搜狐军事-搜狐网站> 军情站消息
国内 | 国际 | 社会 | 军事 | 公益

美国国防部网络事故应急处理的方法

来源:搜狐军事 作者:知远

  附录 B 网络事故应急处理的方法

  1、简介

  a、本节中描述的方法提供了一个通用的、标准化的进程,确立检测、分析和响应信息或技术事件或网络事故的意图和要求,以减轻任何对国防部的数据、信息系统、信息网络造成的不良操作或技术影响。

  b、一个有效的网络事故应急处理能力依赖于有条不紊的流程、程序和信息系统。它们必须为参与指挥事故响应行动的事故响应者、指挥机关以及其他个人提供有关网络事故的原因、影响和当前形势的及时的、准确的和可用的信息。

  c、鉴于国防部在各种各样的、高度分散的、复杂的环境中行动,联合行动与作战行动实施这个方法的手段可能取决于指挥机关所提供的资源、技术能力、以及当地政策/程序。

  d、期望联合行动与作战行动会实施和制度化这种方法中描述的指南、程序和政策,以产生预期的结果(如通篇的描述),并维持必要的全球、区域和地方能力,以维护和运作一个强大而有效的网络事故应急处理程序。

  e、网络事故应急处理机制的主要目标是:

  (1)保持一个强大的检测能力,确保所有可疑活动被检测到并报告,以便采取进一步分析,以确定它是否是一个应该报告的网络事件或事故。

  (2)确保通过适当的技术和业务渠道及时报告网络事故,以促进在整个生命周期中,对网络事故有一个准确的、有意义的、全面的理解。

  (3)有效遏阻事件和事故,并隔离信息系统,以尽量最小化任何对国防部的信息网络、信息系统、数据和服务的破环或影响。

  (4)安全地获取和保存网络事故分析所需数据的完整性,以帮助确定网络事件或事故的技术/操作的影响、根本原因、范围和性质。

  (5)确保通过适当的渠道与相关的利益相关者、高级计算机网络防御机构和/或联合行动与作战行动总部有效地协调和交流网络事故信息。

  (6)提供一个有效而全面的响应行动,其中包括在所有服务和信息系统中,任何受影响的信息系统恢复完全功能,达到安全的运行状态。

  (7)确定经验教训,以帮助改善基础设施组件的保护策略和网络事故应急处理程序,以防止再次发生网络事件或事故。反馈意见应录入联合部队经验教训学习信息系统(Joint Lessons Learned Information Syste,JLLIS),其网站为http://www.联合部队经验教训学习信息系统.smil.mil。联合部队经验教训学习信息系统是美国国防部记录经验教训的系统。使用联合部队经验教训学习信息系统有利于在整个联合部队中传授经验教训。

  (8)了解活动的模式和趋势,以表征威胁和指导保护和防御战略。

  f 、所有层次都必须相互配合(在适当的时候和其他组织合作)。这些合作对于维持一个强大的网络事故应急处理能力是至关重要的。

  (1)各个层次的质量、及时性和一致性在很大程度上可以决定美国国防部事故应急处理的整体效益。

  (2)有效的报告实践确保有价值的数据的可用性,帮助军事决策,影响战术和战略性的响应行动。

  (3)事故响应行动需要联合行动与作战行动之间的协调,这类似于其他军事行动的协调。

  (4)有时,情报和技术信息可能来自于独特的计算机网络防御环境中的信息源,包括国防部外的信息源。因此,应与如下机构进行广泛的协调,如美国计算机应急响应小组、执法/反情报组织、情报界、产业界和关键的基础设施,如电力输送系统供应商、电信骨干网提供商、交通运输管理系统供应商等。

  (5)关键基础设施。国防部的业务依赖于许多重要的基础设施元素的可用性和耐用性。对国防部行动的干扰首先可能会表现在这样的系统中。其结果是,美国国防部的机构和组织应保证对它们所依赖的关键基础部件的情况有清楚的了解。此外,影响国防部依赖的关键基础部件的网络事件应该进入适当的报告渠道(US- CERT、当地执法机构等),及时让所有各方保持对国家的网络状况拥有态势感知能力。

  (6)对与事故有关的信息予以保护是紧迫的,以防止对手确定影响,或发生丢失。联合行动与作战行动应当配合其操作安全(OPSEC)人员,以确保适当的操作安全对策已经到位。

  2、网络事故应急处理过程和生命周期

  a、美国国防部网络事故应急处理的基本过程可以分为以下流程或阶段:

  (1)事件的检测。

  (2)事故的初步分析和鉴定。

  (3)初步响应行动。

  (4)事故分析。

  (5)响应和恢复。

  (6)事件后分析。

  b、图B-1说明了每个阶段与生命周期其他阶段的关系。生命周期是循环的。在整个过程中了解到的东西可以用来改进做法,以抵御未来的攻击。然而,许多这些活动可以并行或顺序发生。图B-2展示了这些活动是如何彼此重叠的。

 


  图B-1 网络事故的生命周期

  c、生命周期中,跨越任何一个阶段的几个支持活动:

  (1)报告和通知

  (a)负责事故应急处理活动的人必须不断地完善自己评估事故的能力,根据它的发展情况,适当地处理信息(例如,在安全、法律和调查的背景下),并为军事决策者迅速提供准确的和可用的信息。

  (b)这包括提交初步分析报告或采取分析和响应行动后的新情况。它还包括向其他计算机网络防御组织、总部和利益攸关方发出的任何通告。

  (c)报告和通知应贯穿在整个网络事故处理过程,而不是只在一个时间点进行。随着获得的信息越来越多,应告知相关的利益攸关方。

 


  图B-2 网络事件应急处理各阶段的关系

  (2)证据记录(Documentation)

