信息、狀態(tài)等。團(tuán)隊(duì)成員攜帶智能手機(jī)以獲取非工作時間支持和現(xiàn)場通信用于團(tuán)隊(duì)成員之間、組織內(nèi)部以及與外部各方的通信的加密軟件；對于聯(lián)邦機(jī)構(gòu)，軟件必須使用經(jīng)過FIPS驗(yàn)證的加密算法20中央溝通和協(xié)調(diào)的作戰(zhàn)室；如果永久性作戰(zhàn)室沒有必要或不切實(shí)際，團(tuán)隊(duì)?wèi)?yīng)制定一個程序，在需要時采購臨時作戰(zhàn)室用于保護(hù)證據(jù)和其他敏感材料的安全存儲設(shè)施事件分析硬件和軟件：和用于分析數(shù)據(jù)、嗅探數(shù)據(jù)包和撰寫報告等活動的筆記本電腦備用工作站、服務(wù)器和網(wǎng)絡(luò)設(shè)備或虛擬化同等設(shè)備，可用于多種目的，例如恢復(fù)備份和嘗試惡意軟件空白可移動媒體用于分析磁盤映像的數(shù)字取證軟件帶有可信程序版本的可移動介質(zhì)，用于從系統(tǒng)收集證據(jù)證據(jù)收集配件，包括精裝筆記本、數(shù)碼相機(jī)、錄音機(jī)、監(jiān)管鏈表格、證據(jù)存儲袋和標(biāo)簽以及證據(jù)磁帶，以保存可能采取的法律行動的證據(jù)0 S21 事件分析資源：端口列表，包括常用端口和木馬端口訪問?凈操作系統(tǒng)和應(yīng)用程序安裝的映像以進(jìn)行恢復(fù)和恢復(fù)目的（）（）算設(shè)備，用于編寫報告、閱讀電子郵件以及執(zhí)行與實(shí)際事件分析無關(guān)的其他職責(zé)。NISTSP800?84A。（）。提供有關(guān)保護(hù)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序安全的具體建議超出了本文檔的范圍。盡管事件響應(yīng)團(tuán)隊(duì)通常不負(fù)責(zé)保護(hù)資22 (NSRL/23 IT/publications/PubsSPs.html#800?84

24不過，以下文字簡要概述了保護(hù)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程風(fēng)險評估。系統(tǒng)和應(yīng)用程序的定期風(fēng)險評估應(yīng)確定哪些內(nèi)容?。定期進(jìn)行風(fēng)險評估的另一個好處是確定關(guān)鍵資源，使工作人員能夠重點(diǎn)關(guān)注這些資源的監(jiān)測和響應(yīng)活動。26(SCAP)2829網(wǎng)絡(luò)安全。網(wǎng)絡(luò)邊界應(yīng)配置為拒絕所有不屬于網(wǎng)絡(luò)邊界的活動。明確允許。這包括保護(hù)所有連接點(diǎn)，例如虛擬專用網(wǎng)絡(luò)(VPN)和與其他組織的專用連接。惡意軟件預(yù)防。應(yīng)在整個系統(tǒng)中部署檢測和阻止惡意軟件的軟件（）（（IT員工應(yīng)該接受培訓(xùn)，以便他們能夠根據(jù)組織的安全標(biāo)準(zhǔn)維護(hù)其網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序。24 /publications/PubsSPs.htmlNIST5 TP0PubsSPs.html#800?30?Rev1。6 S9（7 TPPubsSPs.html#800?137)。8 PTP7)2publications/PubsSPs.html#800?117）。29 NIST/30 NISTSP(/publications/PubsSPs.html#800?83)。圖3?2。事件響應(yīng)生命周期（檢測和分析）了常見的攻擊方法，可以用作定義更具體的處理程序的基礎(chǔ)。外部/可移動媒體：從可移動媒體或外圍設(shè)備執(zhí)行的攻擊，例如，惡意代碼從受感染的USB閃存驅(qū)動器傳播到系統(tǒng)。（DDoSCAPTCHAS）。b用于竊取憑據(jù)或重定向到利用瀏覽器漏洞并安裝惡意軟件的站點(diǎn)的腳本攻擊。電子郵件：通過電子郵件或附件執(zhí)行的攻擊，例如，偽裝成電子郵件正文中的附件文檔或惡意網(wǎng)站鏈接的漏洞利用代碼。冒充：涉及用惡意內(nèi)容替換良性內(nèi)容的攻擊例如，欺騙、中間人攻擊、流氓無線接入點(diǎn)和SQL注入攻擊都涉及假冒。不當(dāng)使用：因違反組織可接受的使用而導(dǎo)致的任何事件授權(quán)用戶制定的政策，不包括上述類別；例如，用戶安裝文件共享軟件，導(dǎo)致敏感數(shù)據(jù)丟失；或者用戶在系統(tǒng)上執(zhí)行非法活動。（其他：不屬于任何其他類別的攻擊。NISTSP800?83。IDPS（3.2.4）深入、專業(yè)的技術(shù)知識和豐富的經(jīng)驗(yàn)對于正確有效地分析事件相關(guān)數(shù)據(jù)是必要的。事件的跡象分為兩類之一：前兆和指標(biāo)。前兆是未來可能發(fā)生事件的跡象。指示器是事件可能已經(jīng)發(fā)生或可能正在發(fā)生的跡象。顯示漏洞掃描器使用情況的Web服務(wù)器日志條目發(fā)布了針對組織郵件服務(wù)器漏洞的新漏洞利用來自某個團(tuán)體的威脅，聲稱該團(tuán)體將攻擊該組織。雖然先兆相對較少，但指標(biāo)卻很常見。指標(biāo)類型太多，無法一一列舉，但下面列出了一些示例：當(dāng)數(shù)據(jù)庫發(fā)生緩沖區(qū)溢出嘗試時，網(wǎng)絡(luò)入侵檢測傳感器會發(fā)出警報服務(wù)器。防病毒軟件在檢測到主機(jī)感染惡意軟件時發(fā)出警報。26PAGEPAGE31應(yīng)用程序記錄來自不熟悉的遠(yuǎn)程系統(tǒng)的多次失敗登錄嘗試。電子郵件管理員看到大量包含可疑內(nèi)容的退回電子郵件。網(wǎng)絡(luò)管理員注意到與典型網(wǎng)絡(luò)流量的異常偏差。3?2表3?1。前體和指示劑的常見來源源 述警報IDPS

