云事件响应（CIR）框架

©2022国际云安全联盟大中华区版权所有1 云事件响应工作组官网网址： https://cloudsecurityalliance.org/research/working-groups/cloud-incident-response/. @2022国际云安全联盟大中华区-保留所有权利。本文档发布在国际云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于国际云安全联盟。 随着云计算应用的深入，云计算在带来价值的同时，也带来了新的安全与技术挑战。随着《网络安全法》、《数据安全法》、《个人信息保护法》的相继推出，如何设计有效的纵深实时云安全防御体系成为信息安全从业者亟待解决的首要问题。其中如何制定网络安全事件应急预案、启动应急预案，网络安全信息收集、分析、通报和应急处置等成为困扰很多企业的问题。 云计算是一个与传统环境完全不同的领域，将云事件响应与传统事件响应流程区分开来的三个关键方面是治理、可见性和云的责任共享。一个好的事件响应计划有助于确保组织在任何时候都充分准备。 CSA旨在为用户提供一个广泛使用的整体框架和一致的视图，目的是为云用户提供有效准备和管理云事件后果的指南，并为云服务提供商与客户共享云事件响应实践提供透明和通用的框架。 全面的事件响应建设是任何旨在管理和降低风险的组织不可或缺的能力。许多单位由于没有可靠的云事件响应计划，在遇到云事件后出现了很多的管理与技术问题。 云事件响应架构是CSA基于《NIST800-61》以及SANS《信息安全阅读室事件处理者手册》梳理的用于云安全的管理框架，解决企业从应急准备到应急演练的诸多问题，是企业应用云安全解决方案必不可少的参考资料。 李雨航YaleLiCSA大中华区主席兼研究院院长 《云事件响应（CIR）框架）（CloudIncidentResponse(CIR)Framework）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：李岩翻译组：贺志生 蒋秋华 吴 潇 薛琨 殷铭 审校组：贺志生 殷铭 李 岩姚凯 感谢以下单位的支持与贡献： 北京奇虎科技有限公司北京天融信网络安全技术有限公司中国电信股份有限公司研究院 英文版本编写专家 主要作者:SoonTeinLimAlexSiowRicciIeongMichaelRozaSaanVandendriessche 主要贡献者:AristideBouixDavidChongDavidCowen KarenGispanskiDennisHolsteinChristopherHughesAshishKurmiLarryMarksAbhishekPradhanMichaelRozaAshishVashishtha 审核者:OscarMongeEspañaNirenjGeorgeTannerJamisonChelseaJoyceVaniMurthySandeepSingh FadiSodah CSA全球员工:Hing-YanLeeEktaMishraHaojieZhuangAnnMarieUlskey(封面设计) 特别感谢:BowenClose 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱： research@c-csa.cn；国际云安全联盟CSA公众 关于云事件响应工作组 随着当今新兴和快速演变的威胁格局，有必要建立一个考虑云中断等因素范围的整体云事件响应框架（CIR）。云事件响应(CIR)工作组(WG)的目标是开发一个全面的CIR框架，涵盖云事件的根本原因(包括安全性和非安全性)及处理和缓解策略，目的是为云用户提供有效的详细计划，应对和管理云事件造成的后果。CIR也是一个透明和通用的框架，为云服务提供商与云客户分享云事件提供最佳实践。这个框架的发展包括云事件的必要因素，如操作失误、基础设施或系统故障、环境问题、网络安全事件和恶意行为等。 目录 序言3 致谢4 1.简介8 目标8 目标读者8 2.规范性引用文件8 3.CIR定义10 4.CIR概述11 5.CIR架构13 5.1第一阶段：准备和后续评审13 5.1.1文档编制18 5.2第二阶段：检测和分析19 5.2.1诱因19 5.2.2分析事件判断影响21 5.2.3证据收集与处理24 5.3第三阶段遏制、根除和恢复25 5.3.1选择遏制策略27 5.3.2根除与恢复27 5.4第四阶段事后分析28 5.4.1事件评估28 5.4.2事件总结报告30 5.4.3事故证据保留33 6.协调和信息共享33 6.1协调34 6.1.1协调关系34 6.1.2共享协议和报告要求35 6.2信息共享技术35 6.3粒度信息共享36 6.3.1业务影响信息36 6.3.2技术信息36 6.3.3CSP仪表盘37 6.4桌面演练和事件模拟37 7.总结39 1.简介 在当今互联时代，全面的事件响应策略对于需要管理与降低风险概况的组织必不可少。许多没有可靠的事件响应计划的组织与企业在第一次遇到云事件后被粗暴地唤醒。导致重大停机的原因有很多，比如自然灾害、人为错误或网络攻击。良好的事件响应计划有助于确保组织在任意时刻都做好充分准备。然而，在基于云的基础设施和系统的事件响应策略方面，部分由于云的责任共担特性，存在诸多顾虑因素。1 许多政府与行业的指南中都有针对传统的本地信息技术（IT）环境制定事件响应的框架，例如《NIST800-61r2计算机安全事件处理指南》或SANS研究院《信息安全阅读室事件处理者手册》。但是，当把云计算环境也考虑在内时，必须修改和完善传统事件响应框架中定义的角色和职责，以便与在不同云服务模式及部署模式的云服务提供商（以下简称：CSP）和云服务客户（以下简称：CSC）的角色和职责保持一致。 