2018计算机安全事件处理指南NIST.SP.800-61r2.docx

《2018计算机安全事件处理指南NIST.SP.800-61r2.docx》由会员分享，可在线阅读，更多相关《2018计算机安全事件处理指南NIST.SP.800-61r2.docx（74页珍藏版）》请在课桌文档上搜索。

1、特别出版物800-61修订版2Nl三NationalInstituteofStandardsandTechnologyU.S.DepartmentofCommerce计算机安全事件处理指南美国国家标准技术研究院的建议抽象的计算机安全事件响应已成为信息技术（IT计划的重要组成部分。由于有效执行事件响应是一项复杂的任务邱曜立成功的事件响应能力需要大量的规划和资源。本出版物帮助组织建立计算机安全事件Il向应能力并高效且有效地处理事件。本出版物提供了事件处理指南,特别是分析事件相关数据并确定对每个事件的适当响应。可以独立于特定硬件白台、操作系统、协议或应用程序来遵循这些指南。关键词计算机安全事件；事件

2、处理；事件响应；信息安全四号目录执行摘要11 .简介41.l权限41.2目标范国41.3受众41.4文档结构42 .组织计算机安全事件响应能力62.1 事件和事故62.2事件响应的必要性623事件响应政策计划程序创建72.3.：1.政策要素72.3.2计划元素82.3.3程序要素82.3.4与外部各方共享信息92.4事件响应团队结构13241团队模型132.4.2团队模型选择142.4.3事件响应人员162.4.4组织内的依赖性172.5事件口曲团队服务182.6建议.193 .处理事件213.1 准备工作213.1.1准备见理事件213.1.2预防事故233.2检测的析253.2.1攻击向量

3、253.2.2事故迹象263.2.3前体和指示剂的来源273.2.4事件分析283.2.5事件文档303.2.6事件优先级323.2.7事件通知333.3遏制根除和恢复353.3.1选择遏制策略3533.2证据收集和处理3633.3识别攻击主机373.3.4根除和恢复373.4事件后活动383.4.1经验教训383.4.2使用收集的事件数据393.4.3证据保留413.5事件处理清单423.6建议424.协调秘言息共享454.1 协调454.1.1协调关系464.1.2共享协议和报告要求。474.2信息共享技术484.2.1临时484.2.2半自动化484.2.3安全注意事项494.3细粒度信

4、息共享494.3.1业务影响信息494.3.2技术信息504.4建议51附录清单附录A事件处理场景52Al场景问题52A.2场景53附录B事件相关数据元素58B.1基本数据元素58B.2事件处理程序数据元素59附录C术语表60附录D缩略语61附录E资源63附录F常见问题65附录G危机处理步骤68附录H变更69图列表图2-1与外部各方的沟通10图3-1事件响应生命周期21图3-2事件响应生命周期（检测和分析）25图3-3事件响应生命周期（遏制根除和恢复）35图3-4事件响应生命周期（事件后活动）3846图4-1事件响应协调.表格列表表3-1前体和指示剂的常见来源27表3-2功能影口别33表3-3

5、信息影响类别33表3-4可恢复性工作类别33表3-5事件处理清单42表4-1恰调矣系47执行摘要计算机安全事件响应已成为信息技术（IT计划的重要组成部分与网络安全相关的攻击不仅变得勃啜量和多样化,而S更具破坏性和破坏性。新型安全事件频发。基于风险评估结果的预防活动可以减屣故发生的娼,但并非所有事故都可以预防。因此,事件顺应能力对于快速检测W件、最大程度地减少损失和破坏、减轻被利用的弱点以及恢复IT服务至关重要。为此本出版物提供了事件处理指南特别三分析事件相领据并确定对每个事件的适当响应。可以独立于特定硬催台、操作系统协议或应用程序来遵循这些指南。由于有效执行事件响应是一项复杂的任务,因此建立成

6、功的事件O艇Z能力需要大量的规划ffl资源。献监控!攵击至关重要。建立明确的程序来确定事件处理的优先Il褥至关重要实施有效的雌、分析和报告蝇妨法至关壁与其他内部团体（例如人力资源、法睥11和外部团体（例如其他事件响应团队、扰超Irl建立关系并建立适当的沟通方式也至关重要。本出版物帮助组织建立计算机安全事件响应能力并高效且有效地处理事件。该出版物的修订版（第2版更新了整个出版物的材料,以反映攻击和事件的变（匕。了解威胁并在早期阶段识别现代攻击是防止后续危害的关键,而在组织之间主动共享有关这些攻击迹象的信息是识别攻击的日益有效的方法实施以下要求和建议应有助于联邦部门和机构高效且有效的事件响应。组织