IDPSIP（）IDPSIDPSIDPS31SIEM

安全信息和事件管理(SIEM)產(chǎn)品與IDPS產(chǎn)品類似，但它們根據(jù)日志數(shù)據(jù)分析生成警報（見下文）。件軟件

防病毒軟件檢測各種形式的惡意軟件、生成警報并阻止惡意軟件來自感染宿主。如果簽名保持最新，當(dāng)前的防病毒產(chǎn)品可以有效阻止許多惡意軟件實(shí)例。反垃圾郵件軟件用于檢測垃圾郵件并防第三方監(jiān)控服務(wù)

第三方提供各種基于訂閱的免費(fèi)監(jiān)控服務(wù)。一個例子是IP

日志（信息進(jìn)行分析。根據(jù)事件信息，可以生成警報來指示事件。3.2.4節(jié)討論了集中式日志記錄的價值。網(wǎng)絡(luò)設(shè)備日志

（31有關(guān)IDPS產(chǎn)品的更多信息，請參閱NISTSP800?94《入侵檢測和防御系統(tǒng)指南》。可在/publications/PubsSPs.html#800?94上獲取。源 述網(wǎng)絡(luò)流網(wǎng)絡(luò)流是主機(jī)之間發(fā)生的特定通信會話。路由器和NetFlowsFlowIPFIX。有關(guān)信息新的

