2018年國家關鍵信息基礎設施應急響應模型.pdf

《2018年國家關鍵信息基礎設施應急響應模型.pdf》由會員分享，可在線閱讀，更多相關《2018年國家關鍵信息基礎設施應急響應模型.pdf（37頁珍藏版）》請在三個皮匠報告上搜索。

1、國家關鍵信息基礎設施應急響應模型人流程技術CERT/CSIRT數字取證與數據恢復ISO IEC 15408 ICT產品評估與認證（通用標準）SCADA/ICS漏洞評估安全評估機構安全管理與最佳實踐惡意軟件研究ISO IEC 27001 ISMS審核和認證培訓和專業認證外展意識計劃產業發展計劃戰略和政策研究雙邊和多邊參與密碼學研究第3頁馬來西亞網絡安全戰略計劃技術過程人圖例：云和大數據安全CNII：對國家至關重要的資產、系統和職能部門，如果癱瘓或遭到破壞將會對以下方面產生破壞性影響：國防安全國家經濟實力國家形象政府職能公共健康與安全保護關鍵國家信息基礎設施（CNII）-對馬來西亞電子主權至關重要

2、第4頁馬來西亞的CNII國防和安全國防和安全交通運輸交通運輸銀行與金融銀行與金融衛生服務衛生服務緊急服務緊急服務愿景“馬來西亞的國家關鍵信息基礎設施應該是安全的、可恢復的，同時還是獨立的。安全文化的注入會推進社會穩定，增進人民福祉，促進財富創造?！眹谊P鍵信息基礎設施對國家至關重要的資產（實物和虛擬）、系統和職能部門，如果癱瘓或遭到破壞將會對以下方面產生破壞性影響國防安全國家經濟實力國家形象政府職能公共健康與安全能源能源信息和通訊信息和通訊政府政府食品與農業食品與農業水水第5頁對CNII的威脅：互相依賴電公用設施行業/服務第6頁對CNII的威脅：SCADA系統SCADA=監視控制與數據采集12

3、34參考：使用ANSI/ISA-99標準提升Tofino安全公司控制系統的安全性第7頁對CNII的威脅：恐怖分子利用ICT和網絡空間恐怖分子利用網絡空間心理戰公開和宣傳數據挖掘籌款招聘與人員流動社交網絡共享信息計劃和協調第8頁恐怖分子利用網絡空間心理戰公開和宣傳攻擊CNII籌款招聘與人員流動社交網絡共享信息計劃和協調犯罪分子可利用網絡空間對CNII進行網絡攻擊第9頁網絡威脅形式多種多樣技術相關威脅網絡內容相關威脅黑客威脅入侵欺詐垃圾郵件惡意代碼拒絕服務攻擊國家安全威脅網絡騷擾兒童色情虛假新聞/誹謗第10頁按行業劃分的網絡事件第11頁向馬來西亞網絡安全機構報告的安全事件81 196 527 34

4、7 860 625 912 915 754 1,372 1,038 2,123 3,566 8,090 15,218 9,986 10636119189915833479624046-2,000 4,000 6,000 8,000 10,000 12,000 14,000 16,0001997199819992000200120022003200420052006200720082009201020112012201320142015201620172018前3大事件：1.欺詐2.入侵3.網絡騷擾事件類別入侵入侵企圖垃圾郵件DOS網絡騷擾欺詐內容相關惡意代碼漏洞報告第12頁0200400600

5、800100012001400160018002000Banking&FinanceEmergency servicesEnergyFood&AgricultureGovernmentHealthInformation&CommunicationNational Defense&SecurityTransportationWater852021117058822101476112174259226018680171926213260954011211064021409220191316433172539359106119265816141201220132014201520162017按行業劃

6、分的網絡事件（2012-2017）資料來源：www.mycert.org.my201220132014201520162017總計總計銀行與金融852147618689549225916663信息與通信882592213401725812480政府政府170749211016492702能源2112171119686交通運輸16614391480衛生526633658食品與農業1112131129國防和安全22225619水力水力0000314緊急服務0100001總計總計19342166220511391370130810122第13頁問題與挑戰跨境管轄權反取證技術預算和資金聯合組織/有組織

7、的網絡犯罪物聯網技術互聯互通關系通報網絡事件不是強制性的1）法律挑戰身份識別/所有權匿名技術2）技術挑戰3）監管挑戰第14頁目標馬來西亞的國家關鍵信息基礎設施應該是安全、可恢復的，同時還是獨立的。安全文化的注入會推進社會穩定，增進人民福祉，促進財富創造愿景由科技與創新部進行論證2006實施啟動2008將政策遞交至國家安全理事會2010戰略與NCSP 2.0發展研究2018年及以后i.應對國家關鍵信息基礎設施（CNII）面臨的風險ii.確保關鍵基礎設施受到保護，且保護力度與安全風險相一致iii.明確并制定全面的計劃和一系列安全框架國家網絡安全政策第15頁國家網絡安全政策-政策助力CyberSec

8、urity Malaysia版權所有 2010國際合作NCSP網絡安全應急準備合規與執行自主研發安全和能力文化建設網絡安全技術框架法律和監管框架有效監管12345678第16頁政策助力7：國家網絡危機管理計劃通過公共和私人合作與協調，為馬來西亞CNII制定出緩解和應對網絡攻擊的策略框架練習目標：1.檢查有效性，找出差距并改進NCCMP的溝通程序、響應能力和協調性2.了解CNII機構的網絡事件處理機制3.了解CNII機構在網絡事件發生期間的溝通。第17頁對馬來西亞組建計算機安全事件響應小組（CSIRT）的要求1.A 16.1.5 對信息安全事件的響應2.A 16.1.6 從信息安全事件中學習3.

