安全响应团队的构建与管理.docx
- 文档编号:25108183
- 上传时间:2023-06-05
- 格式:DOCX
- 页数:23
- 大小:370.23KB
安全响应团队的构建与管理.docx
《安全响应团队的构建与管理.docx》由会员分享,可在线阅读,更多相关《安全响应团队的构建与管理.docx(23页珍藏版)》请在冰豆网上搜索。
安全响应团队的构建与管理
安全响应团队的构建与管理
计算机紧急事件响应小组(CERT)培训与教育
网络系统可生存性计划
软件工程学院
卡内基梅隆大学
匹兹堡PA15213-3890
1996-2004卡内基梅隆大学
CERT,计算机安全事件响应小组协调中心,由卡内基梅隆大学,在美国专利商标局注册。
此材料被授权公开发行,并仅限由软件学院分发给参加者。
计算机安全事件响应小组协调中心(CERT/CC)是由美国防高级研究计划局在1988年10月,一次网络蠕虫事件发生后创立的。
CERT/CC位于卡内基梅隆大学软件工程学院(SEI),SEI是一个联邦政府资助的研究开发中心(FFRDC),它是由美国国防部秘书处下属的采办、技术和后勤办公室(OUSD(AT&L))发起的。
CERT/CC的任务是:
Ø履行协调中心的职责。
Ø鼓励通过网络社团的合作,取得有效的事件响应。
Ø帮助其他组织组建响应队伍,并且
Ø引导紧急事件趋势的研究和分析。
部分工作是源起美国陆军信息作战局(LIWA)和美国国防信息系统局(DISA).
CSIRTS的创建与管理
简介
创建一个有效率的计算机安全事件响应小组
计算机安全事件响应小组的构成
操作性管理问题
事件处理行动
总结
简介
Ø创建一个有效的计算机安全事件响应小组
Ø什么是计算机安全事件响应小组?
Ø计算机安全事件响应小组做些什么?
Ø计算机安全事件响应小组的通常种类
Ø培养你的视野
Ø执行建议
计算机安全事件响应小组构成
Ø赞助者
Ø任务
Ø资金
Ø组织问题
Ø服务
Ø政策和程序
Ø资源
操作性管理问题
Ø计算机安全事件响应小组员工问题
Ø管理计算机安全事件响应小组基础设施
Ø计算机安全事件响应小组效率的评估
应急处理行为
Ø危急信息
Ø筛选
Ø协调响应
总结
提交人:
GEORGIAKILLCRECE
ROBINRUEFLE
MARKZAJICEK
CERTCSIRT开发小组
网络系统可生存性软件工程学院
卡内基梅隆大学
http:
//www.cert.org/csirt/
目的
我们为您提供:
计算机安全事件响应小组的目的和构成的介绍
组建一个计算机安全事件响应小组的基本原理
计算机安全事件响应小组的好处
必备条件和框架
服务种类和标准
必须的政策和流程
协作和通讯
对希望计算机安全事件响应小组管理者和员工应该处理的工作类型,有一定的熟悉。
介绍应急处理方法和应急响应行为的本质。
本指南呈现了对管理、组织上和程序问题的高水平概述,它包含了创建和运行一个计算机紧急事件响应小组的问题。
本节会对计算机应急响应小组的目的和结构做一个介绍。
这包括:
Ø组建一个计算机安全事件响应小组的基本原理
Ø计算机安全事件响应小组的好处
Ø组建一个有效的计算机安全事件响应小组的必备条件和框架
Ø计算机安全事件响应小组能够提供的服务种类和标准
Ø计算机安全事件响应小组应该建立和这行的必须政策和流程
Ø在小组内和小组间,协作和通讯的重要性
本节会对计算机安全事件响应小组管理者和员工应该处理的工作类型,做一些熟悉。
同时会对紧急事件处理方法和紧急事件响应行为的本质做一些介绍。
专门的主题会包括:
Ø确定危急信息
Ø提供热线和筛选功能
Ø协调响应
Ø管理计算机安全事件响应小组基础设施
Ø保护计算机安全事件响应小组数据
Ø雇佣计算机安全事件响应小组员工
适用读者
各类计算机安全应急响应小组的管理者
Ø未来的
Ø新的
Ø现有的
其他需要对计算机安全事件响应小组管理问题,想要有了解的个人