公開信息(NVDCERT?/CC

人們發(fā)現(xiàn)沖突數(shù)據(jù)時。人組織

應(yīng)認(rèn)真對待來自外部的事件報告。例如，一方可能會聯(lián)系該組織，聲稱該組織的系統(tǒng)正在攻擊其系統(tǒng)。外部用戶還可能報告其地址，配置為將消息轉(zhuǎn)發(fā)到幫助臺。（（（12Internet的原因是什么。有些事件很容易檢測到，例如明顯被損壞的網(wǎng)頁。然而，很多事件都是32 /33 http://www.us?/cas/signup.html事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)快速分析和驗(yàn)證每個事件，遵循預(yù)定義的流程并記錄所采取的每個步驟。當(dāng)團(tuán)隊(duì)認(rèn)為發(fā)生了事件時，團(tuán)隊(duì)?wèi)?yīng)快速進(jìn)行初步（）。初步分析應(yīng)為團(tuán)隊(duì)提供足夠的信息來確定后續(xù)活動的優(yōu)先順序，例如遏制事件和對事件影響進(jìn)行更深入的分析。執(zhí)行初始分析和驗(yàn)證具有挑戰(zhàn)性。以下是使事件分析更容易、更有效的建議：?了解正常行為。事件響應(yīng)團(tuán)隊(duì)成員應(yīng)該研究網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序，以了解他們的正常行為是什么，以便能夠及時發(fā)現(xiàn)異常行為更容易被識別。沒有哪個事件處理程序能夠全面了解整個環(huán)境中的所有行為，但處理程序應(yīng)該知道哪些專家可以填補(bǔ)空白。獲取這些師應(yīng)該能夠注意到隨著時間的推移的趨勢和變化。這些評論還為分析師提供了每個來源的可靠性的指示。IDPSNISTSP800?9234執(zhí)行事件關(guān)聯(lián)。事件的證據(jù)可以在多個日志中捕獲，每個日志?IPIDPS消息來源對于驗(yàn)證特定事件是否發(fā)生非常寶貴。3434/publications/PubsSPs.html#800?92保持所有主機(jī)時鐘同步。網(wǎng)絡(luò)時間協(xié)議(NTP)等協(xié)議12:07:0112:07:0112:10:35和11:07:06。IDPS使用互聯(lián)網(wǎng)搜索引擎進(jìn)行研究?；ヂ?lián)網(wǎng)搜索引擎可以幫助分析師找到TCP端口22912“TCP”（例如（）非常重要，這樣才能完全遏制事件并減輕被利用的漏洞，從而防止類似事件發(fā)生。35NTP35NTP/。37 （）。錄事件，而另一個人則執(zhí)行技術(shù)任務(wù)。第3.3.2節(jié)介紹了有關(guān)證據(jù)的更多信息。39（事件的當(dāng)前狀態(tài)（新事件、正在進(jìn)行中、轉(zhuǎn)發(fā)調(diào)查、已解決等）事件概要與事件相關(guān)的指標(biāo)與本次事件相關(guān)的其他事件所有事件處理者對此事件采取的行動監(jiān)管鏈（如果適用）與事件相關(guān)的影響評估（（）41事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)保護(hù)事件數(shù)據(jù)并限制對其的訪問，因?yàn)樗ǔ０舾行畔?，例如，有關(guān)被利用的漏洞、最近的安全漏洞以及可能（38在使用設(shè)備之前，請考慮設(shè)備收集的證據(jù)的可接受性。例如，任何作為潛在證據(jù)來源的設(shè)備本身都不應(yīng)該被用來記錄其他證據(jù)。39NISTSP800?86《將取證技術(shù)集成到事件響應(yīng)中的指南》提供了有關(guān)建立取證能力的詳細(xì)信息，包括政策和程序的制定。40B?C)該文檔可在/archive/pdf/03tr001.pdf上獲取。41(TERENARFC3067TERENA(/rfc/rfc3067.txt)IETF（(/ietf/inch/inch.html)TERENA工作的CC計算機(jī)安全事件處理指南IT事件的信息影響。事件可能會影響機(jī)密性、完整性和組織信息的可用性。例如，惡意代理可能會泄露敏感信息（）結(jié)合對組織系統(tǒng)的功能影響和對組織信息的影響來確定事件的業(yè)務(wù)影響?例如，針對公共Web服務(wù)器的分布式拒絕服務(wù)攻Web(PII)對事件造成的業(yè)務(wù)影響的估計以及從事件中恢復(fù)所需的估計工作，確定對每個事件的響應(yīng)的優(yōu)先級。由于其態(tài)勢感知能力，組織可以最好地量化其自身事件的影響。表3?2提供了組織可用于對其自身事件進(jìn)行評級的功能影響類別的示例。對事件進(jìn)行評級有助于確定有限資源的優(yōu)先級。32計算機(jī)安全事件處理指南類別沒有任何類別沒有任何定義低的不會影響組織向所有用戶提供所有服務(wù)的能力中型組織失去了向系統(tǒng)用戶子集提供關(guān)鍵服務(wù)的能力的 務(wù)表3?3不相互排斥，組織可以選擇多個類別。