計算機安全事件響應團隊（CSIRT）是一種專為及時有效解決計算機安全相關(guān)事件而設置的能力，以減輕網(wǎng)絡攻擊所造成的危害。目前，全球主要國家都建立了國家級CSIRT，來承擔保護本國網(wǎng)絡安全的國家責任。而隨著網(wǎng)絡攻擊和犯罪活動逐漸成為企業(yè)組織發(fā)展中面臨的最嚴重挑戰(zhàn)之一，這意味著企業(yè)也需要不斷改善自身的網(wǎng)絡安全態(tài)勢。在此背景下，構(gòu)建一個能力強大的企業(yè)級CSIRT意義重大。

企業(yè)級CSIRT的職責

在很多企業(yè)中，會存在三種和計算機安全事件響應有關(guān)的工作團隊，分別是CSIRT、SOC和CERT。雖然它們有時可以互換使用，但從各自的職責定位上看，還是存在明顯區(qū)別的，如下圖所示：

網(wǎng)絡安全運營中心（SOC）是從網(wǎng)絡運營中心（NOC）演變而來的，主要充當網(wǎng)絡安全運營工作的中央指揮和控制樞紐角色。它的主要職責是全面保護企業(yè)的數(shù)字化系統(tǒng)安全運營。因此，SOC的職責不僅僅包括事件響應。在實際工作中，SOC可以充當網(wǎng)絡安全事件檢測的前端，用于標記事件，然后再將它們移交到CSIRT以進行解決。

計算機應急響應小組（CERT）則是主要針對計算機漏洞攻擊，目標是通過收集和傳播有關(guān)安全漏洞的信息來幫助企業(yè)保護數(shù)字化業(yè)務。許多人會將CERT與CSIRT的概念相互混淆，但是實際上，CERT的主要職責是漏洞情報收集和信息共享，以為其他安全團隊工作賦能。

而企業(yè)級CSIRT團隊通常由一組專職的網(wǎng)絡安全專家組成，致力于在評估、控制和預防網(wǎng)絡安全危機事件中為組織提供一系列服務和協(xié)助。此外，CSIRT還負責制定網(wǎng)絡安全事件響應計劃，并在安全事件發(fā)生時迅速有效地處理，最終恢復控制并減輕危害。

參考NIST給出的網(wǎng)絡安全事件響應生命周期定義，企業(yè)級CSIRT的工作任務主要包括以下四個部分：

1、為事件響應做好準備

在此階段中，CSIRT可以為組織事件響應提供以下指導：

• 制定并優(yōu)化事件管理流程的策略；
• 定義團隊所服務的群體（部門），并明確事件處置過程中直接匯報的對象；
• 準備事件處置的技術(shù)工具和資源，包括（但不限于）：1）通訊設施，如電話、電子郵件、聊天、社交媒體等；2）物理設施，如專門的工作室；3）硬件和軟件，包括數(shù)字取證工作站和軟件、安全存儲設備、數(shù)據(jù)包嗅探器、協(xié)議分析器、干凈的操作系統(tǒng)映像和軟件。

2、事件的檢測與分析

事件的偵查與檢測通常會通過多種渠道進行。首先，CSIRT會訪問IDS/IPS、反惡意軟件和日志分析工具，以識別網(wǎng)絡攻擊的來源。其他威脅情報信息將有助于提高檢測的準確性和效率。

根據(jù)攻擊類型的不同，對安全事件的分析涉及不同的技術(shù)。而事件分析主要可以確定以下三件事：

• 范圍：哪些用戶、系統(tǒng)和服務受到影響；
• 起源：是什么人因為什么原因引起了事件；
• 危害情況：攻擊使用了哪些攻擊方法或利用了哪些漏洞。

分析完成后，CSIRT團隊需要形成一份完整的事件分析報告。這有助于確定事件處置優(yōu)先次序和規(guī)劃下一步行動。

3、事件處置與恢復

為了限制攻擊的影響，CSIRT可能會隔離或關(guān)閉受感染的系統(tǒng)。在遏制之后，接下來就是清除惡意軟件。CSIRT可以在此階段使用各種技術(shù)（如刪除惡意文件、禁用受影響的賬戶、清除受感染的設備和修補漏洞）從IT系統(tǒng)中根除事件來源?；謴筒僮靼ɑ謴褪苡绊懙南到y(tǒng)、從備份中恢復數(shù)據(jù)或故障轉(zhuǎn)移到災難恢復站點。

