2018計(jì)算機(jī)安全事件處理指南NIST.SP.800-61r2

修訂版2計(jì)算機(jī)安全美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院的建議計(jì)算機(jī)安全事件處理指南抽象的（IT地處理事件。本出版物提供了事件處理指南，特別是分析事件相關(guān)數(shù)據(jù)并確定對(duì)每個(gè)事件的適當(dāng)響應(yīng)?？梢元?dú)立于特定硬件?臺(tái)、操作系統(tǒng)、協(xié)議或應(yīng)用程序來(lái)遵循這些指南。關(guān)鍵詞計(jì)算機(jī)安全事件；事件處理；事件響應(yīng)；信息安全四號(hào)計(jì)算機(jī)安全事件處理指南目錄要. 11.介. 41.1限. 41.2范圍. 41.3受眾 41.4結(jié)構(gòu) 4力. 6故. 62.2要性. 62.3策劃創(chuàng)建72.3.1政策要素72.3.2計(jì)劃元素82.3.3程序要素82.3.4與外部各方共享信息. 92.4結(jié)構(gòu)132.4.1團(tuán)隊(duì)模型132.4.2團(tuán)隊(duì)模型選擇142.4.3事件響應(yīng)人員162.4.4組織內(nèi)的依賴性. 172.5服務(wù) 182.6建議。 19件. 213.1準(zhǔn)備工作213.1.1準(zhǔn)備處理事件213.1.2預(yù)防事故. 233.2分析253.2.1攻擊向量253.2.2事故跡象263.2.3前體和指示劑的來(lái)源273.2.4事件分析283.2.5事件文檔303.2.6事件優(yōu)先級(jí)323.2.7事件通知. 333.3制恢復(fù)353.3.1略. 353.3.2證據(jù)收集和處理363.3.3識(shí)別攻擊主機(jī)373.3.4根除和恢復(fù) 373.4活動(dòng)383.4.1經(jīng)驗(yàn)教訓(xùn)383.4.2使用收集的事件數(shù)據(jù)393.4.3證據(jù)保留. 41清單. 423.6建議 42享. 45六計(jì)算機(jī)安全事件處理指南4.1調(diào). 454.1.1關(guān)系464.1.2共享協(xié)議和報(bào)告要求。474.2信息共享技術(shù)484.2.1臨時(shí)484.2.2半自動(dòng)化484.2.3安全注意事項(xiàng) 494.3共享494.3.1業(yè)務(wù)影響信息494.3.2技術(shù)信息. 504.4建議 51附錄清單錄A 景. 52A.1題 52A.2場(chǎng)景 53錄B 素. 58B.1素 58B.2元素. 59附錄C術(shù)語(yǔ)表60附錄D縮略語(yǔ) 61錄E源63錄F 問(wèn)題65錄G 步驟. 68錄H志. 69圖列表圖2?1通. 10圖3?1周期. 21圖3?2（析）. 25圖3?3（制恢復(fù)）35圖3?4（動(dòng)）. 38圖4?1調(diào). 46七計(jì)算機(jī)安全事件處理指南表格列表表3?1源. 27表3?2別. 33表3?3別. 33表3?4類別. 33表3?5清單. 42表4?1關(guān)系. 47八計(jì)算機(jī)安全事件處理指南執(zhí)行摘要執(zhí)行摘要（ITIT（（（第2版動(dòng)共享有關(guān)這些攻擊跡象的信息是識(shí)別攻擊的日益有效的方法。實(shí)施以下要求和建議應(yīng)有助于聯(lián)邦部門和機(jī)構(gòu)高效且有效的事件響應(yīng)。(DHS(US?CERT(FISMAUS?CERT建立事件響應(yīng)能力應(yīng)包括以下行動(dòng)：制定事件響應(yīng)政策和計(jì)劃制定執(zhí)行事件處理和報(bào)告的程序（（確定事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)提供哪些服務(wù)1計(jì)算機(jī)安全事件處理指南為事件響應(yīng)團(tuán)隊(duì)配備人員并進(jìn)行培訓(xùn)。組織應(yīng)通過(guò)有效保護(hù)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序來(lái)減少事件發(fā)生的頻率。IT組織應(yīng)記錄與其他組織就事件進(jìn)行互動(dòng)的指南。由于溝通通常需要快速進(jìn)行，組織應(yīng)預(yù)先確定溝通準(zhǔn)則，以便僅與正確的各方共享適當(dāng)?shù)男畔?。組織通常應(yīng)做好處理任何事件的準(zhǔn)備，但應(yīng)重點(diǎn)準(zhǔn)備處理使用常見(jiàn)攻擊媒介的事件。部（或消耗：采用暴力方法來(lái)破壞、降級(jí)或破壞系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的攻擊。b電子郵件：通過(guò)電子郵件或附件執(zhí)行的攻擊。不當(dāng)使用：由于授權(quán)用戶違反組織的可接受的使用政策而導(dǎo)致的任何事件，不包括上述類別。（其他：不屬于任何其他類別的攻擊。2計(jì)算機(jī)安全事件處理指南組織應(yīng)強(qiáng)調(diào)整個(gè)組織中事件檢測(cè)和分析的重要性。在一個(gè)組織中，每天可能會(huì)發(fā)生數(shù)百萬(wàn)個(gè)可能的事件跡象，這些跡象主要通過(guò)日志記錄和計(jì)算機(jī)安全軟和程序，以確保日志和安全軟件收集足夠的信息，并定期審查數(shù)據(jù)。組織應(yīng)制定書(shū)面指南來(lái)確定事件的優(yōu)先級(jí)。（）（）（從事件中恢復(fù)所必須花費(fèi)的資源類型）。組織應(yīng)利用吸取經(jīng)驗(yàn)教訓(xùn)的過(guò)程從事件中獲取價(jià)值。344美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定本文件是為了履行2002年聯(lián)邦信息安全管理法案(FISMA)公法107?347規(guī)定的法定職責(zé)。NIST)0第)0A?130III本指南已準(zhǔn)備好供聯(lián)邦機(jī)構(gòu)使用。非政府組織可以在自愿的基礎(chǔ)上使用它，并且不受版權(quán)保護(hù)，但需要注明歸屬。OMB(CSIRT)(CISO)(CIO)本文檔的其余部分分為以下部分和附錄：第2第3節(jié)回顧了基本的事件處理步驟，并提供了更有效地執(zhí)行事件處理的建議，特別是事件檢測(cè)和分析。第4節(jié)探討了事件響應(yīng)協(xié)調(diào)和信息共享的必要性。計(jì)算機(jī)安全事件處理指南A附錄B提供了為每個(gè)事件收集的建議數(shù)據(jù)字段列表。附錄C和D分別包含術(shù)語(yǔ)表和首字母縮寫(xiě)詞列表。附錄E列出了可用于規(guī)劃和執(zhí)行事件響應(yīng)的資源。附錄F涵蓋有關(guān)事件響應(yīng)的常見(jiàn)問(wèn)題。GH5PAGEPAGE7（C決定和行動(dòng)。首先要考慮的因素之一應(yīng)該是為“事件”一詞創(chuàng)建一個(gè)特定于組織的定義，以便該術(shù)語(yǔ)的范圍清晰。組織應(yīng)決（以及執(zhí)行破壞數(shù)據(jù)的惡意軟件。本指南僅涉及與計(jì)算機(jī)安全相關(guān)的不良事件，而不涉及自然災(zāi)害、電源故障等引起的不良事件。計(jì)算機(jī)安全事件是指違反或即將違反計(jì)算機(jī)安全策略、可接受的使用策略或標(biāo)準(zhǔn)安全實(shí)踐的威脅。事件2的例子有：攻擊者命令僵尸網(wǎng)絡(luò)向Web服務(wù)器發(fā)送大量連接請(qǐng)求，導(dǎo)致它崩潰了。工具已感染他們的計(jì)算機(jī)并與外部主機(jī)建立連接。用戶通過(guò)點(diǎn)對(duì)點(diǎn)文件共享服務(wù)向他人提供或公開(kāi)敏感信息。攻擊經(jīng)常損害個(gè)人和商業(yè)數(shù)據(jù)，當(dāng)發(fā)生安全漏洞時(shí)快速有效地響應(yīng)至關(guān)重要。計(jì)算機(jī)安全事件響應(yīng)的概念已被廣泛接受和實(shí)（）事件導(dǎo)致的信息丟失或被盜以及服務(wù)中斷。事件響應(yīng)的另一個(gè)好處是能夠使用事件處理過(guò)程中獲得的信息來(lái)更好地準(zhǔn)備處理供應(yīng)商，警告他們新的惡意軟件正在互聯(lián)網(wǎng)上迅速傳播。在本文檔的其余部分中，術(shù)語(yǔ)“事件”和“計(jì)算機(jī)安全事件”可以互換。未來(lái)的事件，并為系統(tǒng)和數(shù)據(jù)提供更強(qiáng)有力的保護(hù)。事件響應(yīng)能力還有助于正確處理事件期間可能出現(xiàn)的法律問(wèn)題。OMBA?130