表3?3類別定義沒有任何隱私違反沒有信息被泄露、更改、刪除或以其他方式泄露(PII)。所有權(quán)違反(PCII)、正直損失表3?4表3?4類別常規(guī)的補(bǔ)充擴(kuò)展定義（）當(dāng)團(tuán)隊(duì)未在指定時間內(nèi)對事件做出響應(yīng)時，組織還應(yīng)針對這些情況建立升級流程。發(fā)生這種情況的原因有很多：例如，手機(jī)可（也許15分鐘33計算機(jī)安全事件處理指南（）首席信息官信息安全主管當(dāng)?shù)匦畔踩賳T組織內(nèi)的其他事件響應(yīng)團(tuán)隊(duì)外部事件響應(yīng)團(tuán)隊(duì)（如果適用）系統(tǒng)所有者（）（）（）US?CERT（代表聯(lián)邦政府運(yùn)營的聯(lián)邦機(jī)構(gòu)和系統(tǒng)需要；參見第節(jié)）執(zhí)法（如果適用）（（）電子郵件（親自出席（例如每日簡報）（）紙張（例如，在布告欄和門上張貼通知，在所有入口處分發(fā)通知）。34PAGEPAGE36圖3?3。事件響應(yīng)生命周期（遏制、根除和恢復(fù)）遏制措施為制定量身定制的補(bǔ)救策略提供了時間。遏制的一個重要部分是決策（例如，關(guān)閉系統(tǒng)、斷）遏制策略根據(jù)事件類型而有所不同。例如，遏制電子郵件傳播的惡意軟件感染的策略與基于網(wǎng)絡(luò)的DDoS攻資源的潛在損壞和盜竊證據(jù)保全的需要（）策略的有效性（例如，部分遏制、完全遏制）解決方案的持續(xù)時間（例如，四小時內(nèi)移除的緊急解決方案、臨時解決方案解決方法將在兩周內(nèi)刪除，永久解決方案）。（）關(guān)于遏制的另一個潛在問題是，某些攻擊在被遏制后可能會造成額外的損害。例如，受感染的主機(jī)可能會運(yùn)行定期對另一臺主機(jī)執(zhí)行pingping損壞。（（(MACIP）（）從計算資源收集證據(jù)提出了一些挑戰(zhàn)。一旦懷疑可能發(fā)生事件，通常希望從感興趣的系統(tǒng)獲取證據(jù)。NISTSP800?8642 NISTSP800?86PC/publications/PubsSPs.html#800?8643 44 (CCIPShttp:///ssmanual/index.html計算機(jī)安全事件處理指南?響。以下各項(xiàng)描述了攻擊主機(jī)識別的最常執(zhí)行的活動：驗(yàn)證攻擊主機(jī)的IP地址。新的事件處理程序通常專注于攻擊pingIPInternet使用事件數(shù)據(jù)庫。多個小組收集并整合來自各個方面的事件數(shù)據(jù)組織進(jìn)入事件數(shù)據(jù)庫。這種信息共享可以多種形式進(jìn)行，例如跟蹤器和實(shí)時黑名單。組織還可以檢查自己的知識庫或問題相關(guān)活動的跟蹤系統(tǒng)。監(jiān)控可能的攻擊者通信渠道。事件處理程序可以監(jiān)控IRCIRC頻道（?（資源被成功攻擊，它通常會再次受到攻擊，或者組織內(nèi)的其他資源以類似的方式受到攻擊方式。根除和恢復(fù)應(yīng)分階段進(jìn)行，以便優(yōu)先采取補(bǔ)救措施。（（37PAGEPAGE39由于根除和恢復(fù)操作通常是特定于操作系統(tǒng)或應(yīng)用程序的，因此有關(guān)它們的詳細(xì)建議和建議超出了本文檔的范圍。圖3?4。事件響應(yīng)生命周期（事件后活動）事件響應(yīng)最重要的部分之一也是最常被忽視的：學(xué)習(xí)和改進(jìn)。每個事件響應(yīng)團(tuán)隊(duì)都應(yīng)該不斷發(fā)展，以反映新的威脅、改進(jìn)的技術(shù)和吸到底發(fā)生了什么、在什么時間發(fā)生的？員工和管理層在處理該事件方面表現(xiàn)如何？是否遵循了書面程序？它們足夠嗎？更早需要什么信息？是否采取了任何可能阻礙復(fù)蘇的步驟或行動？哪些糾正措施可以防止將來發(fā)生類似事件？未來應(yīng)關(guān)注哪些先兆或指標(biāo)以發(fā)現(xiàn)類似事件？需要哪些額外的工具或資源來檢測、分析和緩解未來的事件？也是明智的。（法出席會議的各方也很重要。更新事件響應(yīng)政策和程序是吸取經(jīng)驗(yàn)教訓(xùn)的另一個重要部分。對事件處理方式的事后分析通常會發(fā)現(xiàn)程（訴活動的基礎(chǔ)。后續(xù)報告應(yīng)按照記錄保留政策的規(guī)定保存一段時間。45經(jīng)驗(yàn)教訓(xùn)活動應(yīng)產(chǎn)生一組有關(guān)每個事件的客觀和主觀數(shù)據(jù)。隨著時間的推移，收集到的事件數(shù)據(jù)應(yīng)該在多種方面發(fā)揮作用。這些數(shù)據(jù)，特別是參與的總時間和成本，可用（（）。此外，需要報告事件信息的組織需要收集5 )（3年GRS24/records?mgmt/grs/grs24.html。必要的數(shù)據(jù)來滿足他們的要求。有關(guān)與其他組織共享事件數(shù)據(jù)的更多信息，請參閱第4節(jié)。