  (a)取证不仅限于对一个事件的初始取证(以一个事件报告的形式提交给联合事故管理系统(JIMS)。它还包括分析和响应期间收集的附加信息的取证。报告和记录所有的网络事件(及应呈报事件)的主要工具是联合事故管理系统。联合事故管理系统取代联合威胁情报数据库,作为国防部的保存这种关键情报的中央存储库。

  (b)采取的任何响应行动也可能是取证记录的一部分,包括初步响应行动,第一响应者的行动,或采取的维护和保护事件的文物、证据、或监管链的行动。

  (3)协调。这包括联合行动与作战行动和其他利益相关者之间的协调:

  (a)收集信息,例如日志和人为证据的收集(artifact collection)。

  (b)态势感知和情报信息等共享信息。

  (c)规划和实施面向整个受影响的组件的应对策略。

  d、表B-1呈现了正在进行的支持活动和事故处理的基本阶段之间的关系。

  (1)这些活动是反复执行过程的一部分。当活动、须呈报事件和事故状况有变化时,要求执行这些程序,并在事故应急处理的整个生命周期继续执行。事故处理生命周期和商业和军事战略具有相似的特征,被称为观察-调整-决策-行动(Observe, Orient, Decide, and Act Loop)循环。

  (a)观察。监视和检测国防部信息网络和信息系统内的异常或可疑的活动。

  (b)调整。收集、验证和分析可用的关于某个事件的信息,表征感知到的威胁,并可信地确定一个事件的性质、范围、根本原因和潜在影响。

  (c)决策。根据可用的信息,确定必要的行动方案,以遏阻事件、消除风险,并从事故中恢复。

  (d)行动。执行所需的行动方案,解决和关闭事件,并随后进行事后验证。与军事作战一样,我们的目标是更有效的比对手攻击速度更快的执行防御性行动。以下各节更深入地讨论事件的应急处理机制和活动。尽管在整个事件的生命周期中它们以逻辑顺序出现,但是根据事件发生的要求,它们可能会被重复、并行或顺序执行。

 


  表B-1 网络事件紧急处理机制和正在进行的支持活动的关系

  e、检测网络活动

  (1)网络事件的检测是识别任何对国防部的信息网络、信息系统或作战任务具有潜在不利影响的非常规网络或者信息系统的后续过程。

  (2)检测网络事件的主要目标包括:

  (a)确保所有可疑活动得到检测并报告,以便做出进一步分析,以确定它是否是一个网络事件或应该报告的事故。

  (b)确保按照要求的报告时限及时报告可疑的活动。

  ( c)与指挥渠道和其他国防部组织进行有效协调。

  (3)作为这一机制的一部分,有关潜在事件、漏洞或其他安全或事故的被收集并报告给进行分析和做出响应的适当机构。这个过程是很重要的,因为必需评估一下,异常或不寻常的网络事件首先在这里被发现。在这里也可能是首先报告网络事件。

  (4)检测启动申报程序。收集数据库中的报告信息帮助分析师找出新出现的趋势和模式。这些知识可以帮助联合行动与作战行动从正在进行的活动和事件中学习,使他们能够正确地保护和防护自己的基础设施。

  (5)检测网络事件

  (a)为了正确的检测,指南必须定义是什么异常或可疑情况。此信息必须传递给适当的网络管理员或纳入自动检测系统的配置。

  (b)没有在检测过程中,联合行动与作战行动和网络防御服务提供商不会警醒,必须检查或解决一些东西。如果这个步骤不以及时的、标准的、一致的方式发生,很可能一个严重的事件将不会得以正确报告,可能发生对部件基础设施的重大破坏和损失。

  (c)检测网络事件有多种方式,包括:

  [1]一个自动化的检测系统或传感器。

  [2]一份来自个人或用户。

  [3] 其他内部或外部构成组织的事故报告或态势感知,如其他网络防御服务提供商美国网络司令部\美国计算机应急响应小组、情报界、执法/反情报,或其他外部计算机安全事件响应团队实体。

  (d)网络事件检测可以由任何利益相关者进行,最初的事件细节可能会变化。从自动检测系统发出的警报可能比非技术用户的报告包括更具体的细节。可能需要收集附加信息,作为事件分析的一部分。

  (e)网络事件的实例和检测它们的各种方法如下。

  [1]网络入侵检测传感器遇到可疑的网络流量,发出警报。

  [2] 当一个设备被感染了蠕虫、病毒,或其他形式的恶意逻辑命令符,防病毒软件发出警报。

  [3] Web服务器的崩溃。

  [4]用户反映访问互联网或邮件服务器的主机的速度很慢。

  [5] 信息系统管理员看到一个含有特殊字符的文件名。

  [6]用户呼叫帮助台举报可疑的电子邮件讯息(例如网络钓鱼)。

  [7] 信息系统在其日志中记录一个可疑的配置更改。

  [8] 信息系统记录到一个陌生的远程系统的多个失败的登录尝试。

  [9]电子邮件管理员看到大量的包含可疑内容的电子邮件。

  [10]网络管理员发现不符合典型的网络流量的现象。

  [11]防火墙管理员看到通过其他手段没有发现的未经授权的出站连接。

  (f)事件没有被确定为一个事故,除非按照相关的标准完成一些初步分析,以评估和检验此事件。

  (g)如果它是一个应该报告的网络事件或被证实为事故,应对其分类处理,接下来应遵循事故应急处理机制。

  (6)检测网络事件的方法

  (a)检测网络事件。识别可疑行为或相关的网络事件。一个人或一个自动化系统可以检测网络事件。

  (b)由一个人检测网络事件

  [1]如果一个用户或管理员发现了网络事件,这个人必须报告相关的信息到指定的联络点(POC)。此联络点可能是一个帮助台、信息系统安全官、一个网络防御服务提供商、或当地的信息系统和网络管理员。

