云事件響應（CIR）框架PAGEPAGE7目錄簡介 8目標 8目讀者 8規性引文件 8CIR定義 10CIR概述 11CIR架構 13第階段準備后續審 13文編制 18第階段檢測分析 195.2.1誘因 19分事件斷影響 21證收集處理 24第階段 遏、根和恢復 25選遏制略 27根與恢復 27第階段事分析 28事評估 28事總結告 30事證據留 33協和信共享 336.1協調 34協關系 34共協議報告求 35信共享術 35粒信息享 36業影響息 36技信息 36CSP儀盤 37桌演練事件擬 377.總結 39PAGEPAGE10簡介1NIST800-61r2SANSCSP）（CSC）目標CIR)CSPCSC目標讀者主要受益者是CSC。該框架指導CSC確定組織的安全需求，從而選擇適當的事件保護級別。通過這種方式，CSC可以與CSP協商，或為其量身定制安全能力——提供相對清晰的安全角色和責任劃分。規范性引用文件CIR框架參考了多個業界公認的標準與框架，用于云事件的規劃和準備、緩解策略和事后分析過程。CSAv4.0NIST800-61r2ITSC（TR）62（COIR）FedRAMPNIST800-53SANSENISA圖1顯示了CIR階段和主要參考文件之間的關系5.1準備和后續評審階段5.2檢測和分析階段5.3遏制，根除和恢復階段5.4事后分析階段CSA安全指南V4.0CSA安全指南V4.0CSA安全指南V4.0CSA安全指南V4.09.1.2.1準備和后續評審9.1.2.2檢測與分析9.1.2.3遏制、根除和恢復9.1.2.4事后分析NIST800-61r2NIST800-61r2NIST800-61r2NIST800-61r23.1準備3.2檢測與分析3.3遏制、根除和恢復階段3.4事后活動TR62TR62TR62TR620.1云中斷風險4.2COIR分類5.2云中斷中：CSC5.3云中斷后：CSC5.1云中斷前：CSC6.2云中斷中：CSP6.3云中斷后：CSP6.1云中斷前：CSPFedRAMP事件通信程序FedRAMP事件通信程序FedRAMP事件通信程序FedRAMP事件通信程序5.1準備和后續評審5.2檢測與分析5.3遏制、根除和恢復事后分析NIST(SP)800-53r4NIST(SP)800-53r4NIST（SP）800-53r4事件管理手冊3.1選擇安全控制基線附錄F-IR附錄F-IR7經驗教訓附 錄 IR-1,1R-2,1R-3,IR-8AT-2,1R-4,IR-6,1R-7,IR-9,SC-5,SI-41R-4,IR-6,IR-7,IR-98檢查清單事件處理者手冊事件處理者手冊事件處理者手冊2準備和后續評審3識別4遏制8檢查清單8檢查清單5根除6恢復8檢查清單ENISA云計算風險評估業務連續性管理，79頁CIR定義 )、)(2。 ( ()。() （或4 CIR概述CIR可以定義為在云環境中管理網絡攻擊的過程，包括四個階段::CIR系統與非云環境的事件響應(IR)系統在治理、責任共擔和可見性等多個關鍵方面有所不同。治理云中的數據駐留在多個位置，可能使用不同的CSP。讓各個組織共同調查一個事件是一項重大挑戰。對于擁有龐大客戶群體的大型CSP，這也是一種資源消耗。責任共擔或根據所選擇的云服務模式，例如軟件即服務(以下簡稱：SaaS)、平臺即服務(以下簡稱：PaaS)和基礎設施即服務(以下簡稱：IaaS)，CSP和CSC之間的責任共擔領域也有所不同。這個觀點必須很好地理解。例如，在IaaS中，由CSC管理操作系統(OS)。因此，操作系統的IR責任也屬于CSC。責任 ON-Prem IaaS PaaS SaaS責任ON-PremIaaSPaaSSaaS數據分類及問責風險客戶及端點風險基礎架構風險

