1、 2022 國際云安全聯盟大中華區版權所有1 2022 國際云安全聯盟大中華區版權所有2云事件響應工作組官網網址：https:/cloudsecurityalliance.org/research/working-groups/cloud-incident-response/.2022國際云安全聯盟大中華區-保留所有權利。本文檔發布在國際云安全聯盟大中華區官網(http:/www.c-)，您可在滿足如下要求的情況下在您本人計算機上下載、存儲、展示、查看、打印此文檔：（a）本文只可作個人信息獲取，不可用作商業用途；(b)本文內容不得篡改;(c)不得對本文進行轉發散布;(d)不得刪除文中商標、版權

2、聲明或其他聲明；（e）引用本報告內容時，請注明來源于國際云安全聯盟。2022 國際云安全聯盟大中華區版權所有3序言序言隨著云計算應用的深入，云計算在帶來價值的同時，也帶來了新的安全與技術挑戰。隨著網絡安全法、數據安全法、個人信息保護法的相繼推出，如何設計有效的縱深實時云安全防御體系成為信息安全從業者亟待解決的首要問題。其中如何制定網絡安全事件應急預案、啟動應急預案，網絡安全信息收集、分析、通報和應急處置等成為困擾很多企業的問題。云計算是一個與傳統環境完全不同的領域，將云事件響應與傳統事件響應流程區分開來的三個關鍵方面是治理、可見性和云的責任共享。一個好的事件響應計劃有助于確保組織在任何時候都充

3、分準備。CSA旨在為用戶提供一個廣泛使用的整體框架和一致的視圖，目的是為云用戶提供有效準備和管理云事件后果的指南，并為云服務提供商與客戶共享云事件響應實踐提供透明和通用的框架。全面的事件響應建設是任何旨在管理和降低風險的組織不可或缺的能力。許多單位由于沒有可靠的云事件響應計劃，在遇到云事件后出現了很多的管理與技術問題。云事件響應架構是CSA基于 NIST 800-61 以及SANS 信息安全閱讀室事件處理者手冊梳理的用于云安全的管理框架，解決企業從應急準備到應急演練的諸多問題，是企業應用云安全解決方案必不可少的參考資料。李雨航 Yale LiCSA 大中華區主席兼研究院院長 2022 國際云安

4、全聯盟大中華區版權所有4致謝致謝云事件響應（CIR）框架）（Cloud Incident Response(CIR)Framework）由CSA工作組專家編寫，CSA大中華區秘書處組織翻譯并審校。中文版翻譯專家組中文版翻譯專家組（排名不分先后）：組組長：長：李巖翻譯組：翻譯組：賀志生蔣秋華吳瀟薛琨殷銘審校組：審校組：賀志生殷銘李巖姚凱感謝以下單位的支持與貢獻：感謝以下單位的支持與貢獻：北京奇虎科技有限公司北京天融信網絡安全技術有限公司中國電信股份有限公司研究院英文版本編寫專家英文版本編寫專家主要作者主要作者:Soon Tein LimAlex SiowRicci IeongMichael Ro

5、zaSaan Vandendriessche主要貢獻者主要貢獻者:Aristide BouixDavid ChongDavid CowenKaren GispanskiDennis HolsteinChristopherHughesAshish KurmiLarry MarksAbhishek PradhanMichael RozaAshish Vashishtha審核者審核者:Oscar Monge EspaaNirenj GeorgeTanner JamisonChelsea JoyceVani MurthySandeep SinghFadi Sodah 2022 國際云安全聯盟大中華區版

6、權所有5CSA 全球員工全球員工:Hing-Yan LeeEkta MishraHaojie ZhuangAnnMarie Ulskey(封面設計)特別感謝特別感謝:Bowen Close在此感謝以上專家。如譯文有不妥當之處，敬請讀者聯系CSA GCR秘書處給與雅正!聯系郵箱：researchc-；國際云安全聯盟CSA公眾 2022 國際云安全聯盟大中華區版權所有.6關于云事件響應工作組關于云事件響應工作組隨著當今新興和快速演變的威脅格局，有必要建立一個考慮云中斷等因素范圍的整體云事件響應框架（CIR）。云事件響應(CIR)工作組(WG)的目標是開發一個全面的CIR框架，涵蓋云事件的根本原因(

