NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
支持事件处理流程的自动化机制包括在线事件管理系统以及支持收集实时响应数据、完整网络数据包捕获和取证分析的工具。
事件报告的接收者在 IR-6b 中指定。自动化报告机制包括电子邮件、网站发布(带自动更新)以及自动化事件响应工具和程序。
组织使用自动化机制更全面、更有效地测试事件响应能力。这可以通过更全面地覆盖事件响应问题、选择真实的测试场景和环境以及考验响应能力来实现。
用于跟踪事件以及收集和分析事件信息的自动化机制包括计算机事件响应中心或其他电子事件数据库以及网络监控设备。
自动化机制可以提供更全面、更真实的事件响应培训环境。例如,这可以通过提供对事件响应问题的更完整覆盖、选择更现实的培训场景和环境以及强调响应能力来实现。
组织会考虑自动禁用系统的能力是否与作为 CP-2 或 IR-4(3) 一部分规定的业务连续性要求发生冲突。安全违规包括破坏系统完整性或窃取组织信息的网络攻击,以及可能对组织任务或功能产生不利影响或危及个人安全的软件程序中的严重错误。
自动化机制可以为用户提供获取事件响应支持的推动或拉动能力。例如,个人可以访问一个网站以查询支持能力,或者支持能力可以主动向用户发送事件响应信息(一般分发或定向分发),以提高对当前响应能力和支持的理解。
如果组织维持一个欺骗环境,对该环境中的行为进行分析,包括敌方针对的资源和事件发生的时间,可以提供对敌方战术、技术和程序的洞察。在欺骗环境之外,对异常敌对行为的分析(例如系统性能或使用模式的变化)或可疑行为(例如,对特定资源位置的搜索变化)可以为组织提供这种洞察力。
对于联邦机构来说,涉及个人可识别信息的事件被视为违规行为。安全漏洞会导致控制权丧失、信息被篡改、未经授权的披露、未经授权的获取,或类似情况,其中非授权用户访问或可能访问个人可识别信息,或授权用户以非授权目的访问或可能访问该信息。事件响应培训强调个人有义务报告所有确认的或可疑的信息泄露事件,无论信息以何种媒介或形式存在,包括纸质、口头和电子形式。事件响应培训包括模拟泄露事件的桌面演练。参见 IR-2(1)。
组织可能被法律、法规或政策要求遵循与违规相关的特定程序,包括向个人、受影响的组织和监管机构通知;造成的损害标准;以及缓解或其他特定要求。
事件的类别包括由于设计或实施错误和疏漏引起的故障、有针对性的恶意攻击以及无针对性的恶意攻击。事件响应措施包括有序的系统降级、系统关闭、回退到手动模式或激活替代技术,使系统以不同的方式运行,采用欺骗性手段、替代信息流,或在系统受到攻击时使用的专用模式操作。组织会考虑在事件期间维持业务连续性的要求是否与根据 IR-4(5) 规定自动禁用系统的能力相冲突。
为了帮助事件响应活动按预期运作,组织可以使用指标和评估标准来评估事件响应计划,作为不断改进响应性能的一部分。这些努力有助于提高事件响应的有效性,并减轻事件的影响。
系统保护能力的外部提供者包括美国国防部的计算机网络防御计划。外部提供者帮助保护、监控、分析、检测并响应组织信息系统和网络中的未经授权活动。与外部供应商达成协议可能是有益的,以在事件发生之前明确各方的角色和责任。
与事件响应测试相关的组织计划包括业务连续性计划、灾难恢复计划、运营连续性计划、应急计划、危机沟通计划、关键基础设施计划以及人员紧急疏散计划。
与外部组织(包括任务或业务合作伙伴、军事或联盟伙伴、客户和开发人员)协调事故信息可以带来显著的益处。跨组织的协调可以作为一种重要的风险管理能力。此功能使组织能够利用来自各种来源的信息,有效应对可能影响组织运营、资产和个人的事件和安全漏洞。
动态重配置包括更改路由器规则、访问控制列表、入侵检测或防御系统参数,以及守护程序或防火墙的过滤规则。组织可以对系统进行动态重配置,以阻止攻击、误导攻击者并隔离系统组件,从而限制泄露或入侵造成的损害程度。组织在重新配置能力的定义中包括实现系统重新配置的具体时间框架,同时考虑到可能需要快速响应以有效应对网络威胁。
动态响应能力涉及在发生事件时及时部署新的或替代的组织能力。这包括在任务和业务流程层面以及系统层面实施的能力。
控制措施包括确保接触泄露信息的人员了解有关该信息的法律、行政命令、指令、法规、政策、标准和指南,以及基于接触此类信息而施加的限制。