32000年發(fā)布，指導(dǎo)聯(lián)邦機(jī)構(gòu)4FISMA（自2002年起），它要求各機(jī)構(gòu)制定“檢測(cè)、報(bào)告和響應(yīng)安全事件”并建立集中的聯(lián)邦信息安全事件中心，部分目的是：–“為機(jī)構(gòu)信息系統(tǒng)運(yùn)營(yíng)商提供及時(shí)的技術(shù)援助??包括檢測(cè)和處理信息安全事件的指導(dǎo)??–編譯和分析有關(guān)威脅信息安全的事件的信息??)63NIST(SP800?53“BM?07?16年5I本節(jié)討論與事件響應(yīng)相關(guān)的政策、計(jì)劃和程序，重點(diǎn)是與外部各方的互動(dòng)。管理事件響應(yīng)的策略對(duì)于組織來(lái)說(shuō)是高度個(gè)性化的。然而，大多數(shù)政策都包含相同的關(guān)鍵要素：33456/omb/circulars/a130/a130trans4.html/drivers/documents/FISMA?final.pdf/publications/PubsFIPS.html/omb/memoranda/fy2007/m07?16.pdf計(jì)算機(jī)安全事件處理指南政策范圍（適用于誰(shuí)、適用于什么以及在什么情況下適用）計(jì)算機(jī)安全事件及相關(guān)術(shù)語(yǔ)的定義（））事件的優(yōu)先級(jí)或嚴(yán)重性評(píng)級(jí)績(jī)效衡量（如第3.4.2節(jié)所述）報(bào)告和聯(lián)系表格。組織應(yīng)該有一個(gè)正式的、有重點(diǎn)的和協(xié)調(diào)的方法來(lái)響應(yīng)事件，包括一個(gè)事件響應(yīng)計(jì)劃，該計(jì)劃提供了實(shí)施事件響應(yīng)能力的路線圖。每使命戰(zhàn)略和目標(biāo)高級(jí)管理層批準(zhǔn)事件響應(yīng)的組織方法衡量事件響應(yīng)能力及其有效性的指標(biāo)2.4.1節(jié)討論了(SOPSOP8計(jì)算機(jī)安全事件處理指南SOPSOPSOP3(ISP)事件響應(yīng)團(tuán)隊(duì)。以下部分提供了與多種類型的外部各方進(jìn)行通信的指南，如圖2?1所示。雙頭箭頭表示任何一方都可以發(fā)起通信。有關(guān)與外部各方溝通的更多信息，請(qǐng)參閱第4節(jié)，有關(guān)涉及事件響應(yīng)外包商的溝通的討論，請(qǐng)參閱第2.4節(jié)。9PAGEPAGE13圖2?1。與外部各方的溝通聯(lián)系人(POC制定程序，在與媒體討論之前向媒體聯(lián)系人通報(bào)有關(guān)特定事件的問(wèn)題和敏感性。7例如，一個(gè)組織可能希望其公共事務(wù)辦公室和法律部門的成員參與與媒體的所有事件討論。提醒所有員工處理媒體詢問(wèn)的一般程序。在事件處理演習(xí)期間舉行模擬采訪和新聞發(fā)布會(huì)。以下是向媒體聯(lián)系人詢問(wèn)的問(wèn)題示例：–誰(shuí)襲擊了你？為什么？?什么時(shí)候發(fā)生的？它是怎么發(fā)生的？發(fā)生這種情況是因?yàn)槟陌踩胧┹^差嗎做法？–此事件有多廣泛？您正在采取哪些步驟來(lái)確定發(fā)生的情況并防止將來(lái)再次發(fā)生？(PII)？（[FBI）（（）（）。FISMA要求聯(lián)邦機(jī)構(gòu)向美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US?CERT)報(bào)告事件，8這是一個(gè)政府范圍內(nèi)的事件響應(yīng)組織，協(xié)助聯(lián)邦民事機(jī)構(gòu)進(jìn)行事件處理工作。US?CERT不會(huì)取代現(xiàn)有US?CERT88每個(gè)機(jī)構(gòu)必須向US?CERT指定主要和次要POC并報(bào)告所有事件US?CERTUS?CERTUS?CERTCSIRTCSIRTISAC10US?CERTISACISPISPIP地址空間US?CERTISAC（（）(FIRST)11(GFIRST)12(APWG)13事件響應(yīng)團(tuán)隊(duì)，但它們促進(jìn)事件響應(yīng)團(tuán)隊(duì)之間的信息共享。受影響的外部各方。事件可能會(huì)直接影響外部各方?例如，外部組織可能會(huì)聯(lián)系該組織并聲稱該組織的一名用戶正在發(fā)起攻擊9910http://www.us?/federal/reportingRequirements.htmlISAC/ISAC/111213GFIRST專門針對(duì)聯(lián)邦部門和機(jī)構(gòu)。（http://www.us?/federal/gfirst.html）/OMBM?07?16，(PIIPII泄露時(shí)M?07?16PII15。任何發(fā)現(xiàn)或懷疑發(fā)生涉及組織的事件的人都應(yīng)該有一個(gè)事件響應(yīng)團(tuán)隊(duì)。然后，根據(jù)事件的嚴(yán)重程度和人員的可用性，一名或多名團(tuán)隊(duì)成員事件響應(yīng)團(tuán)隊(duì)的可能結(jié)構(gòu)包括以下內(nèi)容：中央事件響應(yīng)小組。單個(gè)事件響應(yīng)團(tuán)隊(duì)負(fù)責(zé)處理整個(gè)組織內(nèi)的事件。此模型對(duì)于小型組織和計(jì)算資源地理多樣性最小的組織非常有效。（（CSIRTCSIRT141415/default.aspx?tabid=13489事件響應(yīng)團(tuán)隊(duì)還可以使用三種人員配置模型中的任何一種：部分外包。該組織將部分事件響應(yīng)工作外包。第2.4.2–最普遍的安排是組織7天、每天24小時(shí)外包(24/7(MSSPMSSP–一些組織在內(nèi)部執(zhí)行基本的事件響應(yīng)工作，并要求承包商協(xié)助處理事件，特別是那些更嚴(yán)重或廣泛的事件。在為事件響應(yīng)團(tuán)隊(duì)選擇適當(dāng)?shù)慕Y(jié)構(gòu)和人員配置模型時(shí)，組織應(yīng)考慮以下因素：需要24/7可用性。大多數(shù)組織需要事件響應(yīng)人員24/7待命。全職與兼職團(tuán)隊(duì)成員。資金、人員或資源有限的組織（IT臺(tái)POC2416 (CSIRTCERT?/CC（/archive/pdf/03hb001.pdf）。計(jì)算機(jī)安全事件處理指南減少團(tuán)隊(duì)成員負(fù)責(zé)執(zhí)行的行政工作量可以顯著提高士氣。成本。成本是一個(gè)主要因素，特別是如果要求員工24/7都在現(xiàn)場(chǎng)的話。組織機(jī)構(gòu)可能無(wú)法將特定于事件響應(yīng)的成本納入預(yù)算，例如足夠的培訓(xùn)資金ITIT員工專業(yè)知識(shí)。事件處理需要多方面的專業(yè)知識(shí)和經(jīng)驗(yàn)MSSP2.4.3成員技能的附加信息。在考慮外包時(shí)，組織應(yīng)牢記以下問(wèn)題：當(dāng)前和未來(lái)的工作質(zhì)量。組織不僅應(yīng)該考慮當(dāng)前的質(zhì)量（）例如，最大限度地減少人員流動(dòng)和倦怠，并為新員工提供可靠的培訓(xùn)計(jì)劃。組織應(yīng)該考慮如何客觀地評(píng)估外包商的工作質(zhì)量。職責(zé)分工。組織通常不愿意授予外包商權(quán)力（Web）支持。向承包商透露的敏感信息。劃分事件響應(yīng)職責(zé)并限制對(duì)敏感信息的訪問(wèn)可以限制這種情況。例如，承包商可以確定在事件中使用了什么用戶ID（D)缺乏組織特定的知識(shí)。準(zhǔn)確分析事件并確定優(yōu)先級(jí)IT15計(jì)算機(jī)安全事件處理指南缺乏相關(guān)性。多個(gè)數(shù)據(jù)源之間的關(guān)聯(lián)性非常重要。如果入侵性、技術(shù)含義和影響。務(wù)，包括充當(dāng)與高層管理人員以及其他團(tuán)隊(duì)和組織的聯(lián)絡(luò)人，化解危機(jī)情況，并確保團(tuán)隊(duì)擁有必要的人員、資源和事件響應(yīng)團(tuán)隊(duì)的成員應(yīng)具有出色的技術(shù)技能，例如系統(tǒng)管理、網(wǎng)絡(luò)管理、編程、技術(shù)支持或入侵檢測(cè)。每個(gè)（）（（通過(guò)提供學(xué)習(xí)和成長(zhǎng)的機(jī)會(huì)來(lái)抵消員工的倦怠非常重要。建立和維持技能的建議如下：16計(jì)算機(jī)安全事件處理指南（（）?？紤]讓工作人員輪流進(jìn)出事件響應(yīng)團(tuán)隊(duì)，并參與（（）。制定事件處理場(chǎng)景并讓團(tuán)隊(duì)成員討論如何處理這些場(chǎng)景。附錄A包含一組場(chǎng)景和場(chǎng)景討論期間要使用的問(wèn)題列表。OMB(GAO（（）。ITIT（計(jì)算機(jī)安全事件處理指南(MOU公共事務(wù)和媒體關(guān)系。根據(jù)事件的性質(zhì)和影響，可能需要其存在的目的是告知媒體，進(jìn)而告知公眾。業(yè)務(wù)連續(xù)性規(guī)劃。組織應(yīng)確保事件響應(yīng)政策和（咨詢分發(fā)。團(tuán)隊(duì)可以在組織內(nèi)發(fā)布有關(guān)新產(chǎn)品的建議18(NVDXMLRSS（）應(yīng)分發(fā)計(jì)算機(jī)安全建議，以避免重復(fù)工作和信息沖突。教育和意識(shí)。教育和意識(shí)是資源倍增器用戶和技術(shù)人員對(duì)檢測(cè)、報(bào)告和響應(yīng)事件了解得越多，資源消耗就越少

