美国《网络安全事件与漏洞响应指南》解读

2021 年 11 月，美国国土安全部网络安全与基础设施安全局（Cybersecurity And Infrastructure Security Agency，CISA）发布《网络安全事件与漏洞响应指南》（以下简称《指南》），旨在为联邦机构应对网络安全事件和漏洞响应提供一套标准程序手册，从而有效开展对网络安全事件及漏洞的识别、应对及上报活动。《指南》由两部分组成：一是网络安全事件响应程序；二是漏洞响应程序。《指南》的发布标志着美国已经制定了一套标准化的联邦政府网络安全事件处理程序，将形成整体性网络防御行动能力。

近年来，网络和信息安全已成为美国国家安全的重要组成部分，针对日益加剧的网络安全威胁，美国出台多项网络安全政策，采取多种措施，努力加强本国的网络和信息安全。2021年 5 月，美国总统拜登签署第 14028 号行政令“关于加强国家网络安全”。行政令要求提升美国联邦机构网络安全事件检测和响应，以及应对威胁的能力。为落实上述要求，2021 年11 月 16 日，CISA 发布《指南》。《指南》为联邦行政部门提供了一套标准程序，该《指南》不适用于涉密信息网络及国家安全系统威胁。

《指南》明确了网络安全事件和漏洞响应两类处理程序，相关处理程序主要是按照《美国法典》《爱国者法案》等 9 项法律法规，《美国国土安全部网络安全战略》《美国网络事件协调（PPD-41）》等 19 项政府文件，《联邦事故通知指南》等 3 项标准和《网络事件报告最佳做法》1 项最佳实践，共计 32 份文件编制而成。

2.1　概念界定

《指南》对重大事件及其等级进行了界定。重大事件是指任何可能对美国国家安全利益、外交关系、经济或公众造成明显损害的事件，其包括 3 级、4 级、5 级事件。其中，第 3 级事件（橙色），定义为“可能对公共健康或安全、国家安全、经济安全，对外关系、公民自由或公众信心产生明显影响”的事件；第 4 级事件（红色），定义为“可能对公共健康或安全、国家安全、经济安全、外交关系或公民自由产生重大影响”的事件；第 5 级事件（黑色），定义为“对提供广泛的关键基础设施服务、国家政府稳定或人民生命构成迫在眉睫的威胁”。发生与上述相关的网络安全事件或漏洞应执行《指南》要求。

2.2　网络安全事件响应程序

网络安全事件响应程序包括准备、检测与分析、遏制、根除和恢复、事后活动、协调 6方面内容。事件响应过程如图 1 所示。

图 1　事件响应过程

2.2.1　准备阶段

在重大事件发生前做好相关准备，以减轻对组织的影响。记录和理解事件反应的政策和程序；监视并检测可疑恶意活动；制定人员配置计划；对用户开展网络威胁和通知程序相关培训；利用网络威胁情报主动识别潜在恶意活动。其中，监视工作由 CISA 使用的爱因斯坦入侵检测系统负责，当检测到可疑活动时发出警报，并实时监测网络态势变化。

2.2.2　检测与分析

及时确定入侵活动是否已经发生，如果发生，则确定云、主机和网络系统受害的类型和程度。检查主机、防火墙、日志以及其他网络数据（如路由器流量）的异常情况，对事件进行初步分类后上报 CISA；按照美国国家标准与技术研究院 SP 800-61《计算机安全事件处理指南》标准要求进行分类、优先排序，收集潜在证据；建立事件时间表，记录和描述事件；查明事件的根源，收集威胁信息，评估网络和系统变化；如有需要，可调用联邦网络授权进行事件响应和追捕协助。

2.2.3　遏制

遏制是事件反应的高度优先事项，通过实施短期缓解措施，以隔离威胁并防止威胁转移到其他系统。主要活动包括：确定遏制战略；隔离受影响的系统和网络；更新防火墙过滤规则；拦截并记录非授权访问；关闭特定端口和邮件服务器；更换系统管理员密码、服务或应用账户信息等。

2.2.4　根除和恢复

修复所有受感染的 IT 环境，例如云、主机和网络系统等；重建硬件；安装补丁；重置已泄露的账户密码；监视对手对遏制活动作出的反应。

2.2.5　事后活动

这一阶段的目标是记录入侵事件，向机构领导层通报情况，加强防护措施防止类似事件发生，并借鉴经验教训改进对未来事件的处理，寻找并解决业务上的“盲点”。

2.2.6　协调

《指南》要求在事件确定后 1 小时内将初次事故报告通知 CISA。从 CISA 国家网络安全事件评分系统中获取事件优先等级。随后，CISA将与联邦调查局、国家情报主任办公室等取得联系共同完成以下内容，如表 1 所示

表 1　联邦政府为落实《国家网络事件响应计划》的努力方向

2.3　漏洞响应程序

《指南》规范了政府机构应对紧急和高优先级漏洞时应遵循的流程。漏洞响应程序包括识别、评估、修复和报告 4 个阶段。

2.3.1　识别阶段

有效的漏洞响应建立在强有力的漏洞管理之上。跟踪操作系统和其他应用程序，掌握系统中可能存在的漏洞，以及潜在漏洞的影响。通过监控威胁流主动识别漏洞情况，具体过程如图 2 所示。