  [2]可以通过电话、电子信箱、报告的形式、或附录C中的其他明确的机制提交报告。重要的是要注意的是,在大多数情况下,保密系统上发生的事件也是保密的。确保这些类型的报告不通过非保密的方法报告。

  [3]联合行动与作战行动必须确保国防部人员在自己的责任区(AOR)内知道什么类型的活动构成了一个事件,以及如何、向谁提交有关可疑活动的信息,包括应该报告的网络事件和事故。

  (c)由自动系统检测到的网络事件

  [1]如果网络事件由自动系统检测到,警报将被发送到指定的联络点。

  [2] 联合行动与作战行动维护自动检测系统和传感器,必须确保用于接收警报的联络点已确定,以及信息系统得到配置,会将警报发送到该联络点。

  [3]联络点必须确保作为初步分析阶段的一部分,网络事件得到评估,并报告给适当的人员,如果它符合应报告的网络事件或事故的报告标准。

  (d)记录网络事件信息。呈现这些活动的一个基本特征。

  [1]如果网络事件是由一个人检测到的,负责接收网络事件报告的联络点或第一响应者将一开始就向发现或报告网络事件的人收集症状和指标。

  [2]如果网络事件由自动系统检测到,一开始初始的日志和报警将被予以考虑。

  ( e)与他人协调

  [1]配合适当的第II层级的网络防御服务提供商、指挥和技术渠道,使他们知悉相关问题。

  [2]在适当情况下,与负责验证或态势感知的其他联合行动与作战行动分享或证实这一信息。

  f、网络事件的初步分析和鉴定

  (1)进行初步分析和识别事故是对检测到的网络事件进行初步分析,以确定它是否是一个应该报告的网络事件或事故的过程(图B-4)。

 


  图B-4 网络事件的初期分析和鉴定

  (2)这一阶段的主要目标包括:

  (a)确定检测到的事件是否是一个应该报告的网络事件或事故。

  (b)确保通过技术和操作报告渠道通知所有适当的国防部组织。

  (c)确保及时提交其中包含尽可能完整的和有用的信息且是可用的(或可能的)初步事故报告。

  (3)使用一个标准化的基准,定义应该报告的网络事件或事故。如果事件没有满足事件条件,它可以不予考虑。如果没有进行适当的初步分析,一些事件可能不会被确定,因此不会被报告。这种故障可以影响美国国防部信息网络的全球安全态势,导致不准确的作战图,有可能让事件继续发生,从而增加不明的和未报告的恶意活动造成的破坏和损失。在事件生命周期中,事件应急处理程序或自动检测系统将评估传入的事件数据,确定发生了哪些类型的活动,并确定异常事件是否应被视为一个应该报告的网络事件或事故。进行审查初始信息包括:

  (a)问题、事件或活动的一般描述。

  (b)状态(正在进行的或终结的、成功或不成功的)。

  (c)受影响的信息系统的数量。

  (d)源和目标互联网协议(IP)地址。

  (e)源和目的端口。

  (f)主机名。

  (g)信息系统的位置。

  (h )用户信息。

  (i)时间戳。

  (j)入侵检测系统警报和有效载荷数据(如相关的话)。

  (4)类别类型确定

  (a)网络事件或应该报告的事件类别是一个事件或事故的集合,这些事件或事件都有一个共同的根本原因,应该报告。每一个网络事件或事件都可以归入某一类,作为事故应急处理机制的一部分。网络事件和应该报告的事件的分类见附件B中的附录A(网络事件和可报告事件分类)。

  (b)在事件处理过程中的不同的时间点,可以宣布一个事件是一次事故,包括在初步分析阶段或更详细的事件分析阶段。有时,如果使用了自动检测系统,用于检测网络流量或信息系统活动的标准被检测到的时候,可能会把一个事件标记为一次事故。

  (c)经过进一步调查,一个单一的网络事件或事故可能导致发现额外的事件。比如,对大量主机的网络扫描(第6类)可能会报告。进一步的分析确定扫描的主机之一也存在配置错误(第5类)。额外的第5类报告与原有的第6类报告一起提交。事故和应该报告的事件分类参见附件B中的附录A(网络事故和应该报告的事件分类)。

  (5)初步分析和鉴定方法

  (a)评估和分类。参照事故标准评估事件,以确定它是否是一个应该报告的网络事件或事故。

  [1] 使用附件B中的附录A(网络事故和应该报告的网络事件分类)对证实的应该呈报的事件或事故加以分类。在可以归入多个类别的情况下,附录中列出了应该适用的最高优先级的类别。

  [2] 按DODI O-3600.02,《信息作战安全密级分类指导》(参考F),或得到安全密级分类指导批准的原来的本地联合行动和作战行动分级授权,事件的安全密级在这个阶段被确定。

  [3]根据事件的类别、性质和影响,确定是否要启动计算机取证过程。

  (b)进行初步影响评估。确定呈报的网络事件或事故的潜在损害。

  [1]应按照附件D中的附录C (影响评估矩阵)进行初步的影响评估。

  [2]应迅速进行初步评估,即使在细节和分析受到限制的情况下。随着调查的不断深入,可以更准确地表征真实影响,报告应该得到重新评估和修改。

  [3]要作出准确的影响评估,进行初步评估的分析师必须能够访问对信息系统、信息网络、或有问题的数据的功能和重要性,以及它们在履行联合行动和作战行动使命中的作用具有良好认识的人员(或确保具备这方面的知识的人被告知)。