IDPSNISTSP800?94(IDPS/publications/PubsSPs.html#800?9418 /18計(jì)算機(jī)安全事件處理指南ISAC本節(jié)提出的有關(guān)組織計(jì)算機(jī)安全事件處理能力的主要建議總結(jié)如下。FISMA應(yīng)對(duì)事件處理人員進(jìn)行培訓(xùn)和要求。制定有關(guān)事件相關(guān)信息共享的政策和程序。這（US?CERTUS?CERT和ISACUS?CERT和ISAC選擇事件響應(yīng)團(tuán)隊(duì)模型時(shí)請(qǐng)考慮相關(guān)因素。組織機(jī)構(gòu)應(yīng)根據(jù)組織的需求和可用資源仔細(xì)權(quán)衡每種可能的團(tuán)隊(duì)結(jié)構(gòu)模型和人員配置模型的優(yōu)缺點(diǎn)。為事件響應(yīng)團(tuán)隊(duì)選擇具有適當(dāng)技能的人員。信譽(yù)度和19計(jì)算機(jī)安全事件處理指南還需要有效的事件處理。應(yīng)向所有團(tuán)隊(duì)成員提供必要的培訓(xùn)。確定組織內(nèi)可能需要參與事件處理的其他小組。每個(gè)事件響應(yīng)團(tuán)隊(duì)都依賴其他團(tuán)隊(duì)的專業(yè)知識(shí)、判斷和能力，包括管理、信息保證、IT支持、法律、公共事務(wù)和設(shè)施管理。20PAGEPAGE253.處理事件3.處理事件圖3?1圖3?1。事件響應(yīng)生命周期備 備件事件響應(yīng)計(jì)劃。本節(jié)提供有關(guān)準(zhǔn)備處理事件和預(yù)防事件的基本建議。（事件處理者通訊和設(shè)施：（（組織內(nèi)其他團(tuán)隊(duì)的待命信息，包括升級(jí)信息問(wèn)題跟蹤系統(tǒng)，用于跟蹤事件信息、狀態(tài)等。團(tuán)隊(duì)成員攜帶智能手機(jī)以獲取非工作時(shí)間支持和現(xiàn)場(chǎng)通信用于團(tuán)隊(duì)成員之間、組織內(nèi)部以及與外部各方的通信的加密軟件；對(duì)于聯(lián)邦機(jī)構(gòu)，軟件必須使用經(jīng)過(guò)FIPS驗(yàn)證的加密算法20中央溝通和協(xié)調(diào)的作戰(zhàn)室；如果永久性作戰(zhàn)室沒(méi)有必要或不切實(shí)際，團(tuán)隊(duì)?wèi)?yīng)制定一個(gè)程序，在需要時(shí)采購(gòu)臨時(shí)作戰(zhàn)室用于保護(hù)證據(jù)和其他敏感材料的安全存儲(chǔ)設(shè)施事件分析硬件和軟件：和用于分析數(shù)據(jù)、嗅探數(shù)據(jù)包和撰寫(xiě)報(bào)告等活動(dòng)的筆記本電腦備用工作站、服務(wù)器和網(wǎng)絡(luò)設(shè)備或虛擬化同等設(shè)備，可用于多種目的，例如恢復(fù)備份和嘗試惡意軟件空白可移動(dòng)媒體用于分析磁盤(pán)映像的數(shù)字取證軟件帶有可信程序版本的可移動(dòng)介質(zhì)，用于從系統(tǒng)收集證據(jù)證據(jù)收集配件，包括精裝筆記本、數(shù)碼相機(jī)、錄音機(jī)、監(jiān)管鏈表格、證據(jù)存儲(chǔ)袋和標(biāo)簽以及證據(jù)磁帶，以保存可能采取的法律行動(dòng)的證據(jù)0 S21 事件分析資源：端口列表，包括常用端口和木馬端口訪問(wèn)?凈操作系統(tǒng)和應(yīng)用程序安裝的映像以進(jìn)行恢復(fù)和恢復(fù)目的（）（）算設(shè)備，用于編寫(xiě)報(bào)告、閱讀電子郵件以及執(zhí)行與實(shí)際事件分析無(wú)關(guān)的其他職責(zé)。NISTSP800?84A。（）。提供有關(guān)保護(hù)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序安全的具體建議超出了本文檔的范圍。盡管事件響應(yīng)團(tuán)隊(duì)通常不負(fù)責(zé)保護(hù)資22 (NSRL/23 IT/publications/PubsSPs.html#800?84

