数字 FIRST 响应者 计算机安全的作用 事件响应团队(CSIRTS)在发展中国家 2024年6月 实践者 NOTE ©2024国际复兴开发银行/世界银行 1818HStreetNW,华盛顿,DC20433 ThisworkisaproductofthestawoftheWorldBankwithexternalcontributions.Thefindings,interpretations,and 这项工作中表达的结论不一定会反映世界银行执行董事会的观点董事或他们所代表的政府。世界银行不保证准确性、完整性或 货币的数据包括在这项工作中,不承担任何错误,遗漏或差异的责任在信息中,或与使用或未能使用信息、方法、过程有关的责任,或 conclusionssetforth.Theboundaries,colors,saminations,andotherinformationshownonanymapinthisworkdo 并不意味着世界银行对任何领土的法律地位或认可的任何判断或接受这样的界限。 此处的任何内容均不构成或被解释为或被视为对特权的限制或放弃世界银行的豁免权,所有这些都是特别保留的。 权限和权限 这项工作可以在知识共享署名3.0IGO许可证(CCBY3.0IGO)http://creativecoommons下获得。 org/licenses/by/3.0/igo.UndertheCreativeCommonsAttributionlicense,youarefreetocopy,distribution, 并使用适当的引用来调整这项工作,包括用于商业目的。封面照片©视觉新闻协会/世界银行 受众和范围 本说明旨在使发展中国家的决策者清楚地了解 用于增强网络弹性的CSIRT。它提供了有关CSIRT部署状态的新数据和证据地区和收入群体,并概述了如何建立和运营国家CSIRT的实用建议, Includingforcostsandstang.Thenotedoesnotexamineotherkeydimensionsofnetworkresilability,suchasnational 网络安全战略和治理模型、技能开发和法律框架,如在世界银行的其他知识产品。 免责声明 本说明基于撰写本报告时可用的数据,并反映了不断发展的国际良好做法, includingexperiencesinawiderangeofcountriesfromdicwiterentregions.ItprimarilyreliesonFIRSTmembershipasaproxyindicatortodeterminethee-ectivenessofaCSIRT.Theauthorsofthisnoterecognizethatthisproxyindicatordoesnotnecessaryrepflecttherealityofeverycontextontheground.However,whilethisproxyindicator有局限性,它被证明在评估国家的事件响应能力方面是有用的,并且通常是准确的 不同地区和收入群体,包括低收入人群。 Acknowledgements 本说明由高级数字开发专家GhislaindeSalins和顾问RobertCollett撰写,来自世界银行数字发展全球实践,与克里斯·吉布森、谢尔盖·德罗兹、奥利维尔·卡莱和 KleeAikenfromtheglobalForumofIncidentResponseTeams(FIRST).ItwasreviewedbyGiacomoAssenza,PaulSeaden和世界银行的AndersPedersen,以及Jean-RobertHountomey(AfricaCERT)和Vilius Benetis(NRD)。它建立在国际电联,OAS,ENISA,GFCE关于事件响应能力建设的先前出版物的基础上 andFIRST(referencedinthelastsectionofthisdocument),amongothers.Thedevelopmentofthisnotewasfunded 世界银行网络安全多方捐助者信托基金。 worldbank.org/digitaldevelopment2 目录 缩略语和缩写………………………………………………………………………………………………………………………………………………… ………………………………………………………………………………4 执行摘要………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………5 介绍……………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………… 1、什么是CSIRT?……………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………92、CSIRT的主要特点 选区。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。11 服务………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………12 治理………………………………………………………………………………………………………………………………………………… …………14 3.CSIRT需要多少钱?