  (c)开始或继续取证/记录(documentation)。如果取证工作尚未开始,开始取证。如果已经确定需要进行计算机取证(如执法调查),那么就开始取证监管链。取证工作应包括:

  [1]网络事件或事故的所有已知信息。

  [2]在初步分析活动中采取的所有行动以及分析的结果。

  [3]执法/反情报机构对监管链记录做出的初期判断,如果证据收集到了,并可能考虑由检察机关做出进一步的调查。

  3。提交初步报告。通过适当的报告机制,准备和提交初步报告给适当的组织和司令部。

  a、两种不同类型的报告:

  (1)技术报告。此技术通道的设计是为了协助处理事故,并提供补丁以减轻事故的操作和/或技术的的影响。它可能包括向联合事故管理系统、适当的网络防御服务提供商、或其他任何适当的报告渠道提交事故报告。提交报告应遵照附件C中的事故报告程序中列出的程序和格式(网络事故报告)。

  (2)业务报告。该通道为各级军事指挥官提供通知关于信息系统或信息网络的状态和事件对使命的业务影响的信息。这是军事指挥官识别业务影响并指导事故处理过程的主要渠道,以减轻不必要的对他们的使命的负面影响。

  b、报告的类型根据事件的性质和类别而定。如果合适的话,这是在执法/反情报机构知悉一次事故可能需要遵照DODI 5505.3《军事犯罪调查组织发起的调查》(参考g)发起调查的时候进行。

  c、事故报告必须由网络防御服务提供商提交给联合事故管理系统,随着状态的变化加以更新。见附件C中的附录A(报告时间表)。

  d、初步事故报告可以包括口头通知、电子邮件摘要以及技术事件报告,根据具体情况而定。

  e、在附件C(网络事故报告)确定的事故报告程序随后进行。

  f、表C-A-1列出了报告时间表。报告时限的额外指导由指挥机构的作战命令或其他具体指导提供。

  g、事故和应该报告的事件的报告应使用适当的手段(即使用非保密互联网协议路由网络(NIPRNET)的电子邮件或普通电话报告非保密的事故;使用美国军方机密互联网协议路由器网络(SIPRNET)或保密电话报告秘密的事件)。电子邮件报告事故必须进行数字签名,这是最低要求。

  h、事故报告将使用受到影响的网络之外的网络。不要使用已经(或可能已经)受到影响的信息网络中的资产,因为攻击者可能会监视受影响的网络,可以发现检测活动。

  4、初步响应行动。初步回应包括为保护信息网络或信息系统免受任何其他的恶意活动的影响而采取的协调的初步行动,以及获得进一步的分析所需的数据的行动(图B-5)。

 


  图B-5 初步响应行动

  a、初步的响应行动之目标。初步响应行动是一旦事件被检测并宣布后立即采取的步骤。这些行动是重要的,因为他们提供的信息可以帮助保护信息系统和信息网络免受更大的伤害,保障更详细的分析得以完成。进行更透彻的分析后,可能会采取更详细的响应步骤。这将根据事件的性质、范围和潜在影响而定。初步反应的主要目标包括:

  (1)防止应该呈报的网络事件或事故造成进一步的损害。

  (2)维持对受影响的信息系统和周围环境的控制。

  (3)确保获取必要的数据。

  (4)维护和更新事故报告,并通过适当的技术和作战指挥渠道积极沟通更新情况。

  b、初步回应行动之方法论

  (1)遏阻事故

  (a)遏阻任何潜在的威胁,以保护受影响的信息系统或信息网络,防止发生更多的感染、入侵或恶意活动。

  (b)遏阻可以通过自动检测系统或事故处理工作人员与技术人员和管理人员一起实施。

  (c)遏阻将与相关的网络防御服务提供商协调,如果需要,军事指挥官和相应的网络防御服务提供商将与执法/反情报机构协调。

  (d)遏阻行动可能会影响获取和保存有关事件的数据的能力,必须审慎决定。在作出这些决定时,重要的是要防止遏阻行动阻碍进一步分析引起的潜在损害,评估确保任务成功的相对价值。

  (2)采集和保存数据。安全地获取和保存所有数据的完整性(根据指示),以便进一步的事故分析。

  (a)所有事故都需要获取尽可能多的数据,并保留其完整性。这包括易变化的数据(系统寄存器,高速缓存,随机存取存储器(RAM)、不变的数据(系统映像,日志文件和恶意软件)和环境数据(系统的环境、位置和配置)。这些数据是支持执法/反情报调查和进行事故分析,充分认识事件的影响范围所必要的。

  (b)在获取和保存数据(例如获取系统映像)前,信息系统不会被关闭或与信息网络断开,除非由网络防御服务提供商或指挥机构授权。然而,这一要求的一个例外是,如果机器开始执行破坏任务,如删除文件或格式化驱动器。在这种情况下,计算机应迅速关闭。

  (c)将从相关的系统或设备(如路由器、入侵检测系统/入侵防御系统(IPS)、域控制器和防病毒服务器)获取和保存可能有助于事件分析的数据。

  (d)若事故影响大量的信息系统,那么从每一个信息系统采集和保存数据是不切实际的。比如,一个事件中,不含敏感数据的100个用户工作站被相同的方式破坏了。在这种情况下,必须采集和保存数据,提供新的和/或额外的信息,以帮助技术分析,以了解事件的性质、范围和潜在影响。因此,可能不需要对每个信息系统进行数据采集和保存(如系统图像)。然而,采取这种行动方案之前,相关的网络防御服务提供商或指挥机关必须批准这样的数据采集和保存是不需要的。

  (e)情有可原的情况下,可能会禁止采集数据。比如,没有足够的工具和/或资源。另外,数据采集可能危及关键任务责任或造成重大作战任务退化。在所有情况下,网络防御服务提供商或指挥机构必须批准这样的数据采集是不能做的。