組織應(yīng)該專注于收集可操作的數(shù)據(jù)，而不是僅僅因?yàn)閿?shù)據(jù)可用而收集數(shù)據(jù)。例如，計算每周發(fā)生的前體端口掃描數(shù)量并在年底生（（）。每次事件的時間。對于每個事件，可以通過多種方式測量時間：–處理該事件所花費(fèi)的勞動力總量（–事件響應(yīng)團(tuán)隊(duì)花了多長時間來響應(yīng)事件的初步報告（對每個事件進(jìn)行客觀評估?？梢苑治鰧σ呀鉀Q事件的響應(yīng)以確定其有效性。以下是對事件進(jìn)行客觀評估的示例：–審查日志、表格、報告和其他事件文檔，以確保遵守既定的事件響應(yīng)政策和程序–在事件被發(fā)現(xiàn)之前確定事件是否造成損害46 （（同的標(biāo)準(zhǔn)作為端口掃描。計算機(jī)安全事件處理指南–確定該事件是否是先前事件的重復(fù)發(fā)生–計算事件造成的估計金錢損失（例如，信息和關(guān)鍵損失）業(yè)務(wù)流程受到該事件的負(fù)面影響）–衡量初始影響評估和最終影響評估之間的差異（參見第3.2.6節(jié)）（團(tuán)隊(duì)模式和結(jié)構(gòu)事件處理人員培訓(xùn)和教育事件文件和報告本節(jié)前面討論的成功衡量標(biāo)準(zhǔn)。組織應(yīng)制定政策，規(guī)定事件證據(jù)應(yīng)保留多長時間。大多數(shù)組織選擇在事件結(jié)束后數(shù)月或數(shù)年保留所有證據(jù)。制定政策時應(yīng)考慮以下因素：數(shù)據(jù)保留。大多數(shù)組織都有數(shù)據(jù)保留策略，規(guī)定某些類型的數(shù)據(jù)可以保留多長時間。例如，組織可能規(guī)定電子郵件應(yīng)僅保留180天。如果磁盤映像包含數(shù)千封電子郵件，則組織可能不希望映像保留超過180天，除非絕對必要。如第3.4.2節(jié)中所述，一般記錄表(GRS)24規(guī)定事故處理記錄應(yīng)保存三年。41計算機(jī)安全事件處理指南（表3?5（驟1.2或1.3行動完全的行動完全的1.31.4分析前兆和指標(biāo)尋找相關(guān)信息進(jìn)行研究（例如搜索引擎、知識庫）2.（.8.9.創(chuàng)建后續(xù)報告（）6.1識別并緩解所有被利用的漏洞6.2刪除惡意軟件、不適當(dāng)?shù)牟牧虾推渌M件6.3（）（1.1（5（67.從事件中恢復(fù)7.1將受影響的系統(tǒng)恢復(fù)到操作就緒狀態(tài)7.2確認(rèn)受影響的系統(tǒng)正常運(yùn)行7.3如有必要，實(shí)施額外的監(jiān)控以尋找未來的相關(guān)活動本節(jié)中提出的處理事件的主要建議總結(jié)如下。42計算機(jī)安全事件處理指南示例包括聯(lián)系人列表、加密軟件、網(wǎng)絡(luò)圖、備份設(shè)備、數(shù)字取證軟件和端口列表。IT對安全策略和程序的認(rèn)識也非常重要。通過多種安全類型生成的警報來識別先兆和指標(biāo)戶以及執(zhí)行了哪些操作等信息。分析網(wǎng)絡(luò)和系統(tǒng)。分析衡量預(yù)期活動水?的特征，以便知識。創(chuàng)建日志保留策略。有關(guān)事件的信息可能會記錄在多個位置。維護(hù)和使用信息知識庫。處理者需要參考信息43計算機(jī)安全事件處理指南一旦團(tuán)隊(duì)?wèi)岩砂l(fā)生了事件，就開始記錄所有信息。系統(tǒng)化且不易出錯的問題處理。保護(hù)事件數(shù)據(jù)。它通常包含有關(guān)以下內(nèi)容的敏感信息：當(dāng)團(tuán)隊(duì)未在指定時間內(nèi)對事件做出響應(yīng)時，組織還應(yīng)針對這些情況建立升級流程。將有關(guān)事件報告的規(guī)定納入組織的事件響應(yīng)政策中。CIO擁有者。制定遏制事件的策略和程序。遏制事件很重要遵循既定的證據(jù)收集和處理程序。團(tuán)隊(duì)?wèi)?yīng)該明確從受信任的媒體運(yùn)行精心選擇的命令可以收集必要的信息，而不會損壞系統(tǒng)的證據(jù)。行分析要安全得多，因?yàn)榉治隹赡軙o意中改變原始系統(tǒng)。44PAGEPAGE474.協(xié)調(diào)和信息共享4.協(xié)調(diào)和信息共享事件信息共享通常是互惠互利的，因?yàn)橄嗤耐{和攻擊通常會同時影響多個組織。如第2節(jié)所述，與合作伙伴組織協(xié)調(diào)和共享信息可以增強(qiáng)組織有效響應(yīng)IT事件的能力。例如，如果一個組織識別出其網(wǎng)絡(luò)上的某與孤立運(yùn)作的組織相比，組織能夠更快、更有效地響應(yīng)事件。能力來執(zhí)行惡意軟件分析的第三方資源。文件的這一部分強(qiáng)調(diào)了協(xié)調(diào)和信息共享。4.1節(jié)概述了事件響應(yīng)協(xié)調(diào)，并重點(diǎn)關(guān)注跨組織協(xié)調(diào)的需求，以補(bǔ)充組織事件響應(yīng)流程。