目标 本文档旨在提供一个云事件响应(以下简称：CIR)框架，针对破坏性事件的整个生命周期，为CSC提供有效准备和管理云事件的指引。它还可以作为一个透明和通用的框架，为CSP与其CSC共享云事件响应提供最佳实践。 目标读者 主要受益者是CSC。该框架指导CSC确定组织的安全需求，从而选择适当的事件保护级别。通过这种方式，CSC可以与CSP协商，或为其量身定制安全能力——提供相对清晰的安全角色和责任划分。 2.规范性引用文件 CIR框架参考了多个业界公认的标准与框架，用于云事件的规划和准备、缓解策略和事后分析过程。 1CloudSecurityAlliance,CloudIncidentResponse,https://cloudsecurityalliance.org/research/working-groups/cloud-incident-response/ CSA云计算关键领域安全指南v4.0 NIST800-61r2计算机安全事件处理指南 ITSC技术参考（TR）62–云中断事件响应（COIR） FedRAMP事件通信程序 NIST800-53信息系统和组织的安全与隐私控制 SANS研究院信息安全阅读室事件处理者手册 ENISA云计算风险评估 图1显示了CIR阶段和主要参考文件之间的关系 5.1准备和后续评审阶段 5.2检测和分析阶段 5.3遏制，根除和恢复阶段 5.4事后分析阶段 CSA安全指南V4.0 CSA安全指南V4.0 CSA安全指南V4.0 CSA安全指南V4.0 9.1.2.1准备和后续评审 9.1.2.2检测与分析 9.1.2.3遏制、根除和恢复 9.1.2.4事后分析 NIST800-61r2 NIST800-61r2 NIST800-61r2 NIST800-61r2 3.1准备 3.2检测与分析 3.3遏制、根除和恢复阶段 3.4事后活动 TR62 TR62 TR62 TR62 0.1云中断风险 4.2COIR分类 5.2云中断中：CSC 5.3云中断后：CSC 5.1云中断前：CSC 6.2云中断中：CSP 6.3云中断后：CSP 6.1云中断前：CSP FedRAMP事件通信程序 FedRAMP事件通信程序 FedRAMP事件通信程序 FedRAMP事件通信程序 5.1准备和后续评审 5.2检测与分析 5.3遏制、根除和恢复 事后分析 NIST(SP)800-53r4 NIST(SP)800-53r4 NIST（SP）800-53r4 事件管理手册 3.1选择安全控制基线 附录F-IR 附录F-IR 7经验教训 附录F-IR AT-2,1R-4,IR-6,1R-7, 1R-4,IR-6,IR-7,IR-9 8检查清单 IR-1,1R-2,1R-3,IR-8 IR-9,SC-5,SI-4 事件处理者手册 事件处理者手册 事件处理者手册 2准备和后续评审 3识别 4遏制 8检查清单 8检查清单 5根除6恢复8检查清单 ENISA云计算风险评估业务连续性管理，79页 图1：事件生命周期和规范引用 3.CIR定义 资产：资产是任何对组织有价值的东西。资产可以是抽象资产(如流程或声誉)、虚拟资产(如数据)、有形资产(电缆、设备)、人力资源、金钱等2。 事件：损害网络和信息系统核心服务运行的问题。 可报告事件：被认为具有足够重大影响的事件，根据法律或法规需要向实体外部报告。 事件处理3：针对违反安全实践和推荐实践的问题/事件采取的纠正措施。 事件响应计划：一套清晰的指示，帮助组织准备、检测和分析事件并从事件中恢复。 事件报告：报告方(云提供商或云运营商)应向国家主管部门提交报告的程序，其中包含有关事件的临时信息。 影响：在事件解决之前，衡量事件造成的损害程度。 根本原因：导致事件发生的原因(最终的根本原因)。(根本原因分析可能识别多个“因果关系”，但只有一个是根本原因) 威胁：威胁是任何可能对信息系统造成损害的情况或事件，其形式包括破坏、披露、数据的不当修改和（或）拒绝服务。4 漏洞：特定系统、模块或组件中的缺陷或弱点，使其容易因攻击、灾难或其他原因而受到损害。 2ENISA2015,TechnicalGuidelineonThreatsandAssets,https://www.enisa.europa.eu/publications/technical-guideline-on-threats-and-assets 3NIST.SP800-61r2:ComputerSecurityIncidentHandlingGuide 4NISTSP800-32underThreatNSTISSI4009 4.CIR概述 CIR可以定义为在云环境中管理网络攻击的过程，包括四个阶段: 第一阶段:准备和后续评审 第二阶段：检测与分析 第三阶段：遏制、根除和恢复 第四阶段：事后分析 CIR系统与非云环境的事件响应(IR)系统在治理、责任共担和可见性等多个关键方面有所不同。 治理 云中的数据驻留在多个位置，可能使用不同的CSP。让各个组织共同调查一个事件是一项重大挑战。对于拥有庞大客户群体的大型CSP，这也是一种资源消耗。 责任共担 云服务客户、CSP和（或）第三方提供商在确保云安全方面都承担着不同的角色。通常，客户对其数据负责，CSP对其提供的云基础设施和服务负责。云事件响应需始终在各方之间协调。 根据所选择的云服务模式，例如软件即服务(以下简称：SaaS)、平台即服务(以下简称：PaaS)和基础设施即服务(以下简称：IaaS)，CSP和CSC之间的责任共担领域也有所不同。这个观点必须很好地理解。例如，在IaaS中，由CSC管理操作系统(OS)。因此