  ( 3)继续取证

  (a)更新事故报告和其他有用的信息,帮助更好地表征事故。

  (b)可能改变受影响的信息系统状态的第一反应者所采取的任何步骤都必须记录在案。例如,为了使信息系统离线或访问任何信息系统上的文件而采取的行动,将改变信息系统的状态,要收集这些活动的信息,包括文件访问时间、运行进程、和存储的内容。如果该信息被改变且没有记录,可能会损坏在调查中收集的证据的受理。出于这个原因,重要的是要记录在受影响的信息系统或服务上采取的任何行动。

  4、网络事故分析

  a、网络事件分析是为了找出事件中到底发生了什么所采取的一系列分析步骤。这种分析的目的是了解事故的技术细节、根本原因和潜在影响。这种理解将有助于确定收集什么额外信息,与他人协调,分享信息,制定一个响应性行动方案(图B-6)。

 


  图B-6 网络事故分析

  b、这一阶段的主要目标包括:

  (1)确保事故报告的准确性和完整性。

  (2)表征和通报事件的潜在影响。

  (3)系统捕获攻击所采用的方法和可以防止将来再发生攻击的安全控制。

  (4)研究采取可以应对和消除风险和/或威胁的行动。

  (5)了解活动的模式,表征威胁,并指导保护和防御性策略。

  (6)通过技术分析确定事故的根本原因。

  c、网络事故分析框架。重要的是要了解不同类型的事故分析。

  (1)对于大多数事故,网络防御服务提供商事故处理人员将开展(或协调)系统性的分析,从受影响的信息系统收集任何所需的信息。

  (2)根据事故(或应该报告的事件)的类型,如果网络或恶意软件的信息也可用,然后网络防御服务提供商也将视情况而定,进行(或协调)网络分析和/或恶意软件分析。(3)如果事件满足向执法/反情报报告并进行刑事的、或计算机网络防御调查的标准,那么必须执行计算机取证证据的收集和分析。

  (4)见附件D(网络事件分析)以获得更多的指导。

  d、网络事件分析方法

  (1)收集信息。识别和收集有关这一事件的所有相关信息,用于事故分析。

  (a)收集的信息可能包括先前采集和保存的数据、外部日志、个人账户、全源情报、技术资料、或当前的运行状况。

  (b)任何被怀疑是恶意软件的软件构件应提交给联合恶意软件目录(JMC)。在附件G(《计算机网络防御事故处理工具》)可能会发现更多的指导。

  (2)验证事故。审查、证实和更新(如可能的话)报告的事件,以确保所有的信息是准确的。

  (a)报告应进行审查和更新,以保持态势感知能力,补充不完整的信息,或纠正报告中所载的错误信息。

  (b)报告验证可能需要评估值得信赖的网络和系统日志或受影响的信息系统,以确定是否发生了如报告中的可疑活动。

  (c)确认按照附件B中的附录A(网络事故和可报告的事件分类),这个事故被正确分类。

  (3)确定输送载体(Delivery Vector)。对信息进行分析,以确定威胁行为体所使用输送载体。输送载体是对手所使用的主路径或方法,以使事故或事件发生。

  (a)输送载体被用来系统地记录对手所使用的输送载体的主要类别。它们不识别事件的特定的系统原因。

  (b)如果有一个以上的输送载体被确定,区分威胁行为体使用的首要和次要的输送载体。例如,使用社交工程电子邮件传递恶意负载以利用已知的漏洞,是可以预防的。输送载体的评估应按照附件D中的附录A(输送载体)。

  (4)确定系统弱点。分析信息,以确定任何可以防止或减轻事件的影响的相关系统的弱点、漏洞或安全控制。

  (a)确定系统弱点是一个系统地记录和分类可以防止在未来发生类似事件的安全控制的主要类别的过程。它们不识别事件的特定的系统原因。

  (b)系统弱点识别应按照附件D的附录B(信息系统弱点)进行。

  (5)确定根本原因。分析信息以确定事件的系统特定的原因。

  (a)根本原因识别基于精确分析事件发生的条件从而确定的输送载体和系统弱点。例如,一个传递载体可以识别一个未打补丁的系统。对于确定相关性和趋势,这是非常有用的,但不足以确定事件发生的具体原因,并防止未来再次出现。根本原因识别确定允许事故发生的缺失的补丁程序或系统配置。

  (b)事故的根本原因应在对任何系统进行恢复和重建之前被确定(除非不契合实际),指挥机关批准的除外。必须仔细权衡没有确定事故发生的根本原因就决定将系统还原的决定,因为它可能让系统变得脆弱。例如,如果一个事故的根本原因源于基准配置中缺少的一个修补程序,系统还原使用相同的基本配置将使信息系统再次受到影响。

  (c)未能查明一次事故发生的根本原因,可能使多个指挥机构和组织的风险增加,尤其是在有着相似的配置或采取相同的防御措施的情况下。

  (6)确定影响。分析收集到的信息来验证和扩大原有的初步分析期间所做的影响评估。影响应按照附件D中的附录C(影响评估矩阵)加以评估。要确定的影响如下:

  (a)技术影响。技术影响是指一个事故对组织的技术能力的不利影响。技术影响通常是指事故对信息网络或信息系统机器或直接或间接的影响。例子包括:

  [1]网络的健康状况。

  [2]潜在的数据外泄或丢失。

  [3]设备停机或损坏。

  [4]对其他信息系统或组件的影响(例如,一台机器从操作中删除需要8个小时来重建)。

  (b)业务影响(OI)。OI是指对一个组织履行其使命的能力的不利影响。这可能包括减少或破坏信息系统、信息网络能力的直接和/或间接的影响,国防部数据泄露和/或丢失,或关键任务应用程序或信息系统的永久或暂时性丧失。