24不過(guò)，以下文字簡(jiǎn)要概述了保護(hù)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程風(fēng)險(xiǎn)評(píng)估。系統(tǒng)和應(yīng)用程序的定期風(fēng)險(xiǎn)評(píng)估應(yīng)確定哪些內(nèi)容?。定期進(jìn)行風(fēng)險(xiǎn)評(píng)估的另一個(gè)好處是確定關(guān)鍵資源，使工作人員能夠重點(diǎn)關(guān)注這些資源的監(jiān)測(cè)和響應(yīng)活動(dòng)。26(SCAP)2829網(wǎng)絡(luò)安全。網(wǎng)絡(luò)邊界應(yīng)配置為拒絕所有不屬于網(wǎng)絡(luò)邊界的活動(dòng)。明確允許。這包括保護(hù)所有連接點(diǎn)，例如虛擬專用網(wǎng)絡(luò)(VPN)和與其他組織的專用連接。惡意軟件預(yù)防。應(yīng)在整個(gè)系統(tǒng)中部署檢測(cè)和阻止惡意軟件的軟件（）（（IT員工應(yīng)該接受培訓(xùn)，以便他們能夠根據(jù)組織的安全標(biāo)準(zhǔn)維護(hù)其網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序。24 /publications/PubsSPs.htmlNIST5 TP0PubsSPs.html#800?30?Rev1。6 S9（7 TPPubsSPs.html#800?137)。8 PTP7)2publications/PubsSPs.html#800?117）。29 NIST/30 NISTSP(/publications/PubsSPs.html#800?83)。圖3?2。事件響應(yīng)生命周期（檢測(cè)和分析）了常見(jiàn)的攻擊方法，可以用作定義更具體的處理程序的基礎(chǔ)。外部/可移動(dòng)媒體：從可移動(dòng)媒體或外圍設(shè)備執(zhí)行的攻擊，例如，惡意代碼從受感染的USB閃存驅(qū)動(dòng)器傳播到系統(tǒng)。（DDoSCAPTCHAS）。b用于竊取憑據(jù)或重定向到利用瀏覽器漏洞并安裝惡意軟件的站點(diǎn)的腳本攻擊。電子郵件：通過(guò)電子郵件或附件執(zhí)行的攻擊，例如，偽裝成電子郵件正文中的附件文檔或惡意網(wǎng)站鏈接的漏洞利用代碼。冒充：涉及用惡意內(nèi)容替換良性內(nèi)容的攻擊例如，欺騙、中間人攻擊、流氓無(wú)線接入點(diǎn)和SQL注入攻擊都涉及假冒。不當(dāng)使用：因違反組織可接受的使用而導(dǎo)致的任何事件授權(quán)用戶制定的政策，不包括上述類別；例如，用戶安裝文件共享軟件，導(dǎo)致敏感數(shù)據(jù)丟失；或者用戶在系統(tǒng)上執(zhí)行非法活動(dòng)。（其他：不屬于任何其他類別的攻擊。NISTSP800?83。IDPS（3.2.4）深入、專業(yè)的技術(shù)知識(shí)和豐富的經(jīng)驗(yàn)對(duì)于正確有效地分析事件相關(guān)數(shù)據(jù)是必要的。事件的跡象分為兩類之一：前兆和指標(biāo)。前兆是未來(lái)可能發(fā)生事件的跡象。指示器是事件可能已經(jīng)發(fā)生或可能正在發(fā)生的跡象。顯示漏洞掃描器使用情況的Web服務(wù)器日志條目發(fā)布了針對(duì)組織郵件服務(wù)器漏洞的新漏洞利用來(lái)自某個(gè)團(tuán)體的威脅，聲稱該團(tuán)體將攻擊該組織。雖然先兆相對(duì)較少，但指標(biāo)卻很常見(jiàn)。指標(biāo)類型太多，無(wú)法一一列舉，但下面列出了一些示例：當(dāng)數(shù)據(jù)庫(kù)發(fā)生緩沖區(qū)溢出嘗試時(shí)，網(wǎng)絡(luò)入侵檢測(cè)傳感器會(huì)發(fā)出警報(bào)服務(wù)器。防病毒軟件在檢測(cè)到主機(jī)感染惡意軟件時(shí)發(fā)出警報(bào)。26PAGEPAGE31應(yīng)用程序記錄來(lái)自不熟悉的遠(yuǎn)程系統(tǒng)的多次失敗登錄嘗試。電子郵件管理員看到大量包含可疑內(nèi)容的退回電子郵件。網(wǎng)絡(luò)管理員注意到與典型網(wǎng)絡(luò)流量的異常偏差。3?2表3?1。前體和指示劑的常見(jiàn)來(lái)源源 述警報(bào)IDPS

IDPSIP（）IDPSIDPSIDPS31SIEM

安全信息和事件管理(SIEM)產(chǎn)品與IDPS產(chǎn)品類似，但它們根據(jù)日志數(shù)據(jù)分析生成警報(bào)（見(jiàn)下文）。件軟件

防病毒軟件檢測(cè)各種形式的惡意軟件、生成警報(bào)并阻止惡意軟件來(lái)自感染宿主。如果簽名保持最新，當(dāng)前的防病毒產(chǎn)品可以有效阻止許多惡意軟件實(shí)例。反垃圾郵件軟件用于檢測(cè)垃圾郵件并防第三方監(jiān)控服務(wù)

第三方提供各種基于訂閱的免費(fèi)監(jiān)控服務(wù)。一個(gè)例子是IP

日志（信息進(jìn)行分析。根據(jù)事件信息，可以生成警報(bào)來(lái)指示事件。3.2.4節(jié)討論了集中式日志記錄的價(jià)值。網(wǎng)絡(luò)設(shè)備日志

（31有關(guān)IDPS產(chǎn)品的更多信息，請(qǐng)參閱NISTSP800?94《入侵檢測(cè)和防御系統(tǒng)指南》?？稍?publications/PubsSPs.html#800?94上獲取。源 述網(wǎng)絡(luò)流網(wǎng)絡(luò)流是主機(jī)之間發(fā)生的特定通信會(huì)話。路由器和NetFlowsFlowIPFIX。有關(guān)信息新的

