安全响应团队的构建与管理

计算机安全事件响应小组的构建与管理1安全响应团队的构建与管理计算机紧急事件响应小组（CERT）培训与教育网络系统可生存性计划软件工程学院卡内基梅隆大学匹兹堡PA15213－38901996－2004卡内基梅隆大学CERT，计算机安全事件响应小组协调中心，由卡内基梅隆大学，在美国专利商标局注册。此材料被授权公开发行，并仅限由软件学院分发给参加者。计算机安全事件响应小组协调中心（CERT/CC）是由美国防高级研究计划局在1988年10月，一次网络蠕虫事件发生后创立的。CERT/CC位于卡内基梅隆大学软件工程学院（SEI），SEI是一个联邦政府资助的研究开发中心（FFRDC），它是由美国国防部秘书处下属的采办、技术和后勤办公室(OUSD(AT&L))发起的。CERT/CC的任务是：履行协调中心的职责。鼓励通过网络社团的合作，取得有效的事件响应。帮助其他组织组建响应队伍，并且引导紧急事件趋势的研究和分析。部分工作是源起美国陆军信息作战局（LIWA）和美国国防信息系统局（DISA）.计算机安全事件响应小组的构建与管理2CSIRTS的创建与管理简介创建一个有效率的计算机安全事件响应小组计算机安全事件响应小组的构成操作性管理问题事件处理行动总结简介创建一个有效的计算机安全事件响应小组什么是计算机安全事件响应小组？计算机安全事件响应小组做些什么？计算机安全事件响应小组的通常种类培养你的视野执行建议计算机安全事件响应小组构成赞助者任务资金组织问题服务政策和程序资源操作性管理问题计算机安全事件响应小组员工问题管理计算机安全事件响应小组基础设施计算机安全事件响应小组效率的评估应急处理行为危急信息筛选协调响应总结提交人：GEORGIAKILLCRECEROBINRUEFLEMARKZAJICEKCERTCSIRT开发小组网络系统可生存性软件工程学院卡内基梅隆大学计算机安全事件响应小组的构建与管理3目的我们为您提供：计算机安全事件响应小组的目的和构成的介绍组建一个计算机安全事件响应小组的基本原理计算机安全事件响应小组的好处必备条件和框架服务种类和标准必须的政策和流程协作和通讯对希望计算机安全事件响应小组管理者和员工应该处理的工作类型，有一定的熟悉。介绍应急处理方法和应急响应行为的本质。本指南呈现了对管理、组织上和程序问题的高水平概述，它包含了创建和运行一个计算机紧急事件响应小组的问题。本节会对计算机应急响应小组的目的和结构做一个介绍。这包括：组建一个计算机安全事件响应小组的基本原理计算机安全事件响应小组的好处组建一个有效的计算机安全事件响应小组的必备条件和框架计算机安全事件响应小组能够提供的服务种类和标准计算机安全事件响应小组应该建立和这行的必须政策和流程在小组内和小组间，协作和通讯的重要性本节会对计算机安全事件响应小组管理者和员工应该处理的工作类型，做一些熟悉。同时会对紧急事件处理方法和紧急事件响应行为的本质做一些介绍。专门的主题会包括：确定危急信息提供热线和筛选功能协调响应管理计算机安全事件响应小组基础设施保护计算机安全事件响应小组数据雇佣计算机安全事件响应小组员工计算机安全事件响应小组的构建与管理4适用读者各类计算机安全应急响应小组的管理者未来的新的现有的其他需要对计算机安全事件响应小组管理问题，想要有了解的个人负责创建计算机安全事件响应小组的个人对学习关于计算机安全事件响应小组更多知识有兴趣的个人本指南为管理者和其他有兴趣的员工设计，提供包括创建和运行计算机安全事件响应小组问题的综述，同时提供必要的决策，确保你的计算机安全事件响应小组员工，对计算机安全事件响应小组的客户提供适当的服务。负责创建计算机安全事件响应小组的个人可能包括：首席信息官（CIO）首席安全官（CSO）管理者项目领导项目小组成员其他有利害关系或者相关部分其他对更多关于计算机安全事件响应小组工作有兴趣的成员，可能包括法律人员人力资源现行安全人员系统和网络管理员公共关系人员上层管理风险管理和审计人员客户成员本指南不需要有处理应急事件的经验。