第4.2節(jié)討論了跨組織信息共享的技術(shù)，第4.3節(jié)研究了如何限制與其他組織共享或不共享的信息。2.3.44?1協(xié)調(diào)在整個生命周期中的價值。圖4?1。事件響應(yīng)協(xié)調(diào)組織內(nèi)的事件響應(yīng)團(tuán)隊(duì)可以參與不同類型的協(xié)調(diào)安排，具體取決于與之協(xié)調(diào)的組織類型。例如，負(fù)責(zé)事件ISAC功響應(yīng)事件。表4?1提供了與外部組織協(xié)作時可能存在的協(xié)調(diào)關(guān)系的一些示例。表4?1。協(xié)調(diào)關(guān)系類別類別定義信息共享（例如）（）團(tuán)隊(duì)到協(xié)調(diào)團(tuán)隊(duì)（如T或系型 脅息信告及 息里。期望協(xié)調(diào)小組向參與的成員組織傳播及時和有用的信息。隊(duì)US?CERTISAC組織可能會發(fā)現(xiàn)建立協(xié)調(diào)所需的關(guān)系具有挑戰(zhàn)性。開始建立社區(qū)的好地方包括組織所屬的行業(yè)部門和組織運(yùn)營的地理（嘗試與外部組織共享信息的組織應(yīng)在開始任何協(xié)調(diào)工作之前咨詢其法律部門。在討論之前可能需要簽訂合同或其CIRT計算機(jī)安全事件處理指南信息共享是實(shí)現(xiàn)跨組織協(xié)調(diào)的關(guān)鍵要素。即使是最小的組織也需要能夠與同行和合作伙伴共享事件信息，以便有效地處理許多事件。組織.3臨時信息共享方法在傳達(dá)什么信息以及如何進(jìn)行通信方面也基本上沒有標(biāo)準(zhǔn)化。由于缺乏標(biāo)準(zhǔn)化，它們往往需要手動?預(yù)，并衡覆蓋以人為本的流程來管理信息流。48計算機(jī)安全事件處理指南分享。47在決定數(shù)據(jù)交換時，組織應(yīng)與其合作伙伴組織合作E(REST輸協(xié)議(HTTPS)在端口4590上交換IODEF/實(shí)時網(wǎng)間防御(RID)數(shù)據(jù)。每個組織的DMZ內(nèi)的特定域名。（）享的更多信息，請參閱第4.3節(jié)。事件響應(yīng)團(tuán)隊(duì)還應(yīng)確保采取必要的措施來保護(hù)其他組織與團(tuán)隊(duì)共享的信息。關(guān)于數(shù)據(jù)共享還需要考慮許多法律問題。更多信息請參見第4.1.2節(jié)。4.1.1享，而技術(shù)信息通常在所有三種類型的協(xié)調(diào)關(guān)系中共享。本節(jié)討論這兩種類型的信息，并提供執(zhí)行精細(xì)信息共享的建議。（7 /nttaa.cfm49計算機(jī)安全事件處理指南向報告組織提供的協(xié)助程度。協(xié)調(diào)團(tuán)隊(duì)還可以使用此信息來做出與特定事件將如何影響他們所代表的社區(qū)中的其他組織相關(guān)的決策。3.2.6然后，協(xié)調(diào)團(tuán)隊(duì)可以與成員組織進(jìn)行額外的溝通，以確定需要多少資源以及根據(jù)提供的有關(guān)事件的技術(shù)信息的資源類型。4.3.2節(jié)中IP地址3.2.2的事件。此外，第3.2.3節(jié)提供了事故指標(biāo)數(shù)據(jù)常見來源的列表。進(jìn)行響應(yīng)?？椆蚕肀M可能多的適當(dāng)信息。當(dāng)技術(shù)指標(biāo)數(shù)據(jù)允許組織識別實(shí)際事件時，它非常有用。然而，并非所有從外部來源收到的指標(biāo)數(shù)據(jù)都與接收該數(shù)據(jù)的組織有關(guān)。在一些50計算機(jī)安全事件處理指南在某些情況下，這些外部數(shù)據(jù)將在接收組織的網(wǎng)絡(luò)內(nèi)產(chǎn)生誤報，并可能導(dǎo)致資源花費(fèi)在不存在的問題上。本節(jié)中提出的處理事件的主要建議總結(jié)如下。在事件發(fā)生之前計劃與外部各方的事件協(xié)調(diào)。外部示例在開始任何協(xié)調(diào)工作之前咨詢法律部門。在討論之前可能需要簽訂合同或其他協(xié)議。在整個事件響應(yīng)生命周期中執(zhí)行事件信息共享。信息共享是實(shí)現(xiàn)跨組織協(xié)調(diào)的關(guān)鍵要素。組織不應(yīng)等到事件完全解決后才與其他人分享事件的詳細(xì)信息。衡。?衡信息共享的好處與共享敏感信息的弊端與其他組織共享盡可能多的適當(dāng)事件信息。（51計算機(jī)安全事件處理指南附錄A事件處理場景48（2.1）（3.1.2）檢測分析：（）（第.3）（.3）（3.2.3）（3.2.4）（3.2.7)（3.2.6）給其他人？