负责创建计算机安全事件响应小组的个人
对学习关于计算机安全事件响应小组更多知识有兴趣的个人
本指南为管理者和其他有兴趣的员工设计,提供包括创建和运行计算机安全事件响应小组问题的综述,同时提供必要的决策,确保你的计算机安全事件响应小组员工,对计算机安全事件响应小组的客户提供适当的服务。
负责创建计算机安全事件响应小组的个人可能包括:
Ø首席信息官(CIO)
Ø首席安全官(CSO)
Ø管理者
Ø项目领导
Ø项目小组成员
Ø其他有利害关系或者相关部分
其他对更多关于计算机安全事件响应小组工作有兴趣的成员,可能包括
Ø法律人员
Ø人力资源
Ø现行安全人员
Ø系统和网络管理员
Ø公共关系人员
Ø上层管理
Ø风险管理和审计人员
Ø客户成员
本指南不需要有处理应急事件的经验。
课程材料的应用
所有的计算机安全事件响应小组都不一样
每个小组应该由他们根据各自独特的环境,提供的服务类型和实质,做出决定、
课程中的例子和建议反映了
Ø什么对计算机安全事件响应小组有好处
Ø遇到的缺陷和益处
注意到不是所有的计算机安全事件响应小组都是相似的。
我们不能对您的计算机安全事件响应小组的独特问题最好的解决方案,给出决定性的答案。
将团队的标准,应用到不同的情况中。
中。
记住这条信息,并在你的组织的工作中应用。
创建和管理计算机安全事件响应小组
简介
创建一个有效的计算机安全事件响应小组
计算机安全事件响应小组构成
操作性管理问题
事件处理行为
总结
动机
建立计算机安全安全事件响应小组的促进因素包括
Ø计算机安全安全事件报告的数量、受计算机安全安全事件影响的组织类型和数量,普遍增长
Ø各组织更加集中的意识到对安全政策的需要,并把它作为全面风险管理政策的一部分而实行。
Ø新的法规法令对各组织怎么样需要保护信息财产产生影响
Ø系统和网络管理员单独的运作,不能保护组织系统和资产
Ø需要实现预先的计划和政策
因特网本身已经成为基础设施,因此必须保护它,保证可靠稳定的服务。
网络和系统管理员没有适当的人员和行动阻挡攻击和最小化损害
介绍新的规则和标准,确保对数据的保护和审计。
这会对一个组织需要的安全政策和流程产生影响。
如下方面的改变
Ø组织数据保护需求
Ø当地或者国家法律
Ø制度上的规定
已经迫切需要把安全意识定位到企业级别。
在美国的一些例子包括:
Ø1999年的GRAMMLEACHBLILEY法案(GLBA,即众所周知的金融服务现代化法案)——要求金融机具有客户隐私政策和信息安全程序
Ø健康保险便利及责任法案(HIPAA)——包括保护对于健康组织的确定类型健康信息的隐私和完整性的要求
Ø联邦信息安全管理法案(FICMA)——2002年电子政务法案的一部分,要求美国联邦政府机构有责任确保各自系统的信息安全,其中包括执行每年一次的独立评估。
根据此法案,所有美国联邦机构也要求建立应急响应能力和程序,用来发现、报告和响应安全应急事件。
要保证您组织的信息资产安全,需要多层面的努力。
没有一种行为或者解决方案是万能的。
事件报告正在增多
上面是提交到计算机安全事件应急小组的报告。
在以后几年中,网络社会在网络安全方面会遇到的问题可以用如下几条概括
Ø因特网的用户和公司的数量正在增长
Ø卖方产品发展和测试圈正在减少
Ø运行在因特网上客户端和服务器上的协议和应用程序的复杂性正在增长
Ø有许多信息基础设施有根本性安全设计问题的不能快速解决
Ø入侵技术正在增长
Ø攻击、入侵工具和工具包的的复杂化正在增长
Ø计算机安全入侵数量正在增长
Ø入侵效率正在增长(知识正在被传递到缺少知识的入侵者,因此使入侵更有效)
Ø拥有安全知识和专门基数的人数正在增长,但是远比因特网用户的数量增长速度小。
Ø有效的安全工具数正在增长,但是其不必要和软件、系统和网络复杂性的增长一样快。
Ø事件响应小组的数量正在增长,但是事件响应人数对网络用户的比率正在减少。
报告至CERT/CC的漏洞数的增长
漏洞:
漏洞就是一组状态,使得对外在或者内在安全策略的违反,成为可能。
漏洞可能是软件缺陷、配置或者设计结果、在系统间,或者环境变化间不希望的交互作用。
例子如下:
phf(按照用户“nobody”的远程命令执行)
rpc.ttdbserverd(按照根用户的远程命令执行)
全局可写的密码文件(系统评估数据的编辑)
默认密码(远程命令执行或者其他访问)
对降格服务引起的服务问题的拒绝
在软件或者协议中的缓存器溢出(BIND,发送邮件、FTP、TCP等等)
要认识到重要的一点是,从漏洞的发现到爆发时间变得越来越短。
周-天-小时-分钟。
什么是计算机安全应急响应小组
一个组织或者团队,对规定的用户,提供服务并对计算机安全安全事件的防止和响应给予支持。
要保持您组织信息资产的安全,需要一个多层面的方法。
没有一种行为或者解决方案是万能的。
组建一个计算机安全应急响应小组成是一个层面,还要执行安全配置、安全意识训练和外部、内部的防护,
积极的协同响应始终是必须的,但是我们也必须快速行动,正确实施其他方案,取得如下的效果:
Ø拥有安全机制的更高质量的信息技术产品,更好的符合今天系统管理员和用户的知识、技术以及能力。
Ø扩展研究项目,领导计算机安全上的基础性的进步。
Ø大量的技术专家,拥有保护大型复杂系统所需的技术。
Ø计算机空间中,利益相关者对数据安全事务、漏洞和威胁的不断增长和前进的意识与理解。
就像一个消防队,一个计算机安全应急响应小组可以执行反应的和主动反应的服务。
消防队对火灾进行响应并扑灭之。
他们也会预先有准备的,提供火灾预防训练,促进烟雾警报器的安装、防火梯的购买并指导家庭用最正确的方式安全撤离燃烧的建筑物。
CERT/CC的经验是,在一次入侵发生后,很多组织第一次开始思考怎么样处理计算机安全安全事件。
出现了各种缩写,用来指明不同的响应小组。
这里列出除CSIRTS以外的一些例子:
CERT计算机事件响应小组
CSIRC计算机安全事件响应能力
CIRT计算机事件响应小组
CIRC计算机事件响应能力
IRT事件响应小组
SERT安全应急响应小组
SIRT安全事件响应小组
方法与技术
事件处理不仅仅是以技术的应用,来解决计算机安全事件。
它是行动计划的发展
它是为如下而进行的方法的建立:
Ø通告和通讯
Ø合作和协调
Ø分析和响应
计算机安全事件响应小组的好处
反应性
Ø集中的响应努力
Ø更高速和标准化的响应
Ø拥有事件处理经验的稳定的团队主干,并具有实用商务知识。
Ø在安全社团中,同其他人的协调。
主动性
Ø支持组织性的商业目标
Ø提供可信的风险数据和商业情报
Ø提供产品开发圈或者网络操作的接口
Ø对履行漏洞评定、发展安全策略和提供意识训练上,提供帮助。
即使最好的信息安全基础,也不能保证不发生入侵或者其他恶意行为。
Ø非常重要的是,当发生计算机安全事件时,组织应该具有响应的有效方法。
Ø组织能够识别、分析以及对事件的响应的速度,会限制造成的损害,并降低恢复的成本。
计算机安全响应小组可以现场指挥快速的响应,牵制和恢复一个计算机安全事件。
计算机安全响应小组也许会对被危害的系统很熟悉,所以能更快的协调恢复并提出缓解和响应的策略。
他们和其他计算机安全响应小组和安全组织的关系,能够很方便的分享响应策略,对潜在的问题作出较早的警报。
计算机安全响应小组开始于以响应为目的的组织,但是现今在已经发展成一般意义上的,主动防御并保护组织和网络社会重要资产的组织。
这种主动的工作包括提供安全意识和教育服务,影响力政策以及研究组和信息交换的协调。
它还包括对入侵趋势的分析,并摸索出对变化环境的更好理解,以便响应保护、缓解和响应策略能够被发展并传播。
计算机安全响应小组可以和组织的其他部门一起工作,保证新的系统能够以意识中的安全发展和运行,并且和任一方的安全政策保持一致。
他们可以帮助确定组织的漏洞区域,有时能够执行漏洞评定和事件探测。
计算机安全响应小组做些什么?