4、事后調(diào)查與溯源取證

開展安全事件的事后（post-incident）調(diào)查活動，有助于未來可能出現(xiàn)的攻擊做出反應，并優(yōu)化安全軟件的使用。此外，報告響應時間和影響遏制指標對于改進事件響應流程至關(guān)重要。CSIRT還應該與執(zhí)法部門合作，追蹤攻擊來源，分析證據(jù)，并在必要時提供法律證詞。

企業(yè)級CSIRT構(gòu)建指南

通過制定有效的事件響應策略，組織可以大大降低安全事件的損害，同時降低業(yè)務系統(tǒng)的恢復成本。企業(yè)在組建CSIRT團隊時，應該充分考慮以下幾點：

• 確定需要什么樣的技術(shù)背景、角色和職責。
• 明確一個公司高層領(lǐng)導來監(jiān)督CSIRT的工作，以及與執(zhí)行領(lǐng)導溝通事件和進展。
• 確定適當?shù)腃SIRT組織模型和團隊所需的工作時間。
• 為各種潛在的威脅和事件制定安全計劃、政策和程序。
• 為CSIRT成員提供日常的網(wǎng)絡安全教育和意識培訓。
• 進行全面的數(shù)字化資產(chǎn)發(fā)現(xiàn)和風險評估。
• 識別關(guān)鍵事件響應資產(chǎn)，包括數(shù)據(jù)、業(yè)務流程、技術(shù)和人員。
• 有一個流程完備的資產(chǎn)管理計劃。
• 實施配置管理程序，確保所有軟件都及時修補，任何更新都經(jīng)過測試和應用。

一個有效運作的企業(yè)級CSIRT需要擁有不同技能和職責的成員。然而，沒有“放之四海而皆準”的方法。組織必須配備和培訓員工以滿足其特定的安全事件響應需求。一般而言，企業(yè)級CSIRT團隊的組成成員應該包括：

• CSIRT團隊領(lǐng)導。這一執(zhí)行角色通常由首席信息安全官（CISO）擔任，負責與高級管理人員溝通事件，并協(xié)調(diào)申請CSIRT團隊的工作預算。
• 事件管理者。該角色負責協(xié)調(diào)CSIRT日常工作例會，明確每個CSIRT成員的責任，并確定是否應該將事件處置級別升級到高管層。
• CSIRT支持人員。這是一個專業(yè)的技術(shù)角色，包括安全分析師、事件處理人員或取證調(diào)查員等，他們主要負責事件檢測、響應和報告活動。
• 跨職能CSIRT角色。為了完成任務，CSIRT團隊需要將法律、人力資源（HR）和公共關(guān)系（PR）專家納入團隊。

有效的企業(yè)級CSIRT團隊要求工作人員具備多種技能，包括技術(shù)技能和非技術(shù)技能。CSIRT員工需要基本的技術(shù)技能和安全知識來執(zhí)行日常任務。對安全原則、漏洞、編程和網(wǎng)絡協(xié)議的一般理解構(gòu)成了這個基線。因此，CSIRT團隊員工應該接受以下專業(yè)的技術(shù)訓練：

• 識別入侵者的戰(zhàn)術(shù)和手法；
• 利用加密技術(shù)保護CSIRT通信；
• 分析事件，確定如何有效應對；
• 維護事故記錄和報告。

此外，由于企業(yè)級的CSIRT工作是基于服務的。因此，所有CSIRT員工都必須具有良好的溝通能力和協(xié)調(diào)能力。

• 愿意服從指示。CSIRT團隊人員應熟悉已定義的CSIRT程序和政策，以及堅持這些程序和政策的重要性。
• 溝通能力。CSIRT團隊成員應展示有效的書面和人際溝通技巧，以履行職責，如記錄事件報告或提供技術(shù)簡報。
• 協(xié)作能力。由于CSIRT結(jié)構(gòu)的合作性質(zhì)，CSIRT團隊成員必須是忠誠的，以確保集體士氣、生產(chǎn)力和敏捷性。
• 善于時間管理。CSIRT團隊成員應該了解如何使用提供的標準來確定各種CSIRT活動的優(yōu)先級，并確定何時向管理層尋求幫助。
• 分析推理。CSIRT團隊人員需要跳出常規(guī)思維，在潛在的不穩(wěn)定情況下預測攻擊者技術(shù)并解決問題。
• 壓力管理。網(wǎng)絡安全事件響應的緊迫性和安全人員倦怠的風險需要特別注意管理壓力，以及工作與生活的平衡。
• 持續(xù)學習。事件響應是一個不斷變化的專業(yè)領(lǐng)域。因此，CSIRT團隊成員必須是求知欲強的人，并通過培訓、認證或指導來抓住機會進一步提高他們的技能。

參考鏈接：

https://heimdalsecurity.com/blog/computer-security-incident-response-team-csirt/。