7、必须创建、提供和运行正式的事件响应能力。联邦法律要求联邦机构向国土安全部（DHS）内的美国计算机应急准备小组（US-CERT）办公室报告事件。联邦信息安全管理法案（FlSMA）要求联邦机构建立事件响应能力。每个联邦民事机构必须指定US-CERT的主要和次要联络点（POC）并根据该机构的事件0前政策报告所有事件。每个机构负责确定如何满足这些要求。建立事件响应能力应包括以下行动：制定事件响应政策和计划制定执行事件勉理和报告的程序制定与外部各方就事件进行沟通的准则选择团队结构和人员配置模式在事件响应团队和其他内部（例如法律部门和外部（例如执法机构旧体之间建立关系和沟通渠道确定事件响应团队应提供哪些服

8、务为事件响应团队配备人员并进行培训。组织应通过有效保护网络、系统和应用程序来减少事件发生的频率。预防问题通常比问题发生后才做出反应成本更低、更有效。Sitb事件预防是事件!啦能力的重要补充。如毅皂嚼!K足可能会发生大量事件。这可能会压垮响应的资懒!能力从而导致恢复延迟或不完整并可能导致更广泛的损坏以及更长的服务和数据不可用时间。如果组织用足够的资源来补充其事件响应能力以主睚廊监、系雌应用程序娥全,贝阿以更有效地执行事件处理。这包括培训IT员工遵守组织的安全标准并使用户了解有关正确用懈、系绩的用程序的策略和程序。组织应记录与其他组织就事件进行互动的指南在事件处理过程中组织需要与外部各方进行沟通例

9、联嶂件IlW队扰撷H媒体供应砺暧害程殿。因为这些由于沟通通常需要快速进行组织应预先确定沟通准则以便仅与正确的各方共享适当的信息。组织通常应做好处理任何事件的准备，但应重点准备处理使用常见攻击媒介的事件。事件可能以无数种方式发生因此制症处理每个事件的分步说明是不可行的。本出版物根据常见的攻击向量定义了几种类型的事件；这些类别并非旨在为事件提供明确的分类而是用作定义更具体的处理程序的基础,不同类型的事件需要不同的应对策略。攻击向量是:外部/可移动媒体：从可移动媒体（例如闪存驱动器CD或外围设备。消耗：采用暴力方法来破坏降级或破坏系统、网络或服务的攻击。Web:从网站或基于Web的应用程序执行的攻击

10、。电子邮件：通过电子邮件或附件执行的攻击。不当使用：由于授权用户违反组织的可接受的使用政策而导致的任何事件不包括上述类别。设备丢失或被盗：组织使用的计算设备或介质（例如笔记本电脑或智能手机医失或被盗。其他：不属于任何其他类别的攻击。组织应强调整个组织中事件检测和分析的重要性。在一个组织中,每天可能会发生数百万个可能的事件迹象,这些迹象主要通过日志记录和计算机安全软件进行记录。需要自动彳睐执行数据的初步分析并选择感兴酬事件进行人工审宣。事件关联软件对于自珈匕分析过程具有很大的价值。然而该过程的有效性取决于该过程中数据的质量。组织应建立日志记录标准和程序以确保日志和安全软件收集足够的信息并定期审查

11、数据。组织应制定书面指南来确定事件的优先级。优先处理个别事件是事件响应过程中的关键决策点。有效的信息共享可以帮取组织识更严重并需要立即关注的情况。应根据相关因素对事件进行优先级排序,分加事件的工境蔗响（例如当前和未来可能对业务功能产生的负面影响）事件的信息影响（例如对机密性、会假问用性的影响殂织的信息）以及事件的可恢复性（例如时间和从事件中恢复所必须花费的资源类型）。组织应利用吸取经验教训的过程从事件中获取价值。处理重大事件后组织应召开经验教训会议审查事件处理流程的有效性,并确定对现有安全堤厢实践的必要改进。对于较小的事件也可以定期举行经瞬如Il会议在时间和资源允许的情况下。从所有经验教训会议

