2024年2月，NIST發(fā)布其網(wǎng)絡(luò)安全框架（CSF 2.0）的更新指南。CSF 2.0的目標(biāo)是闡明網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的高級(jí)分類(lèi)法，并指導(dǎo)企業(yè)如何改進(jìn)其網(wǎng)絡(luò)安全計(jì)劃、應(yīng)對(duì)網(wǎng)絡(luò)攻擊的措施以及攻擊后的效果。NIST的最新指南《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的事件響應(yīng)建議和注意事項(xiàng)》于2025年4月發(fā)布，將CSF 2.0的通用指南細(xì)化為更具體的行動(dòng)項(xiàng)目，供企業(yè)改進(jìn)其網(wǎng)絡(luò)安全響應(yīng)。

了解事件響應(yīng)生命周期

最新指南提出了企業(yè)在規(guī)劃事件響應(yīng)時(shí)應(yīng)考慮的六項(xiàng)原則，以確保企業(yè)能夠識(shí)別、實(shí)施有效的應(yīng)急方案，并隨時(shí)準(zhǔn)備應(yīng)對(duì)網(wǎng)絡(luò)威脅。NIST對(duì)這些原則的定義如下：

• 管理：建立、傳達(dá)和監(jiān)控組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理策略、期望和政策。
• 識(shí)別：識(shí)別和管理可能導(dǎo)致網(wǎng)絡(luò)安全事件的資產(chǎn)、漏洞和風(fēng)險(xiǎn)。
• 保護(hù)：實(shí)施保護(hù)資產(chǎn)和數(shù)據(jù)的安全措施，以管理組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
• 檢測(cè)：主動(dòng)發(fā)現(xiàn)并分析可能的網(wǎng)絡(luò)安全攻擊和危害。
• 響應(yīng)：管理、確定優(yōu)先級(jí)、控制和消除事件，同時(shí)向相關(guān)方報(bào)告和傳達(dá)事件。
• 恢復(fù)：恢復(fù)受網(wǎng)絡(luò)安全事件影響的資產(chǎn)和運(yùn)營(yíng)。

總的來(lái)說(shuō)，這六個(gè)步驟旨在強(qiáng)調(diào)組織網(wǎng)絡(luò)安全協(xié)議的持續(xù)改進(jìn)，以確保它們能夠隨著威脅的演變和變化而調(diào)整和增強(qiáng)其事件響應(yīng)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐。

定義事件響應(yīng)管理的角色和職責(zé)

NIST報(bào)告強(qiáng)調(diào)，網(wǎng)絡(luò)安全響應(yīng)團(tuán)隊(duì)的規(guī)模需要比以往更加廣泛。此前，NIST推薦并支持“事件處理程序”模式，即公司內(nèi)部設(shè)立專(zhuān)門(mén)的團(tuán)隊(duì)來(lái)管理和響應(yīng)網(wǎng)絡(luò)安全威脅。鑒于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性及其面臨的威脅，NIST建議擴(kuò)大公司參與網(wǎng)絡(luò)安全事件響應(yīng)流程的員工范圍，例如將公司領(lǐng)導(dǎo)層、法務(wù)團(tuán)隊(duì)、技術(shù)專(zhuān)業(yè)人員、公共關(guān)系團(tuán)隊(duì)和人力資源部門(mén)納入其中。NIST還建議事件處理程序團(tuán)隊(duì)采用“責(zé)任共擔(dān)”模式，將網(wǎng)絡(luò)安全運(yùn)營(yíng)部分或全部外包給資源充足、專(zhuān)業(yè)的第三方，并在合同中明確約定其職責(zé)。NIST認(rèn)為，這些措施將有助于公司更有效地應(yīng)對(duì)和解決網(wǎng)絡(luò)安全事件，從而更好地保護(hù)其數(shù)據(jù)和資產(chǎn)。

重寫(xiě)事件響應(yīng)政策、流程和程序并使用劇本

NIST報(bào)告概述了企業(yè)在組織內(nèi)部制定有效的事件響應(yīng)政策、流程和程序時(shí)需要考慮的基本要素和建議。對(duì)于事件響應(yīng)政策，NIST建議該政策應(yīng)包含以下關(guān)鍵要素：管理承諾聲明、政策的目的和目標(biāo)、政策范圍、事件和事故的定義、角色和職責(zé)、確定事故優(yōu)先級(jí)的指南以及績(jī)效衡量標(biāo)準(zhǔn)。

流程和程序應(yīng)與這些政策緊密結(jié)合，并應(yīng)記錄應(yīng)對(duì)網(wǎng)絡(luò)安全事件（尤其是最常見(jiàn)的事件和威脅類(lèi)型）所需的技術(shù)和操作知識(shí)。NIST建議企業(yè)考慮將這些程序格式化為行動(dòng)手冊(cè)，例如美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局 (CSA) 的《網(wǎng)絡(luò)安全事件和漏洞響應(yīng)行動(dòng)手冊(cè)》，以記錄其流程和程序，以便在整個(gè)組織內(nèi)輕松復(fù)制和保持一致性。

NIST 報(bào)告最后提供了一個(gè)示例模板，公司可以使用它來(lái)幫助實(shí)施 NIST 的建議并使其網(wǎng)絡(luò)安全實(shí)踐適應(yīng)CSF 2.0。