（第3.3.1節(jié)）（3.3.1）（.4)（.4）48 NISTSP800?84IT/publications/PubsSPs.html#80084.52計算機(jī)安全事件處理指南（）（.23.4.3）事件后活動：（3.4.1）（3.1.2）（3.1.2）（2.4.3)（2.4.4）每份報告如何制作？您會報告或不報告哪些信息，為什么？（第2.3.2節(jié)）（2.3.2）（3.1.1）（）？（2.4.2）物理位置（現(xiàn)場還是異地）？（第2.4.2節(jié)）)與此同時，該組織的網(wǎng)絡(luò)工作人員響應(yīng)來自Internet邊界路由器的警報，并確定該組織的Internet帶寬正被往返于該組織DNS(UDPDNSIPDNS以下是針對此場景的其他問題：IPDNS)Windows共享中DDoS53計算機(jī)安全事件處理指南在蠕蟲病毒開始傳播幾個小時后，在防病毒簽名可用之前，該組織已經(jīng)遭受了廣泛的感染。以下是針對此場景的其他問題：DDoS事件發(fā)生？（）？(FBI)的電話以下是針對此場景的其他問題：為了泄漏？root以下是針對此場景的其他問題：54計算機(jī)安全事件處理指南（.RAR.RAR.RAR以下是針對此場景的其他問題：.RAR以下是針對此場景的其他問題：使用薪資管理員的用戶ID進(jìn)行遠(yuǎn)程登錄嘗試失敗的次數(shù)異常多？兩周前在計算機(jī)上安裝了擊鍵記錄器？55計算機(jī)安全事件處理指南IPIP以下是針對此場景的其他問題：主持人？IP周六晚上，網(wǎng)絡(luò)入侵檢測軟件記錄了源自監(jiān)視列表IP地址的入站連接。入侵檢測分析師確定正在與組織的VPN服務(wù)器建立連接，并聯(lián)系事件響應(yīng)團(tuán)隊(duì)。該團(tuán)隊(duì)檢查入侵檢測、防火墻和VPN服務(wù)器日志，并識別針對會話進(jìn)行身份驗(yàn)證的用戶ID以及與該用戶ID關(guān)聯(lián)的用戶名稱。以下是針對此場景的其他問題：（ID、N）代理人？IDIPVPN5、假設(shè)用戶安裝了殺毒軟件，并確定木馬已中56計算機(jī)安全事件處理指南周四下午，該組織的物理安全團(tuán)隊(duì)接到IT經(jīng)理的電話，報告稱她的兩名員工剛剛收到針對該組織系統(tǒng)的匿名威脅。根據(jù)調(diào)查，物理安全團(tuán)隊(duì)認(rèn)為應(yīng)認(rèn)真對待威脅，并將威脅通知相應(yīng)的內(nèi)部團(tuán)隊(duì)，包括事件響應(yīng)團(tuán)隊(duì)。以下是針對此場景的其他問題：（IP（正在共享的文件的數(shù)量）？（））？（57PAGEPAGE60錄B 素組織應(yīng)確定為每個事件收集的一組標(biāo)準(zhǔn)的事件相關(guān)數(shù)據(jù)元素。這項(xiàng)工作不僅有助于更有效和一致的事件處理，而且有助于組織滿足適用的（）3.2.5事件報告者和處理者的聯(lián)系信息（?電子郵件地址?電話號碼（期（）現(xiàn)決–事件發(fā)生的實(shí)際位置（例如城市、州）–事件的當(dāng)前狀態(tài)（例如，正在進(jìn)行的攻擊）源（）P–事件描述（例如，如何檢測到事件、發(fā)生了什么）（IP（）–優(yōu)先考慮因素（功能影響、信息影響、可恢復(fù)性等）–緩解因素（例如，被盜的包含敏感數(shù)據(jù)的筆記本電腦使用全盤加密）–執(zhí)行的響應(yīng)操作（例如，關(guān)閉主機(jī)、斷開主機(jī)與網(wǎng)絡(luò)的連接）（事件響應(yīng)的現(xiàn)狀事件概要事件處理行動–所有處理程序采取的操作的日志–所有相關(guān)方的聯(lián)系信息–收集的證據(jù)清單事件處理程序評論事件原因（例如，應(yīng)用程序配置錯誤、主機(jī)未打補(bǔ)丁）事故成本事件的業(yè)務(wù)影響499 （）（100,000））。附錄C術(shù)語表附錄C術(shù)語表出版物中使用的選定術(shù)語定義如下?；€：監(jiān)控資源以確定典型的利用模式，以便檢測到重大偏差。計算機(jī)安全事件：參見“事件”。)或（）。事件：違反計算機(jī)安全策略、可接受的使用策略或標(biāo)準(zhǔn)安全實(shí)踐的行為或即將發(fā)生的威脅。指示器：表明事件可能已經(jīng)發(fā)生或當(dāng)前可能正在發(fā)生的跡象。惡意軟件：成功感染主機(jī)的病毒、蠕蟲、特洛伊木馬或其他基于代碼的惡意實(shí)體。前兆：攻擊者可能準(zhǔn)備引發(fā)事件的跡象。分析：測量預(yù)期活動的特征，以便更容易地識別其變化。簽名：與攻擊相關(guān)的可識別的、有區(qū)別的模式，例如病毒中的二進(jìn)制字符串或用于獲得對系統(tǒng)的未經(jīng)授權(quán)的訪問的一組特定擊鍵。社會工程：試圖誘騙某人泄露可用于攻擊系統(tǒng)或網(wǎng)絡(luò)的信息（例如密碼）。威脅：不良事件的潛在來源。漏洞：系統(tǒng)、應(yīng)用程序或網(wǎng)絡(luò)中容易被利用或?yàn)E用的弱點(diǎn)。附錄D縮略語附錄D縮略語PAGEPAGE61出版物中使用的選定首字母縮略詞定義如下。CCIPS塞里亞斯