需要內部信任需要外部信任任 云戶責任5CSP(SLA)服務提供商多樣性/CSCCSP和或）CSCCSPCSPCSC/CSP(BCP)策CIR從CIR的角度處理服務提供商的多樣性時，還鼓勵組織在其計劃中考慮數字服務主權的各個方面（例如，數據駐留、數據主權）。可見性IRCSPIRCIRCIR架構CSAv4.06CSC2NIST(NIST800-61rev208/2012)審分析和恢復事后分析第一階段：準備和后續評審在準備階段，有必要建立事件響應能力，以便組織做好響應事件的準備。換句話說，了解環境和“敵人”至關重要。當事件發生時，CIR要實現以下目標：CIR計劃IRCIRCSC和CSP之IR(CIRT)CIRTCSPIRCIRIR供應SLA（CSPSOC。[CSC]審查CSPCSPCSC的租CSPCSCCSPCSCCSPCSPCSC。如果CSPCSCCSPCIR（CSC和CSP）。[CSC][CSC]定義CIR（IaaS[第二階段：檢測和分析]。確保所有云組件都由負責方處理。CIR/（CSC和CSP）。CIR計劃在CIRCIR(CSCCSP)。CSCCSCCSCCSPCSP處CSCCSCCSP(SDLC)[CSC]CSC[CSC][CSC]CSC[CSC](BCP)CSP[CSC]7CSC(SIEM)SIEM（CSCCSP）[CSC]CSPCSP前面的列表總結了在事件響應準備階段所產生的可交付成果清單：IR。(CSC的CIRTCSP)。文檔編制在整個IR過程中，組織應維護事件文件，確保有系統的記錄，有效地審查事件和經驗學習。組織應管理突發事件記錄中的以下信息：。8（）（）。IP第二階段：檢測和分析誘因云事件的原因(DaaS)SaaSCSP（（））））（/DoS）事件的標志在事故發生前，通常會有一個標志。根據美國國家標準與技術研究所(NIST)的定義，構成標志的場景包括：（）。（）。前兆指標自然災害惡劣天氣預報多個電源中斷系統問題對多個軟件服務的響應均滯后顯示漏洞掃描程序使用情況的Web服務器日志條目多個電源中斷供電電源有明顯的波動期直流電(DC)連續升溫周期當針對數據庫服務器發生緩沖區溢出攻擊嘗試時，網絡入侵檢測傳感器發出警報人為針對組織郵件服務器的新漏洞發布。來自一個團體的威脅，聲明該團體將攻擊該組織。防病毒軟件在檢測到主機感染了惡意軟件時發出警報。系統管理員看到具有異常字符的文件名。常用前兆和指標的來源CSP和CSC必須要有一個系統或過程來檢測這些前兆和指標，從而預防事故的實際發生。前兆和指標常用的來源包括：(IoC)民眾建議通過系統收集和分析這些前兆和指標，包括系統日志、報警、SIEM、安全運維中心和綜合運維中心。理想的情況是通過綜合運維中心監控和關聯分析各種各樣的報警、日志、事件、請求和高級網絡態勢感知日志。所有情況下，這些收集和分析的范圍必須覆蓋云管理平面而不只是部署的資產。分析事件判斷影響事件分析有一部分事件信息收集的精力是判斷該問題是假陽性或假陰性。如果問題判斷是“假報警”9，那么文檔（也就是工單）應該將該評估更新并關閉該問題。必須評估每個指標，確定其合法性。事件分析的建議包括10：IP事件通知事件響應計劃需要系統地安排使得業務和服務運營影響最小化，并且在事件發生時通知相關方。事件發布應該取決于事件影響的嚴重程度。由于高度復雜的云環境存在大量的事件，只有那些關鍵和影響嚴重的事件才需要通知高層。CSP和CSC應將事件發布矩陣集成到雙方合同和（或）SLA中。備注：CSP應該要求CSC通知CSP任何重要事件，因為這些事件可能對CSP的基礎架構和運維形成威脅。