  [1]直接影响的例子包括以下内容:

  [a]被盗的国家情报\作战计划\指挥官的联络点\决策简报,给对手一个关键的优势。

  [b]数据库损坏(导致对情报丧失信心);执行损坏/降级的空中任务命令或分阶段兵力部署数据(TPFDD)导致使命失败和/或生命损失。

  [c]国防部网络的硬盘数据丢失。

  [d]所有联网的武器系统的C2被拒阻。

  [e]从领导到下属单位的C2被拒阻或误导。

  [f]国防部监督控制和数据采集网络的控制失灵。

  [2]对供应组织的间接影响,包括以下内容:

  [a]一个陆军师无法使用联网的信息系统订购/跟踪/处理修复部件,由于缺乏足够的维修配件,无法进行作战行动。

  [b]密西西比河上的驳船无法运送物资,因为他们的工作人员不能访问国防部提供的河流危害数据。

  [c]因为事件影响分阶段兵力部署数据,一支预备役部队不能按时间表部署,因此得不到工资。

  (c)技术影响通常由一个组织(J、G、S、N、A-6)的通信和技术构成单位报告,而业务影响通常由一个组织(J、G、S、N、A-3 )的业务构成单位报告。举例如下:

  [1] J- 6报告从一个服务器获得3兆字节(MB)的数据的攻击。

  [2]J- 3报告获得了3 MB非保密家庭支持组数据并确定没有产生业务影响的攻击。

  (d)确定事故是否具备任何战略重要性,以及它是否是美国网络司令部规定的一个指挥官关键信息需求(CCIR)或其他命令,并适当地加以报告。

  (7)研究和制定行动方案。确定应对应该报告的事件或事故需要的必要措施,修复信息系统和评估信息系统或信息网络的风险。

  (a)分析、比较和筛选最好的行动方案,需要的指挥尽可能最少。例如,一个指挥官可以审批他或她的基地采取的事故响应行动方案。美国战略司令部,通过美国网络司令部,有权为国防部企业内的事故集合重新确定相应的响应行动。

  (b)在某些情况下,与第II层次的网络防御服务提供商、授权官员或指定认证机构(AO/DAA)和美国战略司令部协调,指挥官可能会决定让信息系统保持脆弱和可访问状态,以监视攻击者的活动。这可以协助执法/反情报调查或网络防御和作战目的。

  (c)行动方案可能包括计算机网络防御响应行动,概述见CJCSI 3121.01,《永久交战规则/美国军队使用武装部队的永久规则》。

  (d)可能影响受国防部保护的交通流量清单的行动(见附录G)必须与美国网络司令部协调。

  (8)与其他单位的协调。与其他有关各方协调收集更多的信息,获得援助和更多的专业知识或指南,并就可呈报事故、事件和事故处理活动状态的变化通知有关的业务和技术的渠道。及时的跨机构协调和排解操作的冲突对于进行有效的事件响应行动是至关重要的。如需更多指导,请参阅附件F中的附录A(协调和冲突排解)。

  (a)协调确保确定的和不存在的响应行动被可能受影响的所有各方审核通过,。协调可能包括以下内容:

  [1]垂直报告,以警醒更高级别的军队总部和其他计算机网络防御组织。

  [2]水平报告,其信息系统可能会被影响的其他同类组织。

  [3]研究和规划应对策略和行动方案。

  (9)执行相关性和趋势。这包括分析和确定在短期内事故之间的关系和趋势,长期内不同事件之间的模式。整个事件处理生命周期中的有效和完整报告确保国防部有能力进行并确定这些趋势和模式。

  (a)趋势分析。趋势分析涉及理解和准确地表征报告事件的关系,并提供受影响人士观察到的网络安全趋势。它包括基于已报告给相关构成机构的事故信息、构成机构确定的事故、关联和分析数据时识别的公共/私营部门信息而做出的分析。

  (b)企业化威胁融合和相关性。这个过程涉及把事故活动与对跨越战略、战役和战术界限的国防部信息网络的评估和直接指导和防御活动关联起来。它包括根据已知的对手的战术、技术和程序(TTPs)而开发、传播、并指导实施针对具体弱点而采取的对策,保持战士执行当前和今后的任务的能力。

  5、响应和恢复。响应和恢复包括采取的详尽的回应步骤,以防止进一步的损害,恢复受影响的信息系统的完整性,并采取跟进策略,以防止事件再次发生(图B-7)。

 


  图B-7 响应与恢复

  a、进行响应和恢复行动的主要目标包括:

  (1)根据政策、程序和质量要求,解决事件。

  (2)减轻风险或威胁。

  (3)恢复信息系统的完整性和使其恢复到正常工作状态。

  (4)实现主动和被动的防御和防护措施,以防止在未来发生类似事件。

  (5)根据附件D中的附录C《影响评估矩阵》,完成战场损伤评估(BDA)。

  b、响应和恢复可能需要技术、管理和/或执法/反情报行动相结合。

  (1)技术的行动包括网络和信息系统基础设施的变化,以消除风险或威胁。

  (2)管理的步骤可以包括行政的、人力资源、公共关系、或政策制定和管理活动。 执法/反情报行动可以包括进一步的调查或刑事检控。其他管理问题可能涉及处理责任、服务水平协议、或承包问题的法律行动。

  c、响应和恢复的方法

  (1)实施遏阻

  (a)执行额外的遏制行动(如可行的话),重新控制或隔离系统,并防止进一步发生恶意活动。

  (b)按照事件的类型确定适当的遏制战略。这些战略可能包括修改网络访问控制(例如防火墙),安装新的防病毒或入侵检测系统/入侵防御系统签名,或对基础设施做出物理变化。