计算机安全事件响应小组的构建与管理5课程材料的应用所有的计算机安全事件响应小组都不一样每个小组应该由他们根据各自独特的环境，提供的服务类型和实质，做出决定、课程中的例子和建议反映了什么对计算机安全事件响应小组有好处遇到的缺陷和益处注意到不是所有的计算机安全事件响应小组都是相似的。我们不能对您的计算机安全事件响应小组的独特问题最好的解决方案，给出决定性的答案。将团队的标准，应用到不同的情况中。中。记住这条信息，并在你的组织的工作中应用。计算机安全事件响应小组的构建与管理6创建和管理计算机安全事件响应小组简介创建一个有效的计算机安全事件响应小组计算机安全事件响应小组构成操作性管理问题事件处理行为总结计算机安全事件响应小组的构建与管理7动机建立计算机安全安全事件响应小组的促进因素包括计算机安全安全事件报告的数量、受计算机安全安全事件影响的组织类型和数量，普遍增长各组织更加集中的意识到对安全政策的需要，并把它作为全面风险管理政策的一部分而实行。新的法规法令对各组织怎么样需要保护信息财产产生影响系统和网络管理员单独的运作，不能保护组织系统和资产需要实现预先的计划和政策因特网本身已经成为基础设施，因此必须保护它，保证可靠稳定的服务。网络和系统管理员没有适当的人员和行动阻挡攻击和最小化损害介绍新的规则和标准，确保对数据的保护和审计。这会对一个组织需要的安全政策和流程产生影响。如下方面的改变组织数据保护需求当地或者国家法律制度上的规定已经迫切需要把安全意识定位到企业级别。在美国的一些例子包括：1999年的GRAMMLEACHBLILEY法案（GLBA，即众所周知的金融服务现代化法案）——要求金融机具有客户隐私政策和信息安全程序健康保险便利及责任法案(HIPAA)——包括保护对于健康组织的确定类型健康信息的隐私和完整性的要求联邦信息安全管理法案(FICMA)——2002年电子政务法案的一部分，要求美国联邦政府机构有责任确保各自系统的信息安全，其中包括执行每年一次的独立评估。根据此法案，所有美国联邦机构也要求建立应急响应能力和程序，用来发现、报告和响应安全应急事件。要保证您组织的信息资产安全，需要多层面的努力。没有一种行为或者解决方案是万能的。计算机安全事件响应小组的构建与管理8事件报告正在增多上面是提交到计算机安全事件应急小组的报告。在以后几年中，网络社会在网络安全方面会遇到的问题可以用如下几条概括因特网的用户和公司的数量正在增长卖方产品发展和测试圈正在减少运行在因特网上客户端和服务器上的协议和应用程序的复杂性正在增长有许多信息基础设施有根本性安全设计问题的不能快速解决入侵技术正在增长攻击、入侵工具和工具包的的复杂化正在增长计算机安全入侵数量正在增长入侵效率正在增长（知识正在被传递到缺少知识的入侵者，因此使入侵更有效）拥有安全知识和专门基数的人数正在增长，但是远比因特网用户的数量增长速度小。有效的安全工具数正在增长，但是其不必要和软件、系统和网络复杂性的增长一样快。事件响应小组的数量正在增长，但是事件响应人数对网络用户的比率正在减少。计算机安全事件响应小组的构建与管理9报告至CERT/CC的漏洞数的增长漏洞：漏洞就是一组状态，使得对外在或者内在安全策略的违反，成为可能。漏洞可能是软件缺陷、配置或者设计结果、在系统间，或者环境变化间不希望的交互作用。例子如下：phf（按照用户“nobody”的远程命令执行）rpc.ttdbserverd(按照根用户的远程命令执行)全局可写的密码文件（系统评估数据的编辑）默认密码（远程命令执行或者其他访问）对降格服务引起的服务问题的拒绝在软件或者协议中的缓存器溢出（BIND，发送邮件、FTP、TCP等等）要认识到重要的一点是，从漏洞的发现到爆发时间变得越来越短。周－天－小时－分钟。