12、中积累的信息应用于识S雌1.nn嫌和程序中的系统性弱点不瞅陷。为每个已解决的事件生成的后续报告不仅对于i琥目州瞳要而且对于处理未来事件和培训新团队成员也可供参考。-WY1.1 权限美国国家标准与技术研究院(NIST)制定本文件是为了履行2002年联邦信息安全管理法案(FISMA)公法107-347规定的法定职员NIST负贡定标准和指南例S三鎏R-以为所有机隰爵陵产提供足够的信息安全回嗟标准和指南不适用于国家安全系统本指南符合管理和预算办公室(OMB)通告A-130第8b(3)节保护机构信息系统BW如V130附录IV缠章节分析中所分析。A-130附录m提供了补充信息。本指南已准备好供联邦机构使用

13、。非政府组织可以在自愿的基础上使用它,并且不受版权保护,但需要注明归属本文件中的任何内容均不应被视为与商务部长根据法定权力对联丰圈I磔IJ定的强制性和具有约束力的标准和指南相矛盾南也不应被解释为改变或取代商务部长、商务部主任懒有权力。OMB或任何其他联邦官员1.2 目的和范围本出版物旨在通过提供有效和高效地响应事件的实用指南来帮助组织减轻计算机安全事件的风险它包括立有效的事件响瓯物的指南但该文件的主要重点是检测、分析、般优顺和好鳏件蹒鳍醴I蝌号醐单株方案以满足其特定的安全和任务要求1.3 受众本文档是为计算机安全事件响应团队(CSIRT)、系箍蹴管购、安全人员、技术瑚人员、首席信息安全官(QS

14、O)、首席隹息官(CIO)计算机安全项目经理被他人员创跑悯责准备或响应安全事件1.4 文档结构本文档的其余部分分为以下部分和附录：第2部分讨论事件响应的必要性,趣可能的事件响应团队结构并突出显示组织内可能参与事件处理的其1蟠第3节回顾了基本的事件处理步骤,并提供了更有效地执行事件必理的建议,特别是事件检测和分析。第4节探讨了事件响应协调和信息共享的必要性。附录A包含在事件响应桌面中使用的事件响应场景和问题讨论附录B提供了为每个事件收集的建议数据字段列表。附录C和D分别包含术语表和首字母缩写词列表附录E列出了可用于规划和执行事件响应的资源附录F涵盖有尖事件响应的常见问题。附录G列出了处理计算机安

15、全事件相关危机时应遵循的主要步骤附录H包含一份变更日志,列出了自上次修订以来6勺重大变更2.组织计算机安全事件响应能力蛆织有效的计算机安全事件口向应能力（CSIRC陟及几个主要方面决定和行动。首先要考虑的因素之一应该是为事件一词创建一个特定于组织的定义以便该术语的范围清晰。组织应决定事件响应团队应提供哪些服务考虑哪些团队结构和!镂可以提颊些服务并选择和实施f或多个事件响应团队郃搀件响应计划、策喃晦序是建立团队的重要组成部分以便有效、高效和登Wl行事件O艇Z并授权团队做需要做的事情。让眇政策和程序应反映团队与蛆织内其他团队以及外部各方（例如执法部门媒体?限他事件响应组织的互动。本节不仅提供对建立

16、事件响应能力的组织有帮助的指南还提供有空期和强现有能力龌议。2.1 事件和事件事件是系统或网络中任何可观察到的事件。事件包括用户连堤I坟件共享、月第器澳姻页请求、用户发射龙附以及防火熠阻止连接尝试。不良事件是指产生负面后果的事件,例如系绷髓、辘包艺监、怒装权使用系统权F艮、樨飘访项爆数据以及执行破坏数据的恶意软件。本指南仅涉及与计算机安全相关的不良事件而不涉及自然灾害、电源故障等引起的不良事件。计算机安全事件是指违反或即将违反计算机安全策略、可接受的使用策略或标准安全实践的威胁事件2的例子有：攻击者命令僵尸网络向Web服务器发送大量连接请求导致它崩溃了。用户被诱骗打开通时电子邮件发送的实际上是

17、恶意软件的“季度报告；运行工具已感染他们的计算机并与外部主机建立连接攻击者获取敏感数据并威胁称礁组织不支付指定金额用户通过点对点文件共享服务向他人提供或公开敏效信息。2.2 事件响应的需求攻击经常损害个人和商业数据当发生安全漏洞时快速有效地响应至矣重要。计算机安全事件响应的概念已被广泛接受和实施拥有事件响S能力的好必之一三它支持系统地响S事件（即遵循一致的事件处理方法）以便采取适当吹作事件响应有助于人员最大限度地减少事件导致的信息丢失或被盗以及服务中断。事件响应的另一个好处是能够使用事件处理过程中获得的信息来更好地准备处理“迫在眉睫的违规威胁是指组织有事实依据相信特定事怫啕发生的情况。施Q,懈