组织认识到,事件响应能力依赖于组织系统的能力以及这些系统所支持的使命和业务流程。组织将事件响应视为使命和业务流程及系统的定义、设计和开发的一部分。与事件相关的信息可以从多种来源获取,包括审计监控、物理访问监控和网络监控;用户或管理员报告;以及报告的供应链事件。有效的事件处理能力包括多个组织实体之间的协调(例如任务或业务负责人、系统负责人、授权官员、人力资源办公室、物理安全办公室、人员安全办公室、法律部门、风险管理执行部门、运营人员、采购办公室。可疑的安全事件包括收到可能包含恶意代码的可疑电子邮件通信。疑似供应链事件包括在组织系统或系统组件中插入假冒硬件或恶意代码。对于联邦机构,涉及个人可识别信息的事件被视为泄露。安全漏洞是指未经授权的披露、失去控制、未经授权的获取、泄露,或类似情况,即除授权用户以外的人员访问或可能访问个人身份信息,或授权用户为非授权目的访问或可能访问此类信息。
记录事故包括保存每起事故的记录、事故状态以及其他与取证相关的必要信息,同时评估事故的细节、趋势和处理情况。可以通过多种渠道获取事件信息,包括网络监控、事件报告、事件响应团队、用户投诉、供应链合作伙伴、审计监控、物理访问监控,以及用户和管理员报告。IR-4 提供了有关适合监控的事件类型的信息。
报告的事件类型、报告的内容和及时性以及指定的报告主管部门均反映了适用的法律、行政命令、指令、法规、政策、标准和指南。事件信息可以用于风险评估、控制有效性评估、采购的安全要求以及技术产品的选择标准。
组织提供的事件响应支持资源包括帮助台、援助小组、用于开启和跟踪事件响应工单的自动化工单系统,以及在需要时提供的取证服务或消费者救济服务。
组织制定和实施协调一致的事件响应方法非常重要。组织的使命和业务职能决定了事件响应能力的结构。作为事件响应能力的一部分,组织会考虑与外部组织(包括外部服务提供商及供应链中涉及的其他组织)的协调与信息共享。对于涉及个人可识别信息的事件(即包括一个流程来确定是否需要通知监察机构或受影响的个人,并相应地提供该通知。
组织测试事件响应能力,以确定其有效性并识别潜在的弱点或不足。事件响应测试包括使用清单、演练或桌面演习以及模拟(平行或全面中断)。事件响应测试可以包括确定事件响应对组织运营、资产和个人的影响。使用定性和定量数据有助于评估事件响应过程的有效性。
事件响应培训与组织人员的指定角色和职责相关,以确保此类培训包含适当的内容和细节。例如,普通用户可能只需要知道打电话的人或如何识别事件;系统管理员可能需要额外的培训以了解如何处理事件;事件响应人员可能会接受更具体的培训,例如取证、数据收集技术、报告、系统恢复以及系统修复。事件响应培训包括用户培训,以识别和报告来自外部和内部的可疑活动。用户的事件响应培训可以作为 AT-2 或 AT-3 的一部分提供。可能促使更新事故响应培训内容的事件包括但不限于:事故响应计划的测试或对实际事故的响应(经验教训)、评估或审计结果、以及适用法律、行政命令、指令、法规、政策、标准和指南的变化。
有时,某些威胁事件,例如敌对的网络攻击,只能通过整合来自不同来源的信息来观察,包括各种报告以及组织所建立的报告程序。
信息泄露是指将信息置于未被授权处理该信息的系统上的情况。当信息被认为属于某个特定的分类或影响级别时传输到某个系统,但随后确定其属于更高的分类或影响级别时,就会发生信息泄露。在这种情况下,需要采取纠正措施。响应的性质取决于泄露信息的分类或影响级别、系统的安全能力、受污染存储介质的具体性质以及具有授权访问受污染系统的个人的访问权限。在事后传达关于泄漏的信息所使用的方法,并不涉及与实际泄漏直接相关的方法,以最大限度地减少在污染被隔离和清除之前进一步扩散的风险。
明确关注处理涉及内部威胁的事件,可以进一步强调这种类型的威胁以及提供适当和及时响应所需的特定事件处理能力的必要性。
内部威胁事件的事件处理(例如准备、检测与分析、遏制、消除和恢复需要多个组织实体之间的协调,包括任务或业务负责人、系统负责人、人力资源办公室、采购办公室、人员办公室、物理安全办公室、机构高级信息安全官员、运营人员、风险执行(职能)、机构高级隐私官员以及法律顾问。此外,组织可能需要来自联邦、州和地方执法机构的外部支持。