7、包括安全性和非安全性)及處理和緩解策略，目的是為云用戶提供有效的詳細計劃，應對和管理云事件造成的后果。CIR也是一個透明和通用的框架，為云服務提供商與云客戶分享云事件提供最佳實踐。這個框架的發展包括云事件的必要因素，如操作失誤、基礎設施或系統故障、環境問題、網絡安全事件和惡意行為等。2022 國際云安全聯盟大中華區版權所有.7目錄序言.3致謝.41.簡介.8目標.8目標讀者.82.規范性引用文件.83.CIR定義.104.CIR 概述.115.CIR架構.135.1 第一階段：準備和后續評審.135.1.1 文檔編制.185.2 第二階段：檢測和分析.195.2.1 誘因.195.2.2 分析

8、事件判斷影響.215.2.3 證據收集與處理.245.3 第三階段遏制、根除和恢復.255.3.1 選擇遏制策略.275.3.2 根除與恢復.275.4 第四階段 事后分析.285.4.1 事件評估.285.4.2 事件總結報告.305.4.3 事故證據保留.336.協調和信息共享.336.1 協調.346.1.1協調關系.346.1.2 共享協議和報告要求.356.2 信息共享技術.356.3 粒度信息共享.366.3.1 業務影響信息.366.3.2 技術信息.366.3.3 CSP儀表盤.376.4 桌面演練和事件模擬.377.總結.39 2022 國際云安全聯盟大中華區版權所有.81.

9、1.簡介簡介在當今互聯時代，全面的事件響應策略對于需要管理與降低風險概況的組織必不可少。許多沒有可靠的事件響應計劃的組織與企業在第一次遇到云事件后被粗暴地喚醒。導致重大停機的原因有很多，比如自然災害、人為錯誤或網絡攻擊。良好的事件響應計劃有助于確保組織在任意時刻都做好充分準備。然而，在基于云的基礎設施和系統的事件響應策略方面，部分由于云的責任共擔特性，存在諸多顧慮因素。1許多政府與行業的指南中都有針對傳統的本地信息技術（IT）環境制定事件響應的框架，例如NIST 800-61r2 計算機安全事件處理指南或SANS 研究院信息安全閱讀室事件處理者手冊。但是，當把云計算環境也考慮在內時，必須修改和

10、完善傳統事件響應框架中定義的角色和職責，以便與在不同云服務模式及部署模式的云服務提供商（以下簡稱：CSP）和云服務客戶（以下簡稱：CSC）的角色和職責保持一致。目標目標本文檔旨在提供一個云事件響應(以下簡稱：CIR)框架，針對破壞性事件的整個生命周期，為CSC提供有效準備和管理云事件的指引。它還可以作為一個透明和通用的框架，為CSP與其CSC共享云事件響應提供最佳實踐。目標讀者目標讀者主要受益者是CSC。該框架指導CSC確定組織的安全需求，從而選擇適當的事件保護級別。通過這種方式，CSC可以與CSP協商，或為其量身定制安全能力提供相對清晰的安全角色和責任劃分。2.2.規范性引用文件規范性引用文

11、件CIR框架參考了多個業界公認的標準與框架，用于云事件的規劃和準備、緩解策略和事后分析過程。1Cloud Security Alliance,Cloud Incident Response,https:/cloudsecurityalliance.org/research/working-groups/cloud-incident-response/2022 國際云安全聯盟大中華區版權所有.9CSA 云計算關鍵領域安全指南v4.0NIST 800-61r2 計算機安全事件處理指南ITSC技術參考（TR）62云中斷事件響應（COIR）FedRAMP 事件通信程序NIST 800-53 信息系統和

12、組織的安全與隱私控制SANS研究院 信息安全閱讀室事件處理者手冊ENISA 云計算風險評估圖1顯示了CIR階段和主要參考文件之間的關系5.15.1 準備和后續評審階段準備和后續評審階段5.25.2 檢測和分析階段檢測和分析階段5.35.3 遏制，根除和恢復階段遏制，根除和恢復階段5.45.4 事后分析階段事后分析階段CSACSA 安全指南安全指南V4.0V4.09.1.2.1準備和后續評審CSACSA 安全指南安全指南V4.0V4.09.1.2.2 檢測與分析CSACSA 安全指南安全指南V4.0V4.09.1.2.3 遏制、根除和恢復CSACSA 安全指南安全指南V4.0V4.09.1.2.