18、毒软傕护人员可能会嗨昧自软件的公告供应商翌告他们新的恶意软件正在互联网上迅速传播在本文档的其余部分中术语“事件和计算机安全事件”可以互换。未来的事件并为系统和数据提供更强有力的保护。事件响应能力还有助于正确处理事件期间可能出现的法律问题。OMB通告第A130号,附录m，2000年发布指导联邦机构除了建立事件响应能力的商业原因外,联邦部i丽机构还必须遵守指导协调、有效防御三息安全威胁的法律、液C和政策。其中主要如下：确保有能力在系统发生安全事件时向用户提供帮助,并共享有关常见漏洞和三的信息。这种能力应与其他组织共享信息并应协助该机构根据司法部的指导采取适当的法律行动。FISMA(自2002年起)

19、它要求各机构制定检测报告和响应安全事件并建立集中的联邦信息安全事件中心,部分目的是：- 为机构信息系统运营商提供及时的技术援助包括检测和处理信息安全事件的指导- 编译和分析有关威胁信息安全的事件的信息- 向机构信息系统的运营商通报当前和潜在的信息安全威胁和漏洞”联邦信息处理标准(FIPS)200联邦信息和信息系统的最低安全要求52006年3月其中规定了最低安全要求用于联邦信息和信息系统包括事仰向应。具体要求在NlST特别出版物(SP)800-53联邦信息系统和组织的推荐安全控制中定义。OMB备忘录M-0716防止和应对个人身份信息泄露62007年5月它提供了有关报告涉及P11的安全事件的指导*

20、2.3事件响应政策、计竟用程序创健本节讨论与事件响应相关的政策、计划和程序,重点是与外部各方的互动。2.3.1 政策要素管理事件响应的策略对于组织来说是高度个性化的。然而,大多数政策都包含相同的关键要素：管理层承诺声明政策的目的和目标http:/www.whitehouse.qov/omb/circulars/al30/al30trans4.htmlhttp:CSrCniSt.govdriversdocumentsFISMA-final.pdfhttp:/CSrC.nist.gov/publications/PubsFIPS.htmlhttpWWW.whitehouse.gov/omb/mem

21、oranda/fy2007/m0716.pdf政策范围（适用于谁、适用于什么以及在什么情况下适用）计算机安全事件及相关术语的定义组织结构以及角色、职责和4只限级另附勺定义；应包括事件响应如没收或断开设备以及监控可疑活动的权力、报告某些类型事件的要求、外部通信和信息共享的要求和准则（例如可以与谁共享什么丽鼓罅）以及蹴什么渠道）以及事件管理流程中的移交和升级点事件的优先级或严重性评级绩效衡金（如第342节所述）报告和联系表格2.3.2 计划要素组织应该有一个正式的、有重点的和协调的方法来响应事件包括一个事件响应计划该计划提供了实施事件响应能力的路线图。每个组织都需要f满足其独特要求的计划这些要求与

22、组织的使命、规模结期瞬小该计划的阳蟒宽脚暗唾持辨响应计划应包括以下要素：使命战略和目标高级管理层批准事件响应的组织方法事件响应团队如何与组织的其他部门以及其他部i刊行沟通组织衡员事件响应能力及其有效性的指标事件响应签力成熟的路线图该计划如何融入整个组织。组织的事件响应使命献和目标应有助于确磔事件响Ii蹑力横构事件口触计划结碱应在计划中进行讨论241节讨论了结构的类型。一旦组织制定了计划并获得管理层批准组织就应密嫄该计划并至少每年进行箱以确像世侬循路线图来飒能力并实现事件响应的目标2.3.3 过程要素程序应基于事件响应政策和计划标准操作程序（SOP）是对事件响应团队使用的具体技术流程技术检查表和

23、表格的触SOP应相当全面和详细以确屎本组织的优先事项反映在应对行动中。此外遵循标准彳EI可以最大B艘地减少错误特另健那些可能由压力事件处理情况引起的错误。颓斌SOP以验证其准确性和实用性然后分发给所有团队成员。应为SoP用户提供培训;SOP文件可以用作指导工具。建议的SoP要素在第3节中给出。2.3.4 与外部各方共享信息组织通常需要就事件与外部各方进行沟通并且应在适当的时候进行沟通例如联系执法统媒体询问以及寻求外部专业知识。另一N5仔是与其他相笑方讨论事件例如互联网服务提供商(ISP)易受攻击的软件供应商崩他事件响应团队。组织还可以主动与同行共享相关事件指标信息以蝴事件电麻分析。事密啦团队应