為了進行準確的報告，應從事件報告者和受影響環境（如可能）收集以下關鍵信息（5W）：事件通知時機通知時間至關重要。盡管需要快速處置事件，但是盡快通知利益相關方也同樣重要，使得他們理解當前情況從而能夠建議和采取必要行動降低事件影響。危機管理計劃需要管理與服務或業務停用相關的所有事件，包括網絡攻擊。在事件處置的過程中，危機溝通是危機管理計劃不可分割的一部分。糟糕的事件管理可能導致監管罰款、聲譽受損、客戶信任損失和嚴重的財務損失。4-484Ws（）（CSP/第三/（GDPR）72（）（或BCP和或）（CMP）。事件影響事件影響模型必須事先建立，CSP和CSC使用該模型保障在事件評估、事件影響、通知和相應的響應活動的一致性。事件優先矩陣（也被稱為“影響和應急矩陣”）來源于影響的嚴重程度和應急水平。必須開展快速而正確的影響評估判斷損失程度。下面例子包括了CSP和CSC應該共同考慮的關鍵影響類型：/70%2/12和考慮如下因素，應急水平包括最低級別（“等級5”）到最高級別（“等級1/2”）（CMP）（或董組織需要采用事件分類等級供那些用于幫助用戶評估影響嚴重程度和（或）云服務可用性對業務運營重要性的標準或指南使用。下面是基于當前云服務提供商運營趨勢的一套分類策略：優先級碼=事件等級事件影響目標響應時間目標解決時間1危急<5分鐘24小時響應團隊<1小時2高<15分鐘工作時間<2小時工作時間外對于工作時間響應團隊.否則，4-8小時，根據情況<4小時3中<15分鐘工作時間24-8小時，根據情況.<8小時4低<15分鐘工作時間<24-8小時，根據情況.<24小時5很低系統自動過濾，不需要響應-組織還希望能夠開展業務影響分析（BIA）——或者針對組織界限的威脅、脆弱性和風險評估（TVRA）——和考慮購買網絡保險用于緩解潛在的云事件帶來的財務損失。證據收集與處理識別與調查相關的數據對于確定事件的根本原因和識別經驗教訓以避免重復至關重要。識別出的數據還可以幫助支持有益的信息共享計劃，以防止類似事件的發生。請注意，由于GDPR或其他合規要求，CSP可能會限制日志的保留周期。在事件響應計劃中必須理解并考慮到這些限制，因為日志可用性將影響必要的證據收集(取決于所選擇的云服務)()上對于網絡安全事件，應采取以下步驟識別攻擊主機:(IP)///SIEMIoC第三階段：遏制、根除和恢復遏制：在應對安全事件時，遏制損害的方法對于事件和組織是獨一無二的。在正確識別事件后，根據事件類型列出所要采取的行動策略。遏制隔離被感染的系統。遏制：在應對安全事件時，遏制損害的方法對于事件和組織是獨一無二的。在正確識別事件后，根據事件類型列出所要采取的行動策略。遏制隔離被感染的系統。在檢測到安全事件時，遏制是必不可少的，以防止進一步的攻擊者活動和系統重新進入。不受約束的活動可能會耗盡資源或增加損害。從攻擊者的角度來看，典型的攻擊從最初的妥協開始，然后通過下載惡意軟件建立據點，升級權限，然后進行網絡探索。到目前為止，攻擊者可能僅限于一臺機器，無法竊取數據接下來，攻擊者可以通過在少量其他機器上安裝不同的惡意軟件橫向移動并建立持久性。這使得惡意軟件的檢測風險很低，同時提供了重新進入網絡的方法。攻擊者現在已在系統中建立起來，并將開始執行他們的任務。R，CIR(APIIR團隊各組織應在處理突發事件時確定和定義可接受的風險，并制定相應的戰略。遏制策略因事件類型而異。例如，包含電子郵件傳播的惡意軟件感染的過程與基于網絡的DDoS攻擊響應完全不同。組織應針對每種主要事件類型制定單獨的遏制策略，并將標準明確記錄下來以便制定決策。確定適當策略的準則包括：()（） ()()/副本//適當的遏制策略的最終目標是限制攻擊者的行動，并在盡可能短的時間內防止進一步未經授權的訪問或感染，同時最大限度地減少服務中斷。