公開(kāi)信息(NVDCERT?/CC

人們發(fā)現(xiàn)沖突數(shù)據(jù)時(shí)。人組織

應(yīng)認(rèn)真對(duì)待來(lái)自外部的事件報(bào)告。例如，一方可能會(huì)聯(lián)系該組織，聲稱該組織的系統(tǒng)正在攻擊其系統(tǒng)。外部用戶還可能報(bào)告其地址，配置為將消息轉(zhuǎn)發(fā)到幫助臺(tái)。（（（12Internet的原因是什么。有些事件很容易檢測(cè)到，例如明顯被損壞的網(wǎng)頁(yè)。然而，很多事件都是32 /33 http://www.us?/cas/signup.html事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)快速分析和驗(yàn)證每個(gè)事件，遵循預(yù)定義的流程并記錄所采取的每個(gè)步驟。當(dāng)團(tuán)隊(duì)認(rèn)為發(fā)生了事件時(shí)，團(tuán)隊(duì)?wèi)?yīng)快速進(jìn)行初步（）。初步分析應(yīng)為團(tuán)隊(duì)提供足夠的信息來(lái)確定后續(xù)活動(dòng)的優(yōu)先順序，例如遏制事件和對(duì)事件影響進(jìn)行更深入的分析。執(zhí)行初始分析和驗(yàn)證具有挑戰(zhàn)性。以下是使事件分析更容易、更有效的建議：?了解正常行為。事件響應(yīng)團(tuán)隊(duì)成員應(yīng)該研究網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序，以了解他們的正常行為是什么，以便能夠及時(shí)發(fā)現(xiàn)異常行為更容易被識(shí)別。沒(méi)有哪個(gè)事件處理程序能夠全面了解整個(gè)環(huán)境中的所有行為，但處理程序應(yīng)該知道哪些專家可以填補(bǔ)空白。獲取這些師應(yīng)該能夠注意到隨著時(shí)間的推移的趨勢(shì)和變化。這些評(píng)論還為分析師提供了每個(gè)來(lái)源的可靠性的指示。IDPSNISTSP800?9234執(zhí)行事件關(guān)聯(lián)。事件的證據(jù)可以在多個(gè)日志中捕獲，每個(gè)日志?IPIDPS消息來(lái)源對(duì)于驗(yàn)證特定事件是否發(fā)生非常寶貴。3434/publications/PubsSPs.html#800?92保持所有主機(jī)時(shí)鐘同步。網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)等協(xié)議12:07:0112:07:0112:10:35和11:07:06。IDPS使用互聯(lián)網(wǎng)搜索引擎進(jìn)行研究?；ヂ?lián)網(wǎng)搜索引擎可以幫助分析師找到TCP端口22912“TCP”（例如（）非常重要，這樣才能完全遏制事件并減輕被利用的漏洞，從而防止類似事件發(fā)生。35NTP35NTP/。37 （）。錄事件，而另一個(gè)人則執(zhí)行技術(shù)任務(wù)。第3.3.2節(jié)介紹了有關(guān)證據(jù)的更多信息。39（事件的當(dāng)前狀態(tài)（新事件、正在進(jìn)行中、轉(zhuǎn)發(fā)調(diào)查、已解決等）事件概要與事件相關(guān)的指標(biāo)與本次事件相關(guān)的其他事件所有事件處理者對(duì)此事件采取的行動(dòng)監(jiān)管鏈（如果適用）與事件相關(guān)的影響評(píng)估（（）41事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)保護(hù)事件數(shù)據(jù)并限制對(duì)其的訪問(wèn)，因?yàn)樗ǔ０舾行畔?，例如，有關(guān)被利用的漏洞、最近的安全漏洞以及可能（38在使用設(shè)備之前，請(qǐng)考慮設(shè)備收集的證據(jù)的可接受性。例如，任何作為潛在證據(jù)來(lái)源的設(shè)備本身都不應(yīng)該被用來(lái)記錄其他證據(jù)。39NISTSP800?86《將取證技術(shù)集成到事件響應(yīng)中的指南》提供了有關(guān)建立取證能力的詳細(xì)信息，包括政策和程序的制定。40B?C)該文檔可在/archive/pdf/03tr001.pdf上獲取。41(TERENARFC3067TERENA(/rfc/rfc3067.txt)IETF（(/ietf/inch/inch.html)TERENA工作的CC計(jì)算機(jī)安全事件處理指南IT事件的信息影響。事件可能會(huì)影響機(jī)密性、完整性和組織信息的可用性。例如，惡意代理可能會(huì)泄露敏感信息（）結(jié)合對(duì)組織系統(tǒng)的功能影響和對(duì)組織信息的影響來(lái)確定事件的業(yè)務(wù)影響?例如，針對(duì)公共Web服務(wù)器的分布式拒絕服務(wù)攻Web(PII)對(duì)事件造成的業(yè)務(wù)影響的估計(jì)以及從事件中恢復(fù)所需的估計(jì)工作，確定對(duì)每個(gè)事件的響應(yīng)的優(yōu)先級(jí)。由于其態(tài)勢(shì)感知能力，組織可以最好地量化其自身事件的影響。表3?2提供了組織可用于對(duì)其自身事件進(jìn)行評(píng)級(jí)的功能影響類別的示例。對(duì)事件進(jìn)行評(píng)級(jí)有助于確定有限資源的優(yōu)先級(jí)。32計(jì)算機(jī)安全事件處理指南類別沒(méi)有任何類別沒(méi)有任何定義低的不會(huì)影響組織向所有用戶提供所有服務(wù)的能力中型組織失去了向系統(tǒng)用戶子集提供關(guān)鍵服務(wù)的能力的 務(wù)表3?3不相互排斥，組織可以選擇多個(gè)類別。表3?3類別定義沒(méi)有任何隱私違反沒(méi)有信息被泄露、更改、刪除或以其他方式泄露(PII)。所有權(quán)違反(PCII)、正直損失表3?4表3?4類別常規(guī)的補(bǔ)充擴(kuò)展定義（）當(dāng)團(tuán)隊(duì)未在指定時(shí)間內(nèi)對(duì)事件做出響應(yīng)時(shí)，組織還應(yīng)針對(duì)這些情況建立升級(jí)流程。發(fā)生這種情況的原因有很多：例如，手機(jī)可（也許15分鐘33計(jì)算機(jī)安全事件處理指南（）首席信息官信息安全主管當(dāng)?shù)匦畔踩賳T組織內(nèi)的其他事件響應(yīng)團(tuán)隊(duì)外部事件響應(yīng)團(tuán)隊(duì)（如果適用）系統(tǒng)所有者（）（）（）US?CERT（代表聯(lián)邦政府運(yùn)營(yíng)的聯(lián)邦機(jī)構(gòu)和系統(tǒng)需要；參見(jiàn)第節(jié)）執(zhí)法（如果適用）（（）電子郵件（親自出席（例如每日簡(jiǎn)報(bào)）（）紙張（例如，在布告欄和門上張貼通知，在所有入口處分發(fā)通知）。34PAGEPAGE36圖3?3。事件響應(yīng)生命周期（遏制、根除和恢復(fù)）遏制措施為制定量身定制的補(bǔ)救策略提供了時(shí)間。遏制的一個(gè)重要部分是決策（例如，關(guān)閉系統(tǒng)、斷）遏制策略根據(jù)事件類型而有所不同。例如，遏制電子郵件傳播的惡意軟件感染的策略與基于網(wǎng)絡(luò)的DDoS攻資源的潛在損壞和盜竊證據(jù)保全的需要（）策略的有效性（例如，部分遏制、完全遏制）解決方案的持續(xù)時(shí)間（例如，四小時(shí)內(nèi)移除的緊急解決方案、臨時(shí)解決方案解決方法將在兩周內(nèi)刪除，永久解決方案）。（）關(guān)于遏制的另一個(gè)潛在問(wèn)題是，某些攻擊在被遏制后可能會(huì)造成額外的損害。例如，受感染的主機(jī)可能會(huì)運(yùn)行定期對(duì)另一臺(tái)主機(jī)執(zhí)行pingping損壞。（（(MACIP）（）從計(jì)算資源收集證據(jù)提出了一些挑戰(zhàn)。一旦懷疑可能發(fā)生事件，通常希望從感興趣的系統(tǒng)獲取證據(jù)。NISTSP800?8642 NISTSP800?86PC/publications/PubsSPs.html#800?8643 44 (CCIPShttp:///ssmanual/index.html計(jì)算機(jī)安全事件處理指南?響。以下各項(xiàng)描述了攻擊主機(jī)識(shí)別的最常執(zhí)行的活動(dòng)：驗(yàn)證攻擊主機(jī)的IP地址。新的事件處理程序通常專注于攻擊pingIPInternet使用事件數(shù)據(jù)庫(kù)。多個(gè)小組收集并整合來(lái)自各個(gè)方面的事件數(shù)據(jù)組織進(jìn)入事件數(shù)據(jù)庫(kù)。這種信息共享可以多種形式進(jìn)行，例如跟蹤器和實(shí)時(shí)黑名單。組織還可以檢查自己的知識(shí)庫(kù)或問(wèn)題相關(guān)活動(dòng)的跟蹤系統(tǒng)。監(jiān)控可能的攻擊者通信渠道。事件處理程序可以監(jiān)控IRCIRC頻道（?（資源被成功攻擊，它通常會(huì)再次受到攻擊，或者組織內(nèi)的其他資源以類似的方式受到攻擊方式。根除和恢復(fù)應(yīng)分階段進(jìn)行，以便優(yōu)先采取補(bǔ)救措施。（（37PAGEPAGE39由于根除和恢復(fù)操作通常是特定于操作系統(tǒng)或應(yīng)用程序的，因此有關(guān)它們的詳細(xì)建議和建議超出了本文檔的范圍。圖3?4。