  (c)与合作伙伴合作,因为采取一定的遏制措施之前可能需要考虑调查或情报的公正。见附件F对协调的全面讨论。

  (2)消除风险。消除风险,并采取行动,从信息系统/网络消除事故的起因。

  (a)直到系统的数据已经得到充分保存和漏洞已减轻,才能重建系统。

  (b)具有1、2、7类别(CAT)网络事故的信息系统必须从可信赖的媒介重建,在连接到信息网络前,按照《安全技术实施指南》(STIGs)和警告和战术指令/命令(例如警告命令、日常命令、任务命令等)加载最新的防病毒软件,进行最新的配置。

  (c)任务影响可能需要修补受影响的组件和实行临时漏洞缓解,直到任务允许系统重建。

  (3)从事故中恢复。完全恢复受影响的数据和信息系统到正常操作(如适用的话)。硬化信息系统,以防止类似的事件发生,监控它们以确保信息系统彻底修复了原来的弱点。

  (a)对于一些事故,消灭要么是没有必要的,要么在恢复过程中执行。

  (b)防止类似事故发生可能涉及改变基础配置,加强网络外围安全,更新防病毒和扫描工具的签名文件,从可信赖的媒介重建系统,进行用户培训,或实施降低风险的对策。

  (4)与其他人协调。与相关各方合作实施行动方案和解决网络事件或事故。

  (5)通知其他人。告知利益攸关者或参与者他们需要采取的行动。通知当事各方(如适用的话)事件的状态和响应的进展。提交关于事故的最新信息、反应行动的进展,使较高级别的计算机网络防御组织和/或军队总部知悉事件响应的状态。联合行动和作战行动必须确保集中管理方案的项目经理知悉1、2、4、5或7类型的网络事件影响到了他们的项目(附件B中的附录A)。

  (6)继续记录/取证。更新联合事故管理系统中的事故记录,如采取的任何响应和恢复步骤的信息。联合事故管理系统报告的每次更新都提供对事故更完整的理解。连贯的和频繁的更新提供了一个广泛表征敌对活动的平台,使美国网络司令部为所有美国国防部信息网络下达适当的防御行动。

  (7)更新响应行动和战场损伤评估(BDA)和结束事故。更新联合事故管理系统中结束事件的事故记录。

  (a)确保所有各方已经完成了响应所必要的行动。

  (b)战场损伤评估记录事故对一个组织的技术和业务的影响(即OPSEC评估)。应该按照附件D中的附录C《影响评估矩阵》确定。

  (c)在事件解决后的24小时内使用战场损伤评估更新联合事故管理系统事件记录。

  (d)宣布事件结束后,改变联合事故管理系统的状态,并执行任何其他操作来结束事件。

  [1]事故不能作为类别8——调查而结束。

  [2]一个事故可能对于联合行动和作战行动或网络防御服务提供商而言已经结束,但对于执法/反情报调查而言仍处于开发状态。

  [3] 网络防御服务提供商负责关闭事故。如果有必要,事故可能由美国网络司令部重开,在这种情况下,会联系受影响的网络防御服务提供商并告知应采取哪些额外行动的指示。

  (8)有关对事故做出反应的其他信息在附件E《网络事件响应》。

  6、事故后分析

  a、事故后分析涉及评估事故处理的有效性和效率。捕获的数据包括吸取的经验教训、最初的根源、与执行行动方案相关的问题、缺少政策和程序、不足的基础设施防御(见图B-8)。

  b、事后分析的结果应被用来改善事故管理流程和方法论、以及联合行动与作战行动的安全状态和防御。

 


  图B-8 事件后分析

  c、事故处理的最重要的部分之一是学习如何通过审查一次事故是如何发生的,以及如何响应处理的以改善操作、流程和基础设施防御。事故后分析的主要目标包括:

  (1)确定需要解决的基础设施问题。

  (2)确定要解决的组织政策和程序方面的问题。

  (3)识别技术或业务培训需求。

  (4)确定不清楚或不确定的角色、职责、接口和权威。

  (5)改善执行保护、检测、分析、或响应行动所需的工具。

  d、联合行动与作战行动将建立一个正式的事后分析过程,将建立标准以确定哪些事件需要事后分析。

  e、并非所有的事故都要求事后分析。通常情况下,范围大、处理不好、涉及执法、或造成严重破坏的事件,需要事后分析。

  f、确实需要事后分析的事故将被发送到美国网络司令部。

  7、第一响应者指南

  a、第一响应者是最先到达并进行调查及对任何检测到的活动进行响应的第一人。第一响应者包括但不限于系统管理员、网络防御服务提供商技术人员和执法机构。第一个响应者的角色和职责是:

  (1)确定事故的初始影响。

  (2)尽可能多地收集事故的信息。

  (3)记录所有调查结果。

  (4)与适当的接触点分享收集的信息,以支持识别根本原因。

  b、第一响应者的程序和进程必须到位,以确保对事件、事故、或其他可疑活动做出一致的和正确的初始响应。

  (1)发现者(Detector)。负责侦测事件或事故的人必须得到适当的培训,以确保他们不会损坏或污染证据。必须教导他们与受影响的系统保持一步之遥,或不接触任何东西;相反,他们应该报告他们发现的或看到的东西给适当的联络点或网络防御服务提供商。该联络点或网络防御服务提供商应负责确保一个能够胜任的人被分配去处理收集、分析和响应。

  (2)急救员。调查和应对网络事件或事故的人是真正的第一反应者,就像消防员或警察是物理安全事件的第一反应者。对这些第一反应者的指导对于确保使用适当的方法启动适当的反应行动是至关重要。