24、在事件发生前与织的公共事务办公室、法律部i丽管理层讨论信息共享以制反有关信息共享的政策和程序。否则有关事件的敏感信息可能会提供给未经授权的各方,从而可能导致额外的中断和财务损失。团队应记录与外部各方的所有联系和通信以用于责任和证据目的。以下部分提供了与多种类型的外部各方进行通信的指南,如图2-1所示。双头箭头表示任何一方都可以发起通信。有关与外部各方沟通的更多信息,请参阅第4节有关涉及事件响应外包商的沟通的讨论,请参阅第2.4节。OtherIncidentResponseTeamsSoftware&SupportVendorsIncidentResponseTeamInternetServic

25、eProvidersCustomers,Constituents,&Media图2-1与外部各方的沟通2.3.4.1 媒体事物理团队应建立符合组织媒体互动和信息披露政策的媒体沟通程序歹为了与媒体讨论事件组织通常发现指定一单一联系人(POC)和至少一个备份是有益的接触建议采取以下行动来帮助这些指定联系人做好准备也应考虑采取以下行动来帮助其他可能与媒体沟通的人做好准备：举办关于与媒体就事件进行互动的培训课程,其中应包括不透露敏感信息的重要性,例如针对以下情况采取的对策的技术细节：可以协助其他攻击者以及向公众充分有效地传达重要信息隹源极方面。制定程序在与媒体讨论之前向媒体联系人通报有关特定事件的问题

26、和敏感性。7公组织可其箱望只公我事务方0卒和法律部门的成员参与与媒体的所有事件讨论保留对事件当前状态的声明以便与编体进行沟通一致且最新提醒所有员工必理媒体询问的一般程序。在事件处理演习期间举行模拟采访和新闻发布会。以下是向媒体联系人询问的问题示例：-谁袭击了你？为什么？-什么时候发生的？它是怎么发生的？发生这种情况是因为您的安全措施较差吗做法？-此事件有多广泛？您正在采取哪些步骤来确定发生的情况并防止将来再次发生？这起事件的影。嗜什么？是否暴露了田可个人身份信息（PU）?此事件的预计成本是多少？23.4.2执法许多安全相关事件没有被定罪的原因之一是一些组织没有正确联系执法部门有多械I的执法机构

27、可以i三事件：例m-碌期耳梆调查机构（例如联邦调查局（FBI和美国特勤局）、地区检察勃公室、外摭却I倾眦方执法机构（例如县执法部门其他国冢的执法机构也可能参与其中例如从美国第卜发起或针对美国境外的攻击此外各机构还设有监察长办公室（OIG）负责调查各机构内的违法行为事件砸岐团队应在事件发生之獭悉其各个提玳表讨论应在什么条件下向他OS告事件、应如何蜘报告、应收集哨Eg以及应如何收集应通过指定人员以符合法律要求和组织程序的方式联系执法部门。许多组织更意意指定一名事件响应团队成员作为执法BE门的主要POC此AJi濠蜃所有伊执法机构的报告程序并做好准备建议应联系哪个机构（如果有）。请注意娥簿常不应联系多

28、个机构因为这样做可能会导致管辖权冲突事哪I应团队应该了毓替在的管辖问题是什么（例如,物理位置位于一个州皖目织拥有位于第二州的服务器受到来自第三州的锚的攻击被第四州的攻击者远程使用状态）。2.3.43事件报告组织FISMA要求联邦机构暨国计算机应急准备小组（US-CERT）报告事件这是一个政府范围内的事件响应组织，协助联邦民事机构进行事件处理工作US-CERT不会取代现有的机构响应团队；相反它登处理事件的协的心的加螭隈事机构&朔力。US-CERT分析机构提供的信息以确定攻击蒯和指标管看来自多个组织穗据A寸这些比在查看单上瞬照厕更容易辨别。http:/VWVW.us-cert.qov/每个机构必须

29、向US-CERT指定主要和次要POC并报告所有事件符合该机构的事件响应政策组织应制定一项政策规定谁被指定报告事件以及如何报告事件向US-CERT报告事件的要求、翔用B强睦位于US-CERT网站上9所有联邦机构必须确保其事件响应程序符合US-CERT的报告要求并正懒循该程序鼓励所有组织向相应的CSlRT报告事件硕组织没有自己的CSlRT可以联系它可以向其他报告事件包恬信息共享和分析中，WlSy这些特定行业私营部门团体的职能之T在其成员N瞅享重要的计算机安全相关信息.多个ISAC已针对通信、电廊1、侑、信息技术以及研究穗嫡等行业部门成立，1023.4.4其他外部各方组织可豌希望与其他团体讨论事件的