事件響應(yīng)生命周期（事件后活動(dòng)）事件響應(yīng)最重要的部分之一也是最常被忽視的：學(xué)習(xí)和改進(jìn)。每個(gè)事件響應(yīng)團(tuán)隊(duì)都應(yīng)該不斷發(fā)展，以反映新的威脅、改進(jìn)的技術(shù)和吸到底發(fā)生了什么、在什么時(shí)間發(fā)生的？員工和管理層在處理該事件方面表現(xiàn)如何？是否遵循了書(shū)面程序？它們足夠嗎？更早需要什么信息？是否采取了任何可能阻礙復(fù)蘇的步驟或行動(dòng)？哪些糾正措施可以防止將來(lái)發(fā)生類似事件？未來(lái)應(yīng)關(guān)注哪些先兆或指標(biāo)以發(fā)現(xiàn)類似事件？需要哪些額外的工具或資源來(lái)檢測(cè)、分析和緩解未來(lái)的事件？也是明智的。（法出席會(huì)議的各方也很重要。更新事件響應(yīng)政策和程序是吸取經(jīng)驗(yàn)教訓(xùn)的另一個(gè)重要部分。對(duì)事件處理方式的事后分析通常會(huì)發(fā)現(xiàn)程（訴活動(dòng)的基礎(chǔ)。后續(xù)報(bào)告應(yīng)按照記錄保留政策的規(guī)定保存一段時(shí)間。45經(jīng)驗(yàn)教訓(xùn)活動(dòng)應(yīng)產(chǎn)生一組有關(guān)每個(gè)事件的客觀和主觀數(shù)據(jù)。隨著時(shí)間的推移，收集到的事件數(shù)據(jù)應(yīng)該在多種方面發(fā)揮作用。這些數(shù)據(jù)，特別是參與的總時(shí)間和成本，可用（（）。此外，需要報(bào)告事件信息的組織需要收集5 )（3年GRS24/records?mgmt/grs/grs24.html。必要的數(shù)據(jù)來(lái)滿足他們的要求。有關(guān)與其他組織共享事件數(shù)據(jù)的更多信息，請(qǐng)參閱第4節(jié)。組織應(yīng)該專注于收集可操作的數(shù)據(jù)，而不是僅僅因?yàn)閿?shù)據(jù)可用而收集數(shù)據(jù)。例如，計(jì)算每周發(fā)生的前體端口掃描數(shù)量并在年底生（（）。每次事件的時(shí)間。對(duì)于每個(gè)事件，可以通過(guò)多種方式測(cè)量時(shí)間：–處理該事件所花費(fèi)的勞動(dòng)力總量（–事件響應(yīng)團(tuán)隊(duì)花了多長(zhǎng)時(shí)間來(lái)響應(yīng)事件的初步報(bào)告（對(duì)每個(gè)事件進(jìn)行客觀評(píng)估?？梢苑治鰧?duì)已解決事件的響應(yīng)以確定其有效性。以下是對(duì)事件進(jìn)行客觀評(píng)估的示例：–審查日志、表格、報(bào)告和其他事件文檔，以確保遵守既定的事件響應(yīng)政策和程序–在事件被發(fā)現(xiàn)之前確定事件是否造成損害46 （（同的標(biāo)準(zhǔn)作為端口掃描。計(jì)算機(jī)安全事件處理指南–確定該事件是否是先前事件的重復(fù)發(fā)生–計(jì)算事件造成的估計(jì)金錢損失（例如，信息和關(guān)鍵損失）業(yè)務(wù)流程受到該事件的負(fù)面影響）–衡量初始影響評(píng)估和最終影響評(píng)估之間的差異（參見(jiàn)第3.2.6節(jié)）（團(tuán)隊(duì)模式和結(jié)構(gòu)事件處理人員培訓(xùn)和教育事件文件和報(bào)告本節(jié)前面討論的成功衡量標(biāo)準(zhǔn)。組織應(yīng)制定政策，規(guī)定事件證據(jù)應(yīng)保留多長(zhǎng)時(shí)間。大多數(shù)組織選擇在事件結(jié)束后數(shù)月或數(shù)年保留所有證據(jù)。制定政策時(shí)應(yīng)考慮以下因素：數(shù)據(jù)保留。大多數(shù)組織都有數(shù)據(jù)保留策略，規(guī)定某些類型的數(shù)據(jù)可以保留多長(zhǎng)時(shí)間。例如，組織可能規(guī)定電子郵件應(yīng)僅保留180天。如果磁盤(pán)映像包含數(shù)千封電子郵件，則組織可能不希望映像保留超過(guò)180天，除非絕對(duì)必要。如第3.4.2節(jié)中所述，一般記錄表(GRS)24規(guī)定事故處理記錄應(yīng)保存三年。41計(jì)算機(jī)安全事件處理指南（表3?5（驟1.2或1.3行動(dòng)完全的行動(dòng)完全的1.31.4分析前兆和指標(biāo)尋找相關(guān)信息進(jìn)行研究（例如搜索引擎、知識(shí)庫(kù)）2.（.8.9.創(chuàng)建后續(xù)報(bào)告（）6.1識(shí)別并緩解所有被利用的漏洞6.2刪除惡意軟件、不適當(dāng)?shù)牟牧虾推渌M件6.3（）（1.1（5（67.從事件中恢復(fù)7.1將受影響的系統(tǒng)恢復(fù)到操作就緒狀態(tài)7.2確認(rèn)受影響的系統(tǒng)正常運(yùn)行7.3如有必要，實(shí)施額外的監(jiān)控以尋找未來(lái)的相關(guān)活動(dòng)本節(jié)中提出的處理事件的主要建議總結(jié)如下。42計(jì)算機(jī)安全事件處理指南示例包括聯(lián)系人列表、加密軟件、網(wǎng)絡(luò)圖、備份設(shè)備、數(shù)字取證軟件和端口列表。IT對(duì)安全策略和程序的認(rèn)識(shí)也非常重要。通過(guò)多種安全類型生成的警報(bào)來(lái)識(shí)別先兆和指標(biāo)戶以及執(zhí)行了哪些操作等信息。分析網(wǎng)絡(luò)和系統(tǒng)。分析衡量預(yù)期活動(dòng)水?的特征，以便知識(shí)。創(chuàng)建日志保留策略。有關(guān)事件的信息可能會(huì)記錄在多個(gè)位置。維護(hù)和使用信息知識(shí)庫(kù)。處理者需要參考信息43計(jì)算機(jī)安全事件處理指南一旦團(tuán)隊(duì)?wèi)岩砂l(fā)生了事件，就開(kāi)始記錄所有信息。系統(tǒng)化且不易出錯(cuò)的問(wèn)題處理。保護(hù)事件數(shù)據(jù)。它通常包含有關(guān)以下內(nèi)容的敏感信息：當(dāng)團(tuán)隊(duì)未在指定時(shí)間內(nèi)對(duì)事件做出響應(yīng)時(shí)，組織還應(yīng)針對(duì)這些情況建立升級(jí)流程。將有關(guān)事件報(bào)告的規(guī)定納入組織的事件響應(yīng)政策中。CIO擁有者。制定遏制事件的策略和程序。遏制事件很重要遵循既定的證據(jù)收集和處理程序。團(tuán)隊(duì)?wèi)?yīng)該明確從受信任的媒體運(yùn)行精心選擇的命令可以收集必要的信息，而不會(huì)損壞系統(tǒng)的證據(jù)。行分析要安全得多，因?yàn)榉治隹赡軙?huì)無(wú)意中改變?cè)枷到y(tǒng)。44PAGEPAGE474.協(xié)調(diào)和信息共享4.協(xié)調(diào)和信息共享事件信息共享通常是互惠互利的，因?yàn)橄嗤耐{和攻擊通常會(huì)同時(shí)影響多個(gè)組織。如第2節(jié)所述，與合作伙伴組織協(xié)調(diào)和共享信息可以增強(qiáng)組織有效響應(yīng)IT事件的能力。例如，如果一個(gè)組織識(shí)別出其網(wǎng)絡(luò)上的某與孤立運(yùn)作的組織相比，組織能夠更快、更有效地響應(yīng)事件。能力來(lái)執(zhí)行惡意軟件分析的第三方資源。文件的這一部分強(qiáng)調(diào)了協(xié)調(diào)和信息共享。4.1節(jié)概述了事件響應(yīng)協(xié)調(diào)，并重點(diǎn)關(guān)注跨組織協(xié)調(diào)的需求，以補(bǔ)充組織事件響應(yīng)流程。第4.2節(jié)討論了跨組織信息共享的技術(shù)，第4.3節(jié)研究了如何限制與其他組織共享或不共享的信息。2.3.44?1協(xié)調(diào)在整個(gè)生命周期中的價(jià)值。圖4?1。事件響應(yīng)協(xié)調(diào)組織內(nèi)的事件響應(yīng)團(tuán)隊(duì)可以參與不同類型的協(xié)調(diào)安排，具體取決于與之協(xié)調(diào)的組織類型。例如，負(fù)責(zé)事件ISAC功響應(yīng)事件。表4?1提供了與外部組織協(xié)作時(shí)可能存在的協(xié)調(diào)關(guān)系的一些示例。表4?1。協(xié)調(diào)關(guān)系類別類別定義信息共享（例如）（）團(tuán)隊(duì)到協(xié)調(diào)團(tuán)隊(duì)（如T或系型 脅息信告及 息里。期望協(xié)調(diào)小組向參與的成員組織傳播及時(shí)和有用的信息。隊(duì)US?CERTISAC組織可能會(huì)發(fā)現(xiàn)建立協(xié)調(diào)所需的關(guān)系具有挑戰(zhàn)性。開(kāi)始建立社區(qū)的好地方包括組織所屬的行業(yè)部門和組織運(yùn)營(yíng)的地理（嘗試與外部組織共享信息的組織應(yīng)在開(kāi)始任何協(xié)調(diào)工作之前咨詢其法律部門。在討論之前可能需要簽訂合同或其CIRT計(jì)算機(jī)安全事件處理指南信息共享是實(shí)現(xiàn)跨組織協(xié)調(diào)的關(guān)鍵要素。即使是最小的組織也需要能夠與同行和合作伙伴共享事件信息，以便有效地處理許多事件。