通常,一个计算机安全响应小组
Ø提供一个单独的联系点,来报告本地问题
Ø确定和分析发生了什么,其中包括冲击和威胁。
Ø研究解决方案和缓解策略
Ø分享响应选项、信息和学习到的课程。
计算机安全响应小组的目标是:
Ø最小化和控制损害
Ø提供或者辅助进行有效的响应和恢复
Ø帮助防止以后再发生
对每个人来说,没有一个单独的团队能承担一切!
计算机安全响应小组和一个IT部门中的安全小组不同。
安全小组履行每天的组织的网络和系统监视。
它的责任是保持系统的更新,安装补丁,为减少事件的发生而工作。
计算机安全响应小组可以把这些工作作为他们的一部分,但同时也会按照一个事件信息的仓库来服务,是一个事件报告和分析的中心,是一个事件响应跨组织的协调中心。
这种协调功能甚至可以延伸到组织外,包括和其他团队和法律执行机构的合作。
一般计算机安全响应小组分类
一般计算机安全响应小组种类包括
Ø内部计算机安全响应小组(internalcsirt)——对他们的母组织提供事件处理服务,这可能是银行、大学或者联邦机构的计算机安全响应小组。
Ø协调中心(coordinationcenter)——跨不同计算机安全响应小组,或对一个特定的国家、州、研究网络、或者其他这样的实体,协调和促进对事件的处理。
通常会有更大的范围和更多样的客户。
Ø分析中心(analysiscenter)——主要从各种资源中,综合数据,测定事件活动种的趋势和特征。
随后,可以用这些信息帮助预测未来的活动,或当当前活动符合一组先前测定的特征时,提供早期警报。
Ø商家(vendor)——和报告、追踪漏洞的组织合作;另外一种类型的商家可能会对他们自己的组织提供内部事件处理服务。
Ø事件响应提供商(incidentresponseprovider)——把事件处理服务作为产品,提供给其他组织。
这有时指安全管理服务提供商(MSSPS)
计算机安全响应小组发展阶段
阶段1训练组织(education)
阶段2工作计划(planning)
阶段3初始化执行(implementation)
阶段4运作状态(operation)
阶段5平级合作(collaboration)
此框图显示了根据CERTCSIRT反展小组的计算机安全响应小组的反展阶段。
在阶段1,组织想要组建一个团队,但是不真正知道计算机安全响应小组是什么,做什么。
组织需要通过这些意识训练,学习实现一个团队的不同方法。
在阶段2,组织具有了一些计算机安全响应小组的知识,开始确定和分析要计划实现计算机安全响应小组遇到的不同问题。
在阶段3,组建了计算机安全响应小组,并开始提供服务。
要开始运作,应该拥有一个确定的顾客群、任务和服务、初始的团队和训练、草拟标准操作规程和一个安全基础设施。
在阶段4,计算机安全响应小组要处理事件,并有6个月到1年的运作。
在阶段5,计算机安全响应小组成为一个成熟的团队。
它已经存在了二年或者更长,在事件处理上,已经有了相当的经验。
他们成为和其他计算机安全响应小组同起同坐的合作者。
很重要的一点是,要认识到你也许已经在一个更高级的阶段,但依然需要回过头,重新审视早些的阶段,确认你正在朝着正确的路线前进。
在这个连续过程中,你把你自己(你的计算机安全响应小组)摆放到什么位置?