適當的策略將防止進一步的損害發生，同時保留調查所需的證據。選擇遏制策略()IR()延遲的遏制策略是危險的，因為攻擊者可能升級未經授權的訪問或危及其他系統。另一個潛在的問題是，一些攻擊可能會在遏制后造成額外的損害。例如，一臺已被入侵的主機可能會運行一個定期發送給另一個主機的惡意進程，當事件處理程序試圖通過斷開受感染主機與網絡的連接控制事件時，后續的ping就會失敗。由于出現故障，惡意進程可能會覆蓋或加密主機硬盤上的所有數據，即使主機已經與網絡斷開連接，處理程序也不能假定該主機不會受到進一步的破壞根除與恢復恢復：包括安全、及時地恢復計算服務11。恢復過程將系統修復到原始的或增強的狀態。此過程通過應用補丁、重建系統的密鑰文件、重新安裝應用程序、更改密碼和從備份中恢復文件，將其返回到生產過程中。CIR流程的最后一個階段是事后分析。這一關鍵階段的目標是評估企業和CSP團隊如何處理和管理事件，改進未來的事件處理程序。評估的基礎是審查事件數據和包含“經驗教訓”12的事后報告。要回答的關鍵問題是：哪些方面可以做得更好?這種反饋應該轉化為新的對策，并返回到第1階段。事件評估對事件特征的分析可以在最低限度上指出安全弱點和威脅、云配置弱點以及事件趨勢的變化。這些數據可以作為反饋循環添加到風險評估過程中，可能導致選擇和實施額外的控制措施、流程和預防措施。客觀的事后分析還將幫助團隊使用收集到的信息衡量CIR過程的總體有效性。問題可能包括：如果事件數據被正確地收集和存儲，應該突出IR團隊的幾個成功度量(或至少是活動)。事件評估指標（）CSC應及應收集流量日志或其他流量日志等數據，以便審查未經授權的訪問或可疑的流量。收集到的事件數據應該包含以下信息的指標(性能指標):(MTTD)（直接MTTDMTTA(MTTR)（3。MTTCMTTDMTTA和MTTRKPI）MTTCDDoSGbpsTbps。MITREATT&CK?CloudMatrix13。事件分類嚴重性和緊急性分類(H/M/L)可能會在檢查后發生變化。危及個人身份信息(PII)或個人健康信息(PHI)的機密性/完整性以及為大量客戶提供服務的高嚴重性事件可能會產生重大的財務影響。示例包括：PII/PHIPII/疑似PII泄露DoSPII（/）DoS事件總結報告CIR(AAR)CIR14高級管AAR事故報告應包含以下內容：/SLA （）CSP參與者））/建議 在撰寫報告時，請考慮以下要素：CIRT和CSPCIRT使用AAR（CSP<->CSC）15。PII/PHI（GDPR）通常認為有必要在向高層管理人員報告信息后向更廣泛的公眾發布報告，促進跨企業的事件信息共享。這種透明度有助于同行更好地識別和控制風險。經驗教訓CIR16安全指南：特別注意數據收集限制并確定如何解決未來的問題。由于云數據位于多個位置（并且可能具有不同的CSP），因此以下注意事項對流程的這一階段提出了挑戰：。CSC）（）？事故證據保留(3)。PII/PHI17CSA指CSP和CSC之間19協調和信息共享CSPCIR/由于云計算的共享特性，一次攻擊通常會同時影響多個組織。因此，事件信息共享在幫助相關組織防范相同威脅方面是互惠互利的。CSA運行云網絡事件共享中心(CloudCISC)20，方便參與的CSP之間共享事件數據。與關鍵合作伙伴、其他部門的IR團隊和執法機構的協調大大增強了CIR的能力。這種溝通應該從一開始就建立起來——在計劃階段，并在必要時在整個CIR過程中保持。