计算机安全事件响应小组的构建与管理10什么是计算机安全应急响应小组一个组织或者团队，对规定的用户，提供服务并对计算机安全安全事件的防止和响应给予支持。要保持您组织信息资产的安全，需要一个多层面的方法。没有一种行为或者解决方案是万能的。组建一个计算机安全应急响应小组成是一个层面,还要执行安全配置、安全意识训练和外部、内部的防护，积极的协同响应始终是必须的，但是我们也必须快速行动，正确实施其他方案，取得如下的效果：拥有安全机制的更高质量的信息技术产品，更好的符合今天系统管理员和用户的知识、技术以及能力。扩展研究项目，领导计算机安全上的基础性的进步。大量的技术专家，拥有保护大型复杂系统所需的技术。计算机空间中，利益相关者对数据安全事务、漏洞和威胁的不断增长和前进的意识与理解。就像一个消防队，一个计算机安全应急响应小组可以执行反应的和主动反应的服务。消防队对火灾进行响应并扑灭之。他们也会预先有准备的，提供火灾预防训练，促进烟雾警报器的安装、防火梯的购买并指导家庭用最正确的方式安全撤离燃烧的建筑物。CERT/CC的经验是，在一次入侵发生后，很多组织第一次开始思考怎么样处理计算机安全安全事件。出现了各种缩写，用来指明不同的响应小组。这里列出除CSIRTS以外的一些例子：CERT计算机事件响应小组CSIRC计算机安全事件响应能力CIRT计算机事件响应小组CIRC计算机事件响应能力IRT事件响应小组SERT安全应急响应小组SIRT安全事件响应小组计算机安全事件响应小组的构建与管理11方法与技术事件处理不仅仅是以技术的应用，来解决计算机安全事件。它是行动计划的发展它是为如下而进行的方法的建立：通告和通讯合作和协调分析和响应计算机安全事件响应小组的构建与管理12计算机安全事件响应小组的好处反应性集中的响应努力更高速和标准化的响应拥有事件处理经验的稳定的团队主干，并具有实用商务知识。在安全社团中，同其他人的协调。主动性支持组织性的商业目标提供可信的风险数据和商业情报提供产品开发圈或者网络操作的接口对履行漏洞评定、发展安全策略和提供意识训练上，提供帮助。即使最好的信息安全基础，也不能保证不发生入侵或者其他恶意行为。非常重要的是，当发生计算机安全事件时，组织应该具有响应的有效方法。组织能够识别、分析以及对事件的响应的速度，会限制造成的损害，并降低恢复的成本。计算机安全响应小组可以现场指挥快速的响应，牵制和恢复一个计算机安全事件。计算机安全响应小组也许会对被危害的系统很熟悉，所以能更快的协调恢复并提出缓解和响应的策略。他们和其他计算机安全响应小组和安全组织的关系，能够很方便的分享响应策略，对潜在的问题作出较早的警报。计算机安全响应小组开始于以响应为目的的组织，但是现今在已经发展成一般意义上的，主动防御并保护组织和网络社会重要资产的组织。这种主动的工作包括提供安全意识和教育服务，影响力政策以及研究组和信息交换的协调。它还包括对入侵趋势的分析，并摸索出对变化环境的更好理解，以便响应保护、缓解和响应策略能够被发展并传播。计算机安全响应小组可以和组织的其他部门一起工作，保证新的系统能够以意识中的安全发展和运行，并且和任一方的安全政策保持一致。他们可以帮助确定组织的漏洞区域，有时能够执行漏洞评定和事件探测。计算机安全事件响应小组的构建与管理13计算机安全响应小组做些什么？通常，一个计算机安全响应小组提供一个单独的联系点，来报告本地问题确定和分析发生了什么，其中包括冲击和威胁。研究解决方案和缓解策略分享响应选项、信息和学习到的课程。计算机安全响应小组的目标是：最小化和控制损害提供或者辅助进行有效的响应和恢复帮助防止以后再发生对每个人来说，没有一个单独的团队能承担一切！计算机安全响应小组和一个IT部门中的安全小组不同。安全小组履行每天的组织的网络和系统监视。它的责任是保持系统的更新，安装补丁，为减少事件的发生而工作。计算机安全响应小组