組織.3臨時(shí)信息共享方法在傳達(dá)什么信息以及如何進(jìn)行通信方面也基本上沒(méi)有標(biāo)準(zhǔn)化。由于缺乏標(biāo)準(zhǔn)化，它們往往需要手動(dòng)?預(yù)，并衡覆蓋以人為本的流程來(lái)管理信息流。48計(jì)算機(jī)安全事件處理指南分享。47在決定數(shù)據(jù)交換時(shí)，組織應(yīng)與其合作伙伴組織合作E(REST輸協(xié)議(HTTPS)在端口4590上交換IODEF/實(shí)時(shí)網(wǎng)間防御(RID)數(shù)據(jù)。每個(gè)組織的DMZ內(nèi)的特定域名。（）享的更多信息，請(qǐng)參閱第4.3節(jié)。事件響應(yīng)團(tuán)隊(duì)還應(yīng)確保采取必要的措施來(lái)保護(hù)其他組織與團(tuán)隊(duì)共享的信息。關(guān)于數(shù)據(jù)共享還需要考慮許多法律問(wèn)題。更多信息請(qǐng)參見(jiàn)第4.1.2節(jié)。4.1.1享，而技術(shù)信息通常在所有三種類型的協(xié)調(diào)關(guān)系中共享。本節(jié)討論這兩種類型的信息，并提供執(zhí)行精細(xì)信息共享的建議。（7 /nttaa.cfm49計(jì)算機(jī)安全事件處理指南向報(bào)告組織提供的協(xié)助程度。協(xié)調(diào)團(tuán)隊(duì)還可以使用此信息來(lái)做出與特定事件將如何影響他們所代表的社區(qū)中的其他組織相關(guān)的決策。3.2.6然后，協(xié)調(diào)團(tuán)隊(duì)可以與成員組織進(jìn)行額外的溝通，以確定需要多少資源以及根據(jù)提供的有關(guān)事件的技術(shù)信息的資源類型。4.3.2節(jié)中IP地址3.2.2的事件。此外，第3.2.3節(jié)提供了事故指標(biāo)數(shù)據(jù)常見(jiàn)來(lái)源的列表。進(jìn)行響應(yīng)?？椆蚕肀M可能多的適當(dāng)信息。當(dāng)技術(shù)指標(biāo)數(shù)據(jù)允許組織識(shí)別實(shí)際事件時(shí)，它非常有用。然而，并非所有從外部來(lái)源收到的指標(biāo)數(shù)據(jù)都與接收該數(shù)據(jù)的組織有關(guān)。在一些50計(jì)算機(jī)安全事件處理指南在某些情況下，這些外部數(shù)據(jù)將在接收組織的網(wǎng)絡(luò)內(nèi)產(chǎn)生誤報(bào)，并可能導(dǎo)致資源花費(fèi)在不存在的問(wèn)題上。本節(jié)中提出的處理事件的主要建議總結(jié)如下。在事件發(fā)生之前計(jì)劃與外部各方的事件協(xié)調(diào)。外部示例在開(kāi)始任何協(xié)調(diào)工作之前咨詢法律部門。在討論之前可能需要簽訂合同或其他協(xié)議。在整個(gè)事件響應(yīng)生命周期中執(zhí)行事件信息共享。信息共享是實(shí)現(xiàn)跨組織協(xié)調(diào)的關(guān)鍵要素。組織不應(yīng)等到事件完全解決后才與其他人分享事件的詳細(xì)信息。衡。?衡信息共享的好處與共享敏感信息的弊端與其他組織共享盡可能多的適當(dāng)事件信息。（51計(jì)算機(jī)安全事件處理指南附錄A事件處理場(chǎng)景48（2.1）（3.1.2）檢測(cè)分析：（）（第.3）（.3）（3.2.3）（3.2.4）（3.2.7)（3.2.6）給其他人？（第3.3.1節(jié)）（3.3.1）（.4)（.4）48 NISTSP800?84IT/publications/PubsSPs.html#80084.52計(jì)算機(jī)安全事件處理指南（）（.23.4.3）事件后活動(dòng)：（3.4.1）（3.1.2）（3.1.2）（2.4.3)（2.4.4）每份報(bào)告如何制作？您會(huì)報(bào)告或不報(bào)告哪些信息，為什么？（第2.3.2節(jié)）（2.3.2）（3.1.1）（）？（2.4.2）物理位置（現(xiàn)場(chǎng)還是異地）？（第2.4.2節(jié)）)與此同時(shí)，該組織的網(wǎng)絡(luò)工作人員響應(yīng)來(lái)自Internet邊界路由器的警報(bào)，并確定該組織的Internet帶寬正被往返于該組織DNS(UDPDNSIPDNS以下是針對(duì)此場(chǎng)景的其他問(wèn)題：IPDNS)Windows共享中DDoS53計(jì)算機(jī)安全事件處理指南在蠕蟲(chóng)病毒開(kāi)始傳播幾個(gè)小時(shí)后，在防病毒簽名可用之前，該組織已經(jīng)遭受了廣泛的感染。以下是針對(duì)此場(chǎng)景的其他問(wèn)題：DDoS事件發(fā)生？（）？(FBI)的電話以下是針對(duì)此場(chǎng)景的其他問(wèn)題：為了泄漏？root以下是針對(duì)此場(chǎng)景的其他問(wèn)題：54計(jì)算機(jī)安全事件處理指南（.RAR.RAR.RAR以下是針對(duì)此場(chǎng)景的其他問(wèn)題：.RAR以下是針對(duì)此場(chǎng)景的其他問(wèn)題：使用薪資管理員的用戶ID進(jìn)行遠(yuǎn)程登錄嘗試失敗的次數(shù)異常多？?jī)芍芮霸谟?jì)算機(jī)上安裝了擊鍵記錄器？55計(jì)算機(jī)安全事件處理指南IPIP以下是針對(duì)此場(chǎng)景的其他問(wèn)題：主持人？IP周六晚上，網(wǎng)絡(luò)入侵檢測(cè)軟件記錄了源自監(jiān)視列表IP地址的入站連接。入侵檢測(cè)分析師確定正在與組織的VPN服務(wù)器建立連接，并聯(lián)系事件響應(yīng)團(tuán)隊(duì)。該團(tuán)隊(duì)檢查入侵檢測(cè)、防火墻和VPN服務(wù)器日志，并識(shí)別針對(duì)會(huì)話進(jìn)行身份驗(yàn)證的用戶ID以及與該用戶ID關(guān)聯(lián)的用戶名稱。以下是針對(duì)此場(chǎng)景的其他問(wèn)題：（ID、N）代理人？IDIPVPN5、假設(shè)用戶安裝了殺毒軟件，并確定木馬已中56計(jì)算機(jī)安全事件處理指南周四下午，該組織的物理安全團(tuán)隊(duì)接到IT經(jīng)理的電話，報(bào)告稱她的兩名員工剛剛收到針對(duì)該組織系統(tǒng)的匿名威脅。根據(jù)調(diào)查，物理安全團(tuán)隊(duì)認(rèn)為應(yīng)認(rèn)真對(duì)待威脅，并將威脅通知相應(yīng)的內(nèi)部團(tuán)隊(duì)，包括事件響應(yīng)團(tuán)隊(duì)。以下是針對(duì)此場(chǎng)景的其他問(wèn)題：（IP（正在共享的文件的數(shù)量）？（））？（57PAGEPAGE60錄B 素組織應(yīng)確定為每個(gè)事件收集的一組標(biāo)準(zhǔn)的事件相關(guān)數(shù)據(jù)元素。這項(xiàng)工作不僅有助于更有效和一致的事件處理，而且有助于組織滿足適用的（）3.2.5事件報(bào)告者和處理者的聯(lián)系信息（?電子郵件地址?電話號(hào)碼（期（）現(xiàn)決–事件發(fā)生的實(shí)際位置（例如城市、州）–事件的當(dāng)前狀態(tài)（例如，正在進(jìn)行的攻擊）源（）P–事件描述（例如，如何檢測(cè)到事件、發(fā)生了什么）（IP（）–優(yōu)先考慮因素（功能影響、信息影響、可恢復(fù)性等）–緩解因素（例如，被盜的包含敏感數(shù)據(jù)的筆記本電腦使用全盤(pán)加密）–執(zhí)行的響應(yīng)操作（例如，關(guān)閉主機(jī)、斷開(kāi)主機(jī)與網(wǎng)絡(luò)的連接）（事件響應(yīng)的現(xiàn)狀事件概要事件處理行動(dòng)–所有處理程序采取的操作的日志–所有相關(guān)方的聯(lián)系信息–收集的證據(jù)清單事件處理程序評(píng)論事件原因（例如，應(yīng)用程序配置錯(cuò)誤、主機(jī)未打補(bǔ)?。┦鹿食杀臼录臉I(yè)務(wù)影響499 （）（100,000））。附錄C術(shù)語(yǔ)表附錄C術(shù)語(yǔ)表出版物中使用的選定術(shù)語(yǔ)定義如下?；€：監(jiān)控資源以確定典型的利用模式，以便檢測(cè)到重大偏差。計(jì)算機(jī)安全事件：參見(jiàn)“事件”。)或（）。事件：違反計(jì)算機(jī)安全策略、可接受的使用策略或標(biāo)準(zhǔn)安全實(shí)踐的行為或即將發(fā)生的威脅。指示器：表明事件可能已經(jīng)發(fā)生或當(dāng)前可能正在發(fā)生的跡象。惡意軟件：成功感染主機(jī)的病毒、蠕蟲(chóng)、特洛伊木馬或其他基于代碼的惡意實(shí)體。前兆：攻擊者可能準(zhǔn)備引發(fā)事件的跡象。分析：測(cè)量預(yù)期活動(dòng)的特征，以便更容易地識(shí)別其變化。簽名：與攻擊相關(guān)的可識(shí)別的、有區(qū)別的模式，例如病毒中的二進(jìn)制字符串或用于獲得對(duì)系統(tǒng)的未經(jīng)授權(quán)的訪問(wèn)的一組特定擊鍵。社會(huì)工程：試圖誘騙某人泄露可用于攻擊系統(tǒng)或網(wǎng)絡(luò)的信息（例如密碼）。威脅：不良事件的潛在來(lái)源。漏洞：系統(tǒng)、應(yīng)用程序或網(wǎng)絡(luò)中容易被利用或?yàn)E用的弱點(diǎn)。附錄D縮略語(yǔ)附錄D縮略語(yǔ)PAGEPAGE61出版物中使用的選定首字母縮略詞定義如下。CCIPS塞里亞斯