下面的信息圖舉例說明了組織在發生危機時為確保有效溝通所經歷的各個階段21準備確定溝通團隊選擇溝通渠道給目標聽眾的消息CCMP:事件管理計劃首席市場官內部和外部郵件監管機構維護RACI矩陣或線性責任圖溝通領導致傳媒新聞稿董事會建立作戰室主題專家董事會報告勞動力網絡空間危機桌面演公司秘書監管報告第三方習RACI:負責、負責、咨詢和知情股東會議客戶IVR服務通知/通過區域辦事處/分公司網絡進行簡報保險公司網站執法機構社交媒體渠道合作伙伴客戶支持債權人股東協調協調關系:;CSC和CSPCSP通，所事件需要 CSC和CSP之密切作，效地理事。利益相關者應該主動識別此類事件場景以及他們的角色和職責。他們還應該確定在事件發生時使用的溝通渠道(例如，電子郵件、視頻/電話會議細節)，以便利益相關者知道如何有效地共享信息。利益相關者溝通：溝通建議應基于不同的第一反應者可能性(例如，CSP作為第一反應者vs.云用戶作為第一反應者)。共享協議和報告要求(D(組織還應該考慮任何現有的報告要求，例如與信息共享和分析中心(ISAC)共享事件信息或向更高級別的CIRT報告事件。信息共享技術所有利益相關者必須能夠識別威脅并與關鍵利益相關者共享安全信息。通常，所有利益相關者對于發現或共享事件關鍵信息以及評估其能力的最優方法并沒有明確的方向。客觀地，必須評估共享技術以確定減少利益相關者負擔的有效性，同時確保互聯互通和彈性。即使是最小的組織也必須保持與同行和合作伙伴共享事件信息的能力，實現積極的結果。組織應該在整個事件響應生命周期中而不是等到事件完全解決才共享信息。信息共享是實現跨組織協調的基本要素。粒度信息共享組織還必須權衡信息共享的好處和共享敏感信息的缺點。企業應該只與適當方面共享必要的數據。理想情況下，所有利益相關者都應該有一份NDA，為敏感和專有信息提供合同保護。業務影響信息云安全事件既是業務問題，也是IT問題。云安全事件可能會導致一系列負面業務影響，例如財務損失（例如，服務不可用、失去合規認證導致無法開展業務、事件響應成本）、聲譽影響（失去客戶信任）、商業秘密披露、知識產權盜竊、敏感數據泄露或其他問題。IR業務影響信息描述了事件在任務影響、財務影響等方面對組織的影響。至少在摘要級別上，此類信息通常報告給更高級別的IR協調團隊，用于傳達事件的損害估計。業務影響信息只有在向對確保發生事件的組織任務有一定興趣的組織提出報告時才有用。在很多情況下，除非有明確的價值主張或正式的報告要求，IR團隊應避免與外部組織共享業務影響信息。技術信息由于CSP服務于許多客戶，因此攻擊者經常使用相同的弱點攻擊多個CSP客戶。一旦CSC/CSP提取了有關攻擊或新興威脅的技術細節，就可以分發這些數據以增強對特定攻擊的防御。在當今的數字經濟中，速度和效率至關重要。對于那些負責保護網絡免受攻擊的人來說，網絡罪犯的行動速度可能令人擔憂。該行業必須與行業同行共享更多安全情報，以便更好地保護并且適應不斷演變的威脅。在企業通過收集內部指標獲得價值的同時，也可能會通過分析從合作伙伴組織收到的指標以及共享內部指標以供外部分析和使用中獲得額外價值。如果組織收到有關其未看到的事件的外部指標數據，則可以在事件開始時使用該指標識別事件。類似地，組織可能會使用外部指標數據檢測由于缺乏捕獲特定指標數據的內部資源而沒有意識到正在發生的事件。組織還可以從與外部組織共享內部指標數據中受益。技術指標數據有助于組織識別實際事件。然而，并非所有從外部來源收到的指標數據都屬于接收該數據的組織。外部數據有時可能在接收組織的網絡內產生誤報，并對不存在的問題造成不必要的資源分配。組織應盡可能多地分享見解。然而，可能存在安全和責任方面的原因，決定了為什么組織可能會隱瞞被利用漏洞的詳細信息。技術指標數據有助于組織識別實際事件。然而，并非所有外部源指標數據都與接收該數據的組織有關。在某些情況下，這些外部數據會在接收組織的網絡中產生誤報，從而為不存在的問題分配不必要的資源。CSP儀