…………………………………………………………………………………………………………………………………… ………………………………………………………………………………174、建立健全CSIRT19 5.结论22 6、从业人员资源23 参考资料24 缩写词和缩写 AFE 东部和南部非洲 AFW 西方和中非 ANSSI 国家信息系统安全机构(法国) APCERT 亚太计算机应急响应团队 CAPEX 资本开支 CDA 网络防御非洲 CERT 计算机应急响应团队 中情局保密性、完整性、可用性 CIP 关键基础设施保护 CIRT 计算机事件响应团队 CISA 网络安全和基础设施安全机构(美国) CSF 网络安全框架 CSIRT 计算机安全事件响应团队 CTI 网络威胁情报 DDOS 分布式拒绝服务攻击 EAPEAS0OFTHINGS ISAC 信息共享与分析中心 ISO 国际标准化组织 IT 信息技术 ITU国际电信联盟 LAC 拉丁美洲和加勒比 LICS 低收入国家 MENA 中东和北非 MICS 中等收入国家 NCSIRT 国家计算机安全事件响应团队 NIST 美国国家标准技术研究所 OAS 美国国家的组织 OPEX 运营费用 PSIRT 产品安全事件响应团队 PPPS 公私伙伴关系 SAR 南亚地区 SIEM 安全事件和事件管理 SIM3 安全事件管理期限模型 SLAS 服务水平协议 SOC 安全运营中心 TBA TRUSTBrokerAFRICA SOP标准操作程序 TNO荷兰组织应用科学研究 执行摘要 •计算机安全事件响应小组 (CSIRT)是firefi打火机的数字等价物和其他fi第一响应者。 •CSIRT是任何国家基础的关键网络安全生态系统。除了事件 回应,他们可以提供培训,提高意识,并促进社区建设。 然而,他们不参与执法或政策制定。 •投资于建立、加强和 应进一步优先考虑运营CSIRT 在发展中国家。 •在低收入国家,政府应该专注于建立和运营 国家CSIRT(nCSIRT)功能。在其开始时,nCSIRT可以专注于提供仅向政府或某些 关键基础设施的运营商。 •一个国家的 鲁棒事件响应函数及其总体网络安全能力。在西部和中部 例如,非洲,得分的四个国家国际电信最高 联盟(ITU)全球网络安全指数(GCI) 还有一个完全运作的CSIRT。1 •虽然已经有500多个CSIRT建立在高收入国家,只有六个低收入国家有一个全面运作的 CSIRT。平均而言,中等收入国家只有一个可操作的CSIRT。 •与估计的年度成本相比 的网络安全事件(高达3%的 GDP),对事件响应的投资脱颖而出为经济带来可观的回报 整体发展。 •在中等收入国家,政府应加强其nCSIRT功能, 建立一个强大的部门CSIRT网络致力于关键基础设施保护。 •新成立的CSIRT应该“从小做起” 通过关注几个组成部分和有限的 一套核心服务,特别是在低收入人群中 context.Theycangrowovertimetoadjustto 不断变化的环境、需求和资源。 •开源工具的使用和资源由从业者社区开发可以 有助于减少初始投资和运营 CSIRT的成本。 •参与国际和区域 事件响应网络至关重要to 安全的“快速胜利”(例如,点对点学习)并迅速建设新成立的企业的能力 CSIRT。 •一些创新模式(例如,公私伙伴关系(PPP)正在实施并可以促进知识转移和 减少所需的初始公共投资建立CSIRT。 1在本说明的上下文中,FIRST成员资格被用作代理指标,以确定CSIRT在给定国家。 Introduction 网络安全事件的影响持续增加,随着每年的社会成本高达3 占GDP的百分比(世界银行,2024(即将出版))。在发达国家和发展中国家,关键部门例如医疗保健,能源和运输越来越受到网络安全事件的影响。对于大多数政府和 世界各地的组织,相关的问题不再是如果网络安全事件将会发生,但 when. 因此,政府一直在显著投资fi来检测和响应网络安全 事件。虽然firefi打火机和医疗急救人员是典型的first响应者,但在 在物理世界中,计算机安全事件响应团队(CSIRT)的sta是标准的first响应者数字领域。 CSIRT通过事件响应和安全小组论坛(FIRST)在国际一级进行合作,以及通过非洲计算机应急小组(AfricaCERT)等各种区域组织, TrustBrokerAfrica,CSIRTAmericasorAPCERT(forAsia-Pacific).FIRSTwasestablishedsoonaftertheMorrisworm1988年(Denning,1989年),大约有5个参与团队。截至2024年,超过700 108个国家的事件响应小组是FIRST的成员(见图1)。 图1.参与FIRST的事件响应团队数量的演变 来源:FIRST FIRST的成员可以被认为是一个国家整体事件响应的相关代理指标能力,发达国家通2常有许多团队参加FIRST。 在高收入国家,事故响应生态系统通常相当发达。这些国家通常有 用于关键部门的专业CSIRT以及用于一些大型组织的企业级CSIRT。在高收入 背景下,国家CSIRT(nCSIRT)通常扮演着事件响应生态系统的协调者角色,并且作为重大事故案件的“最后手段”的CSIRT。在美国,西班牙和日本,111,57, 和44个团队分别参加了FIRST(FIRST,2024年5月)。平均而言,每个CSIRT中有六个以上 2虽然一些现有的CSIRT不参与FIRST,本说明依赖于FIRST成员资格作为代理指标来确定 CSIRT和国家一级的整体事件响应能力。 高收入国家(见表1)。较大的国家往往有更多的团队不是FIRST的成员(例如,仅在日本,日本CSIRT协会(NCA)就有500多名成员)。 在中等收入国