計(jì)算機(jī)犯罪和知識(shí)產(chǎn)權(quán)科信息保障與安全教育與研究中心CERT?/CCCERT?協(xié)調(diào)中心常問(wèn)問(wèn)題FISMA高GRSHTTP協(xié)議IDPS紅外IRCISAC它蘋(píng)果諒解備忘錄MSSPNTP內(nèi)臟血管病

首席信息官國(guó)土安全部域名系統(tǒng)拒絕服務(wù)經(jīng)常問(wèn)的問(wèn)題聯(lián)邦調(diào)查局聯(lián)邦信息處理標(biāo)準(zhǔn)事件響應(yīng)和安全團(tuán)隊(duì)論壇聯(lián)邦信息安全管理法總問(wèn)責(zé)辦公室超文本傳輸協(xié)議互聯(lián)網(wǎng)中繼聊天信息共享與分析中心互聯(lián)網(wǎng)服務(wù)提供商信息技術(shù)信息技術(shù)實(shí)驗(yàn)室媒體訪問(wèn)控制諒解備忘錄托管安全服務(wù)提供商網(wǎng)絡(luò)地址解讀保密協(xié)議美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院國(guó)家軟件參考圖書(shū)館管理和預(yù)算辦公室操作系統(tǒng)計(jì)算機(jī)安全事件處理指南POC

接觸點(diǎn)REN?ISAC科研教育網(wǎng)絡(luò)信息共享與分析中心RFCRIDSIEMSLASPTCP/IP

請(qǐng)求評(píng)論實(shí)時(shí)網(wǎng)間防御安全信息和事件管理服務(wù)水?協(xié)議標(biāo)準(zhǔn)操作流程特別刊物傳輸控制協(xié)議傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議TERENA泛歐研究和教育網(wǎng)絡(luò)協(xié)會(huì)UDP協(xié)議網(wǎng)址

用戶數(shù)據(jù)報(bào)協(xié)議統(tǒng)一資源定位器US?CERT美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組VPN

虛擬專用網(wǎng)絡(luò)62PAGEPAGE64附錄E資源下面的列表提供了可能有助于建立和維護(hù)事件響應(yīng)能力的資源示例。事件響應(yīng)組織組織作組（APWG）(CCIPS)

網(wǎng)址//卡內(nèi)基梅隆大學(xué)CERT?協(xié)調(diào)中心(CERT?/CC)/歐洲網(wǎng)絡(luò)與信息安全局(ENISA)事件響應(yīng)和安全團(tuán)隊(duì)論壇（FIRST）事件響應(yīng)和安全團(tuán)隊(duì)政府論壇（第一）高科技犯罪調(diào)查協(xié)會(huì)(HTCIA)英弗加德互聯(lián)網(wǎng)風(fēng)暴中