30、谢叱的事件。在与这期忸珞方觎时组织可能希望通过US-CERT或其ISAC作为“值得信赖的介绍人”来调解关系其他人可能也避噗似的问题并且值得1懿的介绍人可以确保识别并考虑田可此类模式。组织的ISP组织可能需要其ISP的帮助来阻止主要网络基于攻击或追踪其起源攻击地址的所有者。如果攻击源自外部组织的IP地址空间事件处理人员可能需要与斑织指定的安全联系人联系以向他们S出有关活动的警报或要求他胴收集证据强烈议与US-CERT或ISAC协调此类通信软件供应商。事件必理人员可能需要与软件供应商讨论可疑活动此联系可能包括有蝮些日琳目的鳗性某些入侵颉蜷名的已知误报的问题其中可能需要透露有关事件的最少僖息,在某些

31、情况下可能耨提供更多信息m如螂障器似乎已因祜瞰件漏洞而受到损害软件供应商还可以提供有关已知威胁(例如新攻击的信息以帮瞬织了解当前的威胁环境,其他事件峋应团队箧会遇到其他团见U事件类似的事件；主动共享信息可以促迸更有效和高效做件必理(伊加提供预警力啮准备发展态势感知)。事件响IS喉全团队论坛(FlRST)11事件惭2和安全团队政府论坛(GFIRSD12和反网络钓鱼工作组(APWG)13等团体不是事件响应团队但它们促进事件响应团队之间的信息共享-受影响的外部各方事件可能会直接影响外部各方例如外部组织可能会联系该组织并声称该组织的一名用户正在发起攻击http：/WWW.us-certqovfeder

32、alreDortinqReallirementS.html10请参闻ISAC国家委员会网站：httD：WWW.isaccouncil.orQ/查看ISAC列衷”Mtp:WWW.first.or/GFIRST专门针对联邦部门和机构(http:/www.us-cert.gov/federal/qfirst.html)http:/WWW.antiphishing.org/它，外部各方可能招牌响的另一种方式是攻击者是否能够访问与其梯串融感信息施唯群信息在某些司法三怒缄戏颁通知受此类事件影响的所有各方。无论情况如何组织最好在媒体频外迪京弱调事件撅Q三利曲外部方。必理A员应谨慎仅提供适当的信息受影响的各方

33、可籍会要求提供有关内部调查的详细信息但不应公开披露OMB备忘录M07-16防范和应对个人身份1言息泄露要求联邦机稀淀和实施个人身份信息（Pll）泄露通知政策14事件处理人员应了解其事件处理行动应如何进行当怀疑发生Pn泄露时青兄会有所不同例蚯题慎他方或在更僦时间内啰咯方CMB备忘录M-07-16中提出了PII违规通知政策的具体建议，此外全匡州立法W哈议!打J了国家藤颗J磁单152.4事件响应团队结构任何发现或怀疑发生涉及组织的事件的人都应该有一个事件响应团队然后根据事件的严重程度和人员的可用性一名或多名团队成员将义理该事件。事件处理人员分析事物据,确定事锦的并采腌当的行那即翻诚粉短正的洛，事件A

34、电酗献功取决于整个组织中个人的参与和合作本节识别此类人员讨论事件O啦团队模型并提供有关选择适当模型的建议,2.4.1 团队模型事件响应团队的可能结构包括以下内容：中央事件响应小组单个事件响应团队负贡处理整个组织内的事件此模型对于小型组织和计算资源地理多样性显小的组织非常有效分布式事件响应团队，港织拥有多个事件响应团队每个团队负责组织的特定逻辑或物理部分，漫侬对于大型组织（例如每个部i11个团队）和主要计算资源位于远程位苣的组织（例如每个地理区域一个团队每个主要设施T团队有效。然而团队应该是单个协调实体的一部分以便事件响应过程在整个组织中保持一致并且信息在团队之间共享这一点尤其更要廓图个团队可能