你从前处理过计算机安全事件么?
创建一个有效的计算机安全响应小组
要有效,一个计算机安全响应小组需要四个基本元素
可操作的框架
服务和策略框架
质量保证框架
适应变化的环境和变化的威胁形式的能力。
操作框架
Ø清晰的任务
Ø规定的客户
Ø组织基地
Ø和其他组织团队的正式关系
服务和政策框架
Ø明确的服务
Ø明确的信息流
Ø定义搜集,记录,追踪和取得信息的方法
Ø清晰的,容易理解的组织范围的政策
有效的质量保证行动
Ø定义一个质量系统
Ø专门的对质量参数的测量和检查方法
Ø报告和审查行动与流程
Ø保证质量级别的结算,遵守和自动调整流程
Ø客户和顾客的反馈
适应性和灵活性
Ø跟上变化的技术的能力
Ø适应实时威胁未来紧急威胁的能力
Ø法律建议和支持
建立你的视野
您计算机安全响应小组框架的基本组成,或者说建筑砖石,组成您计算机安全响应小组的视野。
这些元素包括:
Ø顾客——您为谁服务
Ø任务——您做什么?
您的目的?
服务——怎么样完成您的任务。
怎么为你的顾客服务
◆你处理的事件类型
◆你执行的行动类型
Ø组织结构——你怎么操作?
它是怎么结合在一起的?
资源——你需要什么资源去执行您的任务?
Ø资金——你怎么偿付它?
以上所有的都是由资金支持的。
Ø管理和客户买入——没有这点,它不能成功。
这是视野立足的根本。
计算机安全响应小组的各元素互相影响,并因此影响到您的设计。
例如,您的任务会受到您客户和需求的影响。
你的资源和怎样分配他们会影响你需要的组织模型、你能提供的服务和你执行任务的好坏。
在确定您的视野或者框架的时候,你需要考虑所有这些元素,并试图找到他们中间的平衡。
Ø需要做什么?
建立一个响应计划
Ø结合到现有的方法和组织结构中
Ø加强和提高客户有效管理计算机安全事件的能力
Ø作为保护和确保重要商务功能和资产的全面策略的一部分
训练员工,使其对以下2种情况都能确认
Ø威胁对商务功能的影响和范围
Ø适当的缓解和恢复方案
执行建议
得到管理买入和组织的同意
要和母组织或者客户组织策略与商务目标一致。
选择一个计算机安全响应小组发展项目小组。
在整个进程种保持交流
从小起步,不断成长。
只要合适,就利用现有的(再利用是很好的)
应该建立一个有权限决定的计算机安全响应小组计划小组项目领导。
这个项目小组应该代表相关的团体和组织。
所有利益相关者和客户代表应该通过执行,从初始的计划阶段,就参与计算机安全响应小组的发展中。
在商业或者教育组织中,这可能包括法律顾问、公共关系和市场人员、部门经理、安全人员、系统和网络管理员、文案助理人员、高层管理,甚至可能是设备人员。
很难决定利益相关者是谁、什么时间建立协调中心或者国家级小组。
一旦你选择或者限定了要服务的客户,这其中一些可能会确定。
早加入,就能够以一个初始的市场付出为您的计算机安全响应小组工作,这会开始建立意识。
管理买入必须包括提供人员、时间和资金。
计算机安全响应小组的结构和任务,必须建立在母组织或者客户组织安全策略和商务目标的基础上。
在整个过程中,确定每个人明白发生了什么和为什么发生。
尽可能的利用存在的资源和安全策略与政策。
例如,如果在您的组织有一个物理的安全侵犯——当前通知了谁?
紧接着会有什么步骤?
对于一个电子侵犯,您能利用存在的政策,创建一个政策么?
老的政策能覆盖所有的侵犯的类型么?