综合事故响应团队是一支由专家组成的团队,负责评估、记录和响应事故,以便组织的系统和网络能够快速恢复,并实施必要的控制措施以防止未来的事故。事故响应团队的成员包括取证和恶意代码分析员、工具开发人员、系统安全与隐私工程师以及实时操作人员。事件处理能力包括对证据进行快速的取证保存,以及对入侵进行分析和响应。对于一些组织而言,事件响应团队可以是跨部门的实体。一个集成的事件响应团队有助于信息共享,并允许组织人员(例如开发人员、实施者和运营人员)利用团队对威胁的知识,实施防御措施,使组织能够更有效地阻止入侵。此外,综合团队有助于快速检测入侵,开发适当的缓解措施,并部署有效的防御手段。例如,当检测到入侵时,综合团队可以迅速制定适当的响应措施供操作员执行,将新事件与以往入侵的信息进行关联,并增强正在进行的网络情报开发。综合事件响应团队能够更有效地识别与操作节奏或特定任务和业务功能相关的对手战术、技术和程序,并以不会干扰这些任务和业务功能的方式定义响应措施。事件响应团队可以分布在组织内部,以提高其能力的韧性。
在受控的隔离环境中谨慎进行时,对恶意代码和其他安全事件或泄露的残留痕迹进行分析,可以让组织了解对手的战术、技术和操作手法。它还可以揭示对手的身份或某些特征。此外,恶意代码分析可以帮助组织制定应对未来事件的措施。
事件响应政策和程序涵盖在系统和组织中实施的 IR 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于确保安全性和隐私性。因此,安全和隐私项目在制定事件响应政策和程序时进行协作非常重要。通常情况下,组织层面的安全和隐私项目政策与程序是更可取的,并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致事件响应政策和程序更新的事件包括评估或审计发现、安全或隐私事件,或法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重述控制措施并不构成组织的政策或程序。
由于信息泄露而受污染系统的纠正措施可能非常耗时。在采取纠正措施期间,人员可能无法访问受污染的系统,这可能会影响他们进行组织业务的能力。
对于一个组织来说,制定应对已经引起公众关注、让组织形象受损或影响组织利益相关者(例如合作伙伴、客户)的事件的策略是非常重要的。这类宣传可能对组织造成极大伤害,并影响其执行使命和业务职能的能力。采取积极措施修复组织声誉是重建其成员信任和信心的重要方面。
安全运营中心(SOC)是组织安全运营和计算机网络防御的核心。SOC的目的是持续保护和监控组织的系统和网络(即网络基础设施)。SOC还负责及时检测、分析和应对网络安全事件。该组织配备了熟练的技术和运营人员(例如安全分析员、事件响应人员、系统安全工程师)来运营安全运营中心(SOC),并实施技术、管理和运营控制的组合(包括监控、扫描和取证工具),以监控、融合、关联、分析并响应来自多个来源的威胁和安全相关事件数据。这些来源包括周界防御、网络设备(例如路由器、交换机)以及终端代理数据流。安全运营中心(SOC)提供整体态势感知能力,帮助组织确定系统和组织的安全状况。SOC能力可以通过多种方式获得。较大的组织可能会建立专门的安全运营中心(SOC),而较小的组织可能会聘请第三方机构提供此类能力。
组织在事件响应计划中制定应对事件的要求。将模拟事件纳入事件响应培训有助于确保人员了解其个人职责以及在危机情况下应采取的具体行动。事件响应培训包括模拟违规的桌面演练。参见 IR-2(3)。
参与供应链活动的组织包括产品开发商、系统集成商、制造商、包装商、组装商、分销商、供应商和转售商。提供供应链治理的机构包括联邦采购安全委员会(FASC)。供应链事件包括涉及信息技术产品、系统组件、开发流程或人员、分销流程或仓储设施的妥协或泄露。组织确定适当的信息共享范围,并考虑向外部组织通报供应链事件所能获得的价值,包括改进流程或识别事件根本原因的能力。
组织在事件响应计划中规定了应对信息泄露事件的要求。定期的事件响应培训有助于确保组织人员了解各自的职责,以及在信息泄露事件发生时应采取的具体行动。
组织人员,包括系统所有者、任务和业务所有者、机构高级信息安全官员、机构高级隐私官员、授权官员以及风险执行官,会分析报告中揭示系统漏洞的事件。该分析可以用于优先处理并启动缓解措施,以应对发现的系统漏洞。