9、A 16.1.7 證據收集該指令規定，各政府機構應建立自己的CSIRT作為管理網絡事件的一個舉措2013年，馬來西亞國家安全委員會（NSC）發布了指導方針“NSC指令24：國家網絡危機管理機制?！?013年，最新版本的ISMS標準（27001：2013（E）在A16.1段中附加了三個子條款，強調對信息安全事件的響應和評估：第18頁1.我們的服務：CyberDEFDEF“檢測網絡威脅”“消除網絡威脅”“網絡威脅的取證分析”此階段可迭代，返回“D”或“E”進一步改進技術第19頁CyberDEF（續）取證CyberDEF檢測消除典型CSIRT檢測消除第20頁CyberDEF（續）識別任何漏洞、缺陷和

10、現有威脅1.傳感器2.沙箱3.分析4.可視化檢測修復漏洞、修補缺陷并應對現有威脅開展網絡威脅演習或演練，以測試新型防御/預防系統的可行性與靈活性消除1.電子取證2.根本原因分析3.調查4.取證準備5.取證合規取證第21頁CyberDEF（續）為何網絡防御與眾不同?由 3個技術部門組成：1.安全技術服務部門（STS）2.數字取證部門（DF）3.馬來西亞計算機應急響應小組（MyCERT）有效的集中管制，因為所有3個部門都歸屬于網絡安全響應服務部門取證元素包含在提供的服務中管制元素技術部門3集中取證第22頁計算機安全事件響應小組（CSIRT）的管理工作流程分析威脅向團隊成員進行匯報收集設備通知高層管

11、理者MYCERTSTSDFC級生成根本原因分析報告生成安全分析報告退還設備向高層管理者提交報告在OTRS中登記案例檢測威脅持續監控識別設備檢測威脅持續監控保留內存轉儲使用實際設備驗證威脅通知可疑設備所有者的部門主管（HoD）安全分析證據分析保留設備恢復設備根據建議消除威脅檢測響應時間=0.5 小時驗證響應時間=3 小時抑制響應時間=1 小時保存響應時間=16 小時分析響應時間=5 天消除響應時間=1 小時報告響應時間=1 小時第23頁計算機安全事件響應小組（CSIRT）的管理工作流程分析威脅向團隊成員進行匯報收集設備通知高層管理者MYCERTSTSDFC級在OTRS中登記案例檢測威脅持續監控識

12、別設備檢測威脅持續監控保留內存轉儲使用實際設備驗證威脅通知可疑設備所有者的部門主管（HoD）檢測響應時間=0.5 小時驗證響應時間=3 小時抑制響應時間=1 小時第24頁計算機安全事件響應小組（CSIRT）的管理工作流程MYCERTSTSDFC級生成根本原因分析報告生成安全分析報告退還設備向高層管理者提交報告安全分析證據分析保留設備恢復設備根據建議消除威脅保存響應時間=16 小時分析響應時間=5 天消除響應時間=1 小時報告響應時間=1 小時第25頁設備檢測到受害者正在訪問惡意網站“sl-”并下載惡意可執行文件案例研究：檢測第26頁確定受影響的設備案例研究：檢測（續.）第27頁消除惡意軟件案例

13、研究：消除第28頁分析從惡意文件中提取出元數據和注冊表信息，并進行取證分析發現案例研究：取證第29頁發現案例研究：取證（續.）第30頁收集收集檢測檢測標準化豐富化相關性分析分析靜態動態C2識別識別識別惡意域名識別惡意IP 識別受感染的主機識別阻斷阻斷抑制抑制惡意軟件清除/根除報告統計對比趨勢2.我們的服務：CMERP 協同惡意軟件根除與修復項目目標：減少馬來西亞感染惡意軟件的數量第31頁將采取適當的清除措施，以確保個人電腦/IP不受感染。個人電腦/IP被清理，并重新獲取和以往一樣的互聯網訪問權限阻斷用戶處于隔離狀態并且互聯網訪問權限受限基于傳感器或安全源的信息用戶會被告知個人電腦/IP已感染惡意軟件，信息通過電子郵件通知/門戶網站分發在發生惡意軟件攻擊時?；趤碜訡MERP平臺的信息來識別用戶身份CMERP生態系統監控檢測恢復正常隔離通知恢復123465第32頁CMERP網絡基礎架構第33頁試點實施Carberp參考：https:/ Not CleanedTotal Cleaned第36頁結論1.我們對出現的新型威脅的應對策略是采用整體分析人員、流程和技術2.我們需要通過加強以下幾點，時刻做好準備a.相關干系人之間的信息共享b.網絡事件的響應與協調c.協作和創新研究d.能力建設與教育e.文化適應與外展計劃第37頁謝 謝！