  (a)第一反应者必须有一个明确的机制和程序,指导他们在现场能做什么和不能做什么。不进行调查或分析的第一反应者必须准备把他们的所有信息以清晰、简洁、容易理解的方式报告。

  (b)第一响应者必须要有丰富的知识,并准备收集数据和证据。具备一个标准的事件响应和报告计划,他们还必须有一个经过测试的和记录的工具,可以用于以合理的方式进行的取证过程中的采集(数据采集)和响应。

  三、政策和程序

  (1)制定政策和程序以确保一致和妥善的应对事件和事故,这些政策和程序包括:

  (a)指定第一个响应者,确定他或她的职责。如果第一响应者不是处理此事故的人或不具备所需要的技能或工具,必须仔细告诫第一响应者不要触摸信息系统或进行任何更改,并交由制定的分析师调查。

  (b)对检测到一个网络事件或事故的非专家或技术人员的指导,以确保不更改信息系统,并确保他们把事件报告到相应的指挥机关或网络防御服务提供商。

  (c)创建、使用和维护第一个响应者的可信任的工具包的说明。

  (d)创建和维护一个值得信赖的测试台,测试和记录工具,然后将它们添加到工具箱。

  (e)一个确定的收集策略,概述了什么类型的信息和数据将被收集,用什么工具,以及如何将信息和数据存储和记录下来。

  (f)实施取证数据采集和维护一个相应的监管链的说明。

  (g)关于第一响应者获得批准采取什么类型的初步回应行动(关于遏阻、通知或取证行动)的说明。

  (2)每个联合行动和作战行动与其网络防御服务提供商协调,将确定在其领域内第一响应者的政策和程序,并提供指导给第三层次网络防御服务提供商。

  四、预防措施。得到授权的事件响应分析师到来之前,第一反应者是负责采取预防措施,以确保成功实现数据采集和保存。

  (1)保持控制。防止未经授权而对信息系统的访问和维持对周围环境的物理控制。保护可能亲眼目睹或获取与事故有关的的信息的其他设备,如日志服务器、摄像机、远程访问服务器,的完整性。警惕无意的破坏活动,如删除目录文件的维修程序、某一特定日期后删除文件和电子邮件的程序等。

  (2)记录事件和活动。一旦检测到安全事故立即开始记录活动的日志。此日志要记录检测到事故的时间,谁检测到的,它是如何被检测到的。与事故有关的所有活动应包括在日志中,如打开日志文件查看,打印报告等。至少记载下列事项:

  (a)事件发生的时间和日期。

  (b)事故被发现时信息系统的状态(上线、下线连接或断开)。

  (c)对信息系统所做的所有活动和命令,如时间、日期、以及谁执行了这些操作。

  (d)了解事故的人。

  (e)信息系统的所有者或者使用者。

  (3)确定关机是否必要。一确定发生了事故,电脑就应保持在发现事故时的同一状态。停机指导,改变设置,保存设置,或任何其他行动将由事故响应者(即分析师和执法机构)确定。

  (4)登录动作。确保所有操作作为记录证据链的一部分都被记录。

  e、第一反应者的工具包

  (1)第一响应者工具包是一组脚本、程序和其他资源,被用于从信息系统安全地采集、检验、并保存易失性和非易失性数据。

  (2)值得信赖的工具包必须由授权官员(正式叫法是指定认证机构)批准,然后必须采集,加以描述,并在使用前充分理解它。

  (3)关于工具做什么、它如何与信息系统和网络对接、它生产什么类型的输出、它对被分析的信息系统产生什么类型的影响的信息必须确定和记录下来。如果不这样做或使用未经测试的工具,那么变化可能会被引入到信息系统,将抑制一个完整的分析,引起对活动的误解,或导致证据被污染。

  (4)第一反应者还必须确保他们所采取的任何行动不违反任何现有的CC/S/A/ FA的计算机和网络使用政策。

  (5)关于执行诊断数据采集和分析、记录分析和监管链、保护收集到的数据的详细信息见附件D《网络事件分析》。知远/安德万

mil.sohu.com true 搜狐军事 http://mil.sohu.com/20140307/n396240544.shtml report 23090 附录B网络事故应急处理的方法1、简介a、本节中描述的方法提供了一个通用的、标准化的进程,确立检测、分析和响应信息或技术事件或网络事故的意图和要求,以减轻任何对国
(责任编辑:UN630)

相关新闻

相关推荐

我要发布

  • 热点视频
  • 影视剧
  • 综艺
  • 原创
锦绣缘

同步热播-锦绣缘

主演:黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
神雕侠侣

大结局-神雕侠侣

主演:陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
封神英雄榜

同步热播-封神英雄榜

主演:陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓

六颗子弹

主演:尚格·云顿/乔·弗拉尼甘/Bianca Bree
龙虎少年队2

龙虎少年队2

主演:艾斯·库珀/ 查宁·塔图姆/ 乔纳·希尔

《奔跑吧兄弟》

baby14岁写真曝光

《我看你有戏》

李冰冰向成龙撒娇争宠

《明星同乐会》

李湘遭闺蜜曝光旧爱

《非你莫属》

美女模特教老板走秀

《一站到底》

曝搬砖男神奇葩择偶观

搜狐视频娱乐播报

柳岩被迫成赚钱工具

大鹏嘚吧嘚

大屁小P虐心恋

匆匆那年第16集

匆匆那年大结局

隐秘而伟大第二季

乔杉遭粉丝骚扰

The Kelly Show

男闺蜜的尴尬初夜

我来说两句排行榜

客服热线:86-10-58511234

客服邮箱:kf@vip.sohu.com