图 2　漏洞响应过程

2.3.2　评估阶段

确定漏洞是否存在，对于主动攻击型漏洞，需使用“快速”工具，开展与漏洞相关的扫描。如有需要，可与第三方事故应对人员合作。

2.3.3　修复阶段

及时修复漏洞，具体措施包括：限制访问，隔离易受攻击的系统、应用程序、服务、配置文件等。

2.3.4　报告阶段

共享漏洞信息，向 CISA 报告漏洞修补程序及响应状态。

《指南》的发布将使美联邦政府在重大网络安全事件与漏洞响应方面有章可依，未来将大幅提升美国网络安全事件及漏洞检测和响应处理能力。

3.1　美国将进一步加强网络安全标准与指南等落地性政策的制定与实施

美国总统拜登在 2021 年 5 月签署的《关于加强国家网络安全的行政命令》中规定要制定专门手册，使联邦政府部门和机构更加高效地处理网络安全事件。同时要求手册需覆盖国家标准与技术研究院的相关要求。此次发布的《指南》在编制过程中参考了 30 余份法律政策与标准文件制定而成，完全符合拜登政府行政令的要求。美国从网络安全事件与漏洞的确定、处理到报告，提出了系列操作规程与标准，清晰阐明了事件各个阶段的处理重点与要求，预计《指南》正式实施后将大幅提升美联邦政府和机构网络安全事件处理效率。虽然美国涉密信息网络和国家安全系统网络威胁活动不适用于本《指南》，但是《指南》的发布为美联邦政府机构处理重大网络安全事件与漏洞事故给出了标准化操作流程，未来也将向非政府部门推广使用。

3.2　美国将协调各部门形成合力，提高网络安全事件处理效率

美国网络安全事件应急响应处置工作一般涉及国土安全部门、情报部门、国防及司法部门等，每个部门又包括多个下设机构，如此繁杂的内设机构如何快速有效地处理网络安全事件，事关美国国家安全利益。为此，美国通过多年探索将举全政府之力加强网络安全防护 。其通过明确职责与合作模式，畅通上报机制，形成合力高效地处理网络安全事件。

美国通过细化网络安全应急响应不同阶段的重点工作与机构职责和分工，从而进一步提升网络安全事件处理效率。如在威胁反应阶段，工作侧重是开展调查活动，此时需要司法部、联邦调查局等部门行动。在威胁识别后要加强资产保护，此时工作侧重是减轻攻击活动带来的不良影响，将事件影响降到最低，此时需要国土安全部与 CISA 等部门开展行动。汇编分析机构信息安全数据，制定和进行有针对性的威胁和脆弱性评估等。在威胁趋势分析阶段，要调查如何降低对手入侵能力，此时需要国家情报主任办公室、网络威胁情报整合中心等部门开展行动。

3.3　美国注重形成主动性、整体性的网络防御能力

近年来，美国政府通过施行“慑战并举”“前出防御”以及“智能化网络安全防御”等防御理念，不断加强网络安全防御能力。着重构建主动防御能力，例如将攻击者重新定向到蜜罐系统。蜜罐是一类对网络攻击方进行欺骗的技术，通过布设诱饵主机，诱使攻击者对其进行攻击，从而对攻击行为进行捕获和分析，获取攻击工具、动机意图等信息，甚至对攻击者进行追踪溯源，能提高系统和网络的安全防护能力 。同时，美国通过开展“网络空间感知与理解”项目、“大规模网络捕猎”项目等系列智能网络安全防御项目，不断提升其网络空间态势感知能力。美国注重从全局视角出发，提升对网络安全威胁的及时发现、实时分析、应急响应能力，最终实现快速决策与保护行动。标准化落地政策加智能化网络防御工具双管齐下的发展模式将帮助美国迅速提升整体性网络防御能力。

3.4　美国着重加强网络安全事件的经验总结与信息共享

美国十分重视网络安全事件的经验总结工作。特别强调要加强对安全事件进行编目，从而更好地管理未来类似事件、指导分析与搜索安全漏洞等。同时，多年来美国一直十分重视网络安全信息共享从顶层谋划到细则落地，有效指导了美国网络安全工作开展。早在 2012 年奥巴马政府就发布《信息共享与安全保障国家战略》，要求美国政府机构间加强情报交流建立数据共享机制，重点加强涉密和敏感非密信息保护。2015年 4 月，美国国防部发布《2015 年国防部网络战略》要求美军加强网络威胁情报与信息共享，维护美国核心利益。2018 年 5 月，美国国土安全部发布《网络空间安全战略》要求加强合作，从而有效应对网络漏洞与威胁。2020 年 3 月，美国网络空间日光浴委员会发布《来自未来的警告》报告，建议美国政府加强与私营部门合作，共享网络威胁信息。此次发布的《指南》要求通信技术服务商要向 CISA 报告网络事件，并与联邦机构合作开展相关调查工作。

近年来，CISA 在联合各部门加强网络态势感知、情报威胁共享方面的总体协调作用得到进一步强化，此次《指南》的发布是落实美国拜登政府关于加强国家网络安全的最直接体现。历来，各国在顶层网络安全战略政策制定与底层标准实践衔接方面存在较大差距，可操作性不明朗。但是，拜登政府特别注重国家战略政策与具体落地政策的衔接。美国计划通过标准化共享实践，将最佳解决方案和人才聚集在一起，推动联邦政府的网络安全应对实践不断发展。未来，在提高组织网络安全实践中，美国将重视发挥标准、指南等一系列落地性政策的牵引作用。