35、会看到同一事件的组成部分或可能处理类似的事件协删留.事件口崛团队向其他团队提供建议但对这些团队没有权力W部下三脚团队可以协助各个机梏的团队*该曙可以被视为CSIRT的CSIRT物板档雌患http:WWW.whitehouse.gov/omb/memoranda/fy2007/m07-16.pdfhttp:/WWW,ncslQra/default.aspx?tabid=13489对于集中式和分布式CSlRT本文档未详细讨论协调团队模型16事件响应团队还可以使用三种人员配置模型中的任何一种：员工。凝织以有喃弗沐和能力执行所有事件响应工作承包商的行政支持部分外包。该组织将部分事件响应工作外包。第24

36、2节讨论了外包应考虑的主要因素尽管事件响职责可以通过多种方式在组织和T或多个外包商之间划分但一些安排已经变得司空见惯：-最普遍的安排是组织7天每天24小时外包每周(24/7)向异地托管安全服务提供商(MSSP)监控入侵检测传感器、防火墙和其他安全设备。MSSP识别并分析可疑活动,并向组织的事伊啦团队报告每个检测到的事件。-一些组织在内部执行基本的事件响应工作,并要求承包商协助必理事件,特别是那些更严重或广泛的事件。完全外包该组织将其事件响应工作完全外战现场承包商。黎织牖要全职0飒场事停触团队但没有足够的合格员工时,胡可能使用此模型。假设嫡织将有员工监督和监督外包商的工作。2.4.2 团队模型选

37、择在为事件响应团队选择适当的结构和人员配酋模型时组织应考虑以下因素：需要24/7可用性大多数组织需要事件响应人员24/7待命。这通常意味着可以通过电话联系事件处理人员但也可能意味着需要现场必理实时可用性是事件响应的最佳选择即殍件持续的时间越长造成损坏和损失的可能性就越大。与其彳甦目织合作时通常需要实时联系例如追踪攻击的来源。全职与兼职团队成员。资金、人员或资源有限的组织事件响应需求可能只有兼职事件响应团队成员更多地充当虚拟事件响应团队包种情况下事件触团队可以被视为志愿消防队当发生紧急情况时,我们会逊联系团队成员并且那些可以提供帮助的人也会这样做。婢团队(例如IT帮助台可以充当事件报告的第一个P

38、OC。月三台成员可以接受培iJI来执行初步调查和数据收集然后在出现严重事件时向事件响应团队发出警报员工士气。事件响应工作压力很大大多数团队成员的待命职责也是如此。这种组合使事件响应团队成员很容易感到压力过大。悟组织还很难找到愿意、有空、经验丰富且具备适当技能的人员来参与班提在24小时支持方面角出滴锡最有关协调团队模型的信息以及有关其他团队模型的大量信息请参阅标题为计算机安全事件响应团队(CSlRT)的组织模型的CERT/CC文档(http:WWWert.org/archive/pdf/03hb001.pdf)减少团队成员负责执行的行政工作量可以显着提高士气成本。成本是一个主要因素特别是如果要求

39、员工24/7都在现场的话。组织机构可能无法将特定于事件响应的成本纳入预算例如足够的培训资金和维持技能由于事件响应团队步及IT的许多方面,因此其成员需要比大物IT员工更广泛的知识他们还必须了解如何使用事件响应工具例瞰字取证软件。其他可能被忽视的成本是团队工作区酶枝鳏全硒信搬IJ-员工专业知识事件处理需要多方面的专业知设和经验技术领域；所袂识的广解睬度根艇即晦的严里程度而变化.外包商可融统的虹硼更深A的入侵检测畸雕、啊!用和其他安全方面的知识WMSSP可爱能够将客户之间的事件关联起来以便他们能够比任何个人客户更快地识别新砌惭域内的技术人员通常比外包商更了解组织的环境,这有助于蜜J蛾蒲定行为和目标关

40、键性楮谢琳，第243节包含有关推荐团队成员技能的附加信息在考虑外包时组织应牢记以下问题：当前和未来的工作质是。组织不仅应该考虑当前的质至外包商工作的（广度和深度）以及确保未来工作质至娥力例如最大限度地减少人员流动和倦怠并为新员工提供可究的培训计划，组织应该考虑如何客观地评估外包商的工作质克职责分工组织通常不愿意授予外包商权力为环境做出操作决策（例如断开Web服务器的连接）记毁些决策点穗当附徘常重要例如,一种部缈卜包模型凝让外包商向组织的内部团队提供事件数据以及迸一步足理事件的建议来解决此问题内部团队最终做出运营决策,外包商鳏根据需要提供支持。向承包商透露的敏感信息。划分事件响应职责并限制对敏感