无论外部的还是内部的,要指望于已经存在的。
和其他小组谈话,找出什么对他们的工作有好处。
根据你组织的结构和任务,它也可能有效。
基本执行步骤
搜集信息创建计划,获取计划中的反馈
确认计算机安全响应小组的顾客确认和获取人员装备和基础设施资源
决定计算机安全响应小组的任务开发政策和程序
为计算机安全响应小组的操作获取资金训练您计算机安全响应小组员工和客户
决定计算机安全响应小组范围和服务等级通告计算机安全响应小组
确认和客户关键部分的交互传达您的任务和服务
确认交互的任务和责任获得反馈
回顾并提高计算机安全响应小组框架
请记住,非常重要的一点是,要得到管理和客户买入与支持。
必须用内在的和外部通讯方法,让客户和其他利益相关者理解执行,并也提供对计划的审查和反馈的机制。
当计算机安全响应小组准备操作时,应该发表通告。
所有的客户应该理解他们和计算机安全响应小组的交互应该是什么,这包括什么事件、怎么联系和报告计算机安全响应小组异常情况和事件活动。
内部计算机安全响应小组的步骤
从管理层得到承认和支持随着利益相关者的输入,决定了
确认谁需要加入计算机安全响应小组任务
有管理层发出的通告计算机安全响应小组范围和服务等级
选择一个项目小组计算机安全响应小组报告结构,权限和组织模型
搜集信息确定交互的角色和责任
研究其他组织正在做什么创建一个基于视野或者框架的计划
确认存在的进程和员工数获取计划的反馈
访问重要利益相关者和参与者发布计算机安全响应小组
得到反馈
列举在一个组织中,内部计算机安全响应小组的步骤:
Ø得到对计算机安全响应小组的承认和支持并执行项目;包括资金、资源、项目小组和员工中参与的其他人的时间。
Ø确定在计划和执行进程中,需要谁的加入。
Ø上层管理要有一个通告的发送(CEO及其等同地位的,或者CIO及其等同地位的),对组织解释,计算机安全响应小组正在计划的,和将要遵照执行的基本方法。
Ø选择一个项目小组
Ø研究其他组织在创建一个计算机安全响应小组时做什么,并研究存在什么最好的行动和指导。
Ø从现有的组织图标,网络布局、安全策略、制度规章和规则,从现有的灾难恢复或者事件应急计划、现有的商业连续性计划和重要系统与网络资产详细目录中,搜集信息。
Ø访问商业经理、信息技术职员和经理、以及终端用户,理解对处理计算机安全事件的当前方法。
Ø确认谁履行如下责任:
防火墙操作和维护、入侵探测、其他网络或者主机监视、漏洞评定或者扫描、渗透测试、补丁维护和操作系统更新。
Ø访问商业经理、信息技术职员和经理、终端用户、以及来自法律、人力资源和公共关系的代表,考虑到事件管理和响应,决定这些部门需要什么。
Ø随着所有利益相关者的输入,限定了计算机安全响应小组视野或者框架,这包括:
计算机安全响应小组客户、任务、权限、服务、组织模型和需要的员工、装备以及基础设施。
Ø根据视野与框架创建一个计划,使它在组织中,对反馈和意见有效。
Ø根据反馈,随着对任何需要的改变,更新计划。
集合信息
集合的关键信息包括:
Ø客户有什么要求
Ø必须保护的重要财产是什么
Ø哪些类型的事件经常被报告
Ø存在什么电脑安全问题
Ø需要哪种类型的响应
Ø需要哪种辅助和专家意见?
Ø需要什么方法?
Ø谁要扮演什么角色?
Ø当前有人履行那个角色么?
Ø在通知或者升级进程中,需要谁的加入?
一旦你开始建立你的视野和框架,作为一种有用的资源和想法,参考其他团队,以及关于事件响应的文档和书籍。
调查同样的组织,它们提供事件处理服务或者组织了计算机安全响应小组。
如果你以及和这些组织联系上,看看你能否和他们谈论一些关于他们如何建立他们的团队。
如果不能和他们的成员交谈,请参看他们计算机安全响应小组的网站。
检查他们的任务、特征、资金安排和服务列表。
这会给你一些组织你团队的想法。
查阅任何有人可能写的关于计算机安全响应小组或者事件处理的书籍和白皮书。
在CERT计算机安全响应小组开发网页上,可以找到一个资源的初始列表:
http:
//www.cert.org/csirts/resources.ht
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 响应 团队 构建 管理