NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
进行分析以确定事件发生期间发生了什么以及事件的根本原因 标准:例1:确定事件发生期间的事件顺序,以及每个事件中涉及的资产和资源 | 例2:尝试确定在事件中直接或间接涉及的漏洞、威胁和威胁行为者 | 例3:分析事件以找到事件的原因潜在的系统性根本原因 | 示例4:检查任何网络欺骗技术以获取关于攻击者行为的额外信息
收集事件数据和元数据,并保持其完整性和来源 标准:例如1:根据证据保全和管理链程序,收集、保存并保护所有相关事件数据和元数据的完整性(例如,数据来源、收集日期/时间)
事件的严重程度被估计和验证 标准:例1:审查事件的其他潜在目标,以寻找妥协指标和持续存在的证据 | 例2:在目标上自动运行工具,以寻找妥协指标和持续存在的证据
在调查过程中执行的操作会被记录,并且记录的完整性和来源会得到保存 标准:示例1:要求每个事件响应者及其他人(例如系统管理员、网络安全工程师等执行事件响应任务的人员,记录其操作并使记录不可篡改 | 示例2:要求事件负责人详细记录事件,并负责维护文档的完整性以及所报告的所有信息来源
事件被分类和优先排序 标准:例如1:根据事件类型进一步审查和分类事件(例如,数据泄露,勒索软件,DDoS,账户被攻破)| 示例2:根据事件的范围、可能影响和时间紧迫性对事件进行优先排序 | 示例3:通过在迅速从事件中恢复与观察攻击者或进行更彻底调查之间进行平衡,为现有事件选择事件响应策略
事件根据需要进行升级或上报 标准:例如1:跟踪并验证所有正在进行的事件的状态 | 例如2:与指定的内部和外部利益相关者协调事件升级或上报
事件报告经过分级和验证 标准:例1:初步审查事件报告,以确认其与网络安全相关并需要采取事件响应措施 | 例2:应用标准来评估事件的严重性
启动事件恢复的标准已应用 标准:示例1:将事件恢复标准应用于事件的已知和假定特征,以确定是否应启动事件恢复流程 | 示例2:考虑事件恢复活动可能带来的运营中断
一旦宣布事件发生,事件响应计划将与相关第三方协调执行 标准:例1:检测技术自动报告已确认的事件 | 例2:向组织的事件响应外包方请求事件响应援助 | 例3:为每个事件指定事件负责人 | 例4:根据需要启动额外的网络安全计划以提供支持事件响应(例如,业务连续性和灾难恢复)
事件已被控制 标准: 例1:网络安全技术(例如,杀毒软件)以及其他技术的网络安全功能(例如,操作系统、网络基础设施设备)自动执行控制措施 例2:允许事件响应人员手动选择并执行控制措施 例3:允许第三方(例如,互联网服务提供商,托管安全服务提供商)代表组织执行遏制操作 | 示例4:自动将受损终端转移到修复虚拟本地局域网(VLAN)
事件被消除 标准: 示例1:网络安全技术和其他技术(例如操作系统、网络基础设施设备)的网络安全功能自动执行消除操作 示例2:允许事件响应人员手动选择并执行消除操作 示例3:允许第三方(例如,托管安全服务提供商)代表组织执行根除操作
信息与指定的内部和外部利益相关者共享 标准:示例1:根据响应计划和信息共享协议安全共享信息 | 示例2:自愿与信息共享与分析中心(ISAC)共享攻击者观察到的TTPs信息,但移除所有敏感数据 | 示例3:当发生恶意内部人员活动时通知人力资源部门 | 示例4:定期更新向高级领导汇报重大事件的状态 | 示例5:遵循合同中定义的组织与供应商之间的事件信息共享规则和协议 | 示例6:协调组织与其关键供应商之间的危机沟通方式
内部和外部利益相关者会收到事件通知 标准:示例1:在发现数据泄露事件后,按照组织的数据泄露通知程序进行,包括通知受影响的客户 | 示例2:根据合同要求通知业务合作伙伴和客户有关事件 | 示例3:根据内部准则通知执法机关和监管机构有关事件身份响应计划和管理批准