41、信息的访问可以限制这种情况。例如,承包商可以确定在事件中使用了什么用户ID（怫OID123456）但不磁什么人与该用闩D傲联然后员工可以接管侬。（三W（NDA）是保护敏感信息泄露的一种可能选择。缺乏组织特定的知识准确分析事件并确定优先级取决于组织环境的具体知识组织应向外包商提供定期更新的文件,定义殷邺事件哪些箍至美重要以及在各种情况下应采取1书中响应级别。组织还应报告对其IT基础设施网络配置和辍所做的所有更改和更新。否则,承包商必须对如何必理每个事件做出最图奇则不可晓免地会导致事件必理不当并导致双方都感至。目连如果团队之间的沟通薄弱或者组织根本不收集必要的信息那么当事件响E没有外包时缺乏组织特

42、定的知识也可能成为Tl诃缺乏相关性。多个数据源之间的关联性非常重要。如果入侵检测系统记录了对Web服务器的企图攻击,但外包商无法访问月第器的日志因此可能无法确定攻击是否成功。为了提高效率外包商将需要通过安全通道远程访问关键系统和安全设备日志的管理权限。这将黠阍颤本弓人额外的访问入口点,并增加未经授权披露敏感信息的风险。处理多个地点的事件。有效的事件0前江作通常耨在组织的设施中进行实际操作。如果外包商不在现场,请考虑外包商所在的位置、在田可设施中建立事件o团队的速度以及这将花费多少费用。考虑实地考察；也许某些设施或区域不应允许外包商工作。维持内部事件响应技能。完全外包事件响应槌织应努力在内部保持

43、基本的事件01技能。可能会出现外包商无法联系的情况因止谣织应准备好执行自己的事件处理。组织的技术人员还必须能够理解外包商建议的重要性技术含义和影响。2.43事件响应人员应由一名员工和一名或多名指定的替补人员负责事件响应。在完全外包模式中止认负责监督和评估外包商的工作。用有其他模型通常都有一名团队经理和一名或多名副手,副手在团队经理缺席时承担权力。经理通常执行各种任务,包括充当与高层管理人员以及其他团队和组织的联络人化解危机情况并确保团队拥有必要的人员、资源和技能。管理者应该精通技术并具有出色的沟通技巧特另提与各种受众进行沟通的能力。管理最终负责确保事件响应活动正确执行。除了团队经理和副手之外,

44、有些团队还设有技术负责人,日暝有较强技术能力和事件响应经验的人员对团队技术工作的质量承担监督和最终责任。技术负责人的职位不应与事件负责人的职位混淆。较大的团队通常会指派一名事件负责人作为处理特定事件的主要PC）C;事件负贲人对事件的处理负责。根据事件响应团队的规模和事件的严重程度事件负责人实际上可能不会执行任何实际的事件处理而是协调处理程序的活动从处理程序收集信息睢他组提供事件更新,以及确保团队的需求得到满足。事件响应团队的成员应具有出色的技术技能例如系统管理网络管理编程技术支持或入侵检测。每个团队成员都应该具有良好的解决问题的能力和批判性思维能力。不一定每个团队成员都是技术专家（在很大程度上

45、实际和资金方面的考虑将决定这一点）但在每个主要技术领域（例如经常受到攻击的操作系统和应用程序匡少有一名高度熟练的人员是必要的。让一些团队成员专注于特定的技术领域（例如网络入侵检测、恶獭件分析或取证电可能会有所帮助。暂时引入通常不属于团队的技术专家通常也很有帮助。通过提供学习和成长的机会来抵消员工的倦怠非常重要。建立和维持技能的建议如下：预算足够的资金来维持增强和犷展技术领域和安全学科以珈沐性较低m题（例如事件响应的法律方面的熟练程度这应包舌派遣工作人员参加会议并鼓励或以其他方式激励参加会议确保提供可促进更深入技术理酗技术参考资料,以及在资金允许的情况下偶尔引进在所需领域具有深厚技术知识的外部专家（例如承包商）。为团队成员提供执行其他任务的机会例如创健教育材料举办安全意识研讨会并进行研究考虑让工作人员轮流进出事件响应团队并参与团队成员与其他人（例如网络管理员临时交换位置以获得新的技术技能的交流保持足够的人员配备以队成员可以拥有不间断的下班时间（例如,假期）创建指导计划使高级技术人员能够帮崛验不足的员工学习事件处理制定事件处理场景并让团队成员讨论如何她理这些场景附录A包含一组场景和场景讨论期间要使用的问题列表除技术专长外事件卿s团队成员还应具备其他技能团队合作搦拄关重要因为合作和协调是成功响应事件的必要条件每恤