計算機(jī)犯罪和知識產(chǎn)權(quán)科信息保障與安全教育與研究中心CERT?/CCCERT?協(xié)調(diào)中心常問問題FISMA高GRSHTTP協(xié)議IDPS紅外IRCISAC它蘋果諒解備忘錄MSSPNTP內(nèi)臟血管病

首席信息官國土安全部域名系統(tǒng)拒絕服務(wù)經(jīng)常問的問題聯(lián)邦調(diào)查局聯(lián)邦信息處理標(biāo)準(zhǔn)事件響應(yīng)和安全團(tuán)隊(duì)論壇聯(lián)邦信息安全管理法總問責(zé)辦公室超文本傳輸協(xié)議互聯(lián)網(wǎng)中繼聊天信息共享與分析中心互聯(lián)網(wǎng)服務(wù)提供商信息技術(shù)信息技術(shù)實(shí)驗(yàn)室媒體訪問控制諒解備忘錄托管安全服務(wù)提供商網(wǎng)絡(luò)地址解讀保密協(xié)議美國國家標(biāo)準(zhǔn)技術(shù)研究院國家軟件參考圖書館管理和預(yù)算辦公室操作系統(tǒng)計算機(jī)安全事件處理指南POC

接觸點(diǎn)REN?ISAC科研教育網(wǎng)絡(luò)信息共享與分析中心RFCRIDSIEMSLASPTCP/IP

請求評論實(shí)時網(wǎng)間防御安全信息和事件管理服務(wù)水?協(xié)議標(biāo)準(zhǔn)操作流程特別刊物傳輸控制協(xié)議傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議TERENA泛歐研究和教育網(wǎng)絡(luò)協(xié)會UDP協(xié)議網(wǎng)址

用戶數(shù)據(jù)報協(xié)議統(tǒng)一資源定位器US?CERT美國計算機(jī)應(yīng)急準(zhǔn)備小組VPN

虛擬專用網(wǎng)絡(luò)62PAGEPAGE64附錄E資源下面的列表提供了可能有助于建立和維護(hù)事件響應(yīng)能力的資源示例。事件響應(yīng)組織組織作組（APWG）(CCIPS)

網(wǎng)址//卡內(nèi)基梅隆大學(xué)CERT?協(xié)調(diào)中心(CERT?/CC)/歐洲網(wǎng)絡(luò)與信息安全局(ENISA)事件響應(yīng)和安全團(tuán)隊(duì)論壇（FIRST）事件響應(yīng)和安全團(tuán)隊(duì)政府論壇（第一）高科技犯罪調(diào)查協(xié)會(HTCIA)英弗加德互聯(lián)網(wǎng)風(fēng)暴中