13、4 事后分析NISTNIST 800-61r2800-61r23.1準備NISTNIST 800-61r2800-61r23.2 檢測與分析NISTNIST 800-61r2800-61r23.3 遏制、根除和恢復階段NISTNIST 800-61r2800-61r23.4 事后活動TRTR 62620.1云中斷風險TRTR 62624.2 COIR分類5.1 云中斷前：CSC6.1 云中斷前：CSPTRTR 62625.2 云中斷中：CSC6.2 云中斷中：CSPTRTR 62625.3 云中斷后：CSC6.3 云中斷后：CSPFedRAMPFedRAMP事件通信程序事件通信程序5.1準備和

14、后續評審FedRAMPFedRAMP 事件通信程序事件通信程序5.2 檢測與分析FedRAMPFedRAMP事件通信程序事件通信程序5.3 遏制、根除和恢復FedRAMPFedRAMP事件通信程序事件通信程序事后分析NIST(SP)800-53NIST(SP)800-53 r4r43.1選擇安全控制基線附錄F-IRIR-1,1R-2,1R-3,IR-8NIST(SP)800-53NIST(SP)800-53 r4r4附錄F-IRAT-2,1R-4,IR-6,1R-7,IR-9,SC-5,SI-4NISTNIST（SPSP）800-53800-53 r4r4附錄F-IR1R-4,IR-6,IR-

15、7,IR-9事件管理手冊事件管理手冊7 經驗教訓8 檢查清單事件處理者手冊事件處理者手冊2 準備和后續評審8 檢查清單事件處理者手冊事件處理者手冊3 識別8 檢查清單事件處理者手冊事件處理者手冊4 遏制5 根除6 恢復8 檢查清單ENISAENISA 云計算風險評估云計算風險評估業務連續性管理，79頁圖1：事件生命周期和規范引用 2022 國際云安全聯盟大中華區版權所有.103.3.CIRCIR定義定義資產：資產是任何對組織有價值的東西。資產可以是抽象資產(如流程或聲譽)、虛擬資產(如數據)、有形資產(電纜、設備)、人力資源、金錢等2。事件：損害網絡和信息系統核心服務運行的問題?？蓤蟾媸录罕?/p>

16、認為具有足夠重大影響的事件，根據法律或法規需要向實體外部報告。事件處理3：針對違反安全實踐和推薦實踐的問題/事件采取的糾正措施。事件響應計劃：一套清晰的指示，幫助組織準備、檢測和分析事件并從事件中恢復。事件報告：報告方(云提供商或云運營商)應向國家主管部門提交報告的程序，其中包含有關事件的臨時信息。影響：在事件解決之前，衡量事件造成的損害程度。根本原因：導致事件發生的原因(最終的根本原因)。(根本原因分析可能識別多個“因果關系”，但只有一個是根本原因)威脅：威脅是任何可能對信息系統造成損害的情況或事件，其形式包括破壞、披露、數據的不當修改和（或）拒絕服務。4漏洞：特定系統、模塊或組件中的缺陷或

17、弱點，使其容易因攻擊、災難或其他原因而受到損害。2ENISA 2015,Technical Guideline on Threats and Assets,https:/www.enisa.europa.eu/publications/technical-guideline-on-threats-and-assets3NIST.SP800-61r2:Computer Security Incident Handling Guide4NIST SP 800-32 under Threat NSTISSI 4009 2022 國際云安全聯盟大中華區版權所有.114.CIR4.CIR概述概述CIR可

18、以定義為在云環境中管理網絡攻擊的過程，包括四個階段:第一階段:準備和后續評審第二階段：檢測與分析第三階段：遏制、根除和恢復第四階段：事后分析CIR系統與非云環境的事件響應(IR)系統在治理、責任共擔和可見性等多個關鍵方面有所不同。治理治理云中的數據駐留在多個位置，可能使用不同的 CSP。讓各個組織共同調查一個事件是一項重大挑戰。對于擁有龐大客戶群體的大型 CSP，這也是一種資源消耗。責任共擔責任共擔云服務客戶、CSP和（或）第三方提供商在確保云安全方面都承擔著不同的角色。通常，客戶對其數據負責，CSP對其提供的云基礎設施和服務負責。云事件響應需始終在各方之間協調。根據所選擇的云服務模式，例如軟

19、件即服務(以下簡稱：SaaS)、平臺即服務(以下簡稱：PaaS)和基礎設施即服務(以下簡稱：IaaS)，CSP和CSC之間的責任共擔領域也有所不同。這個觀點必須很好地理解。例如，在IaaS中，由CSC管理操作系統(OS)。因此，操作系統的IR責任也屬于CSC。2022 國際云安全聯盟大中華區版權所有.12責任責任ON-PremIaaSPaaSSaaS數據分類及問責風險客戶及端點風險識別與訪問風險應用風險訪問風險主機風險基礎架構風險圖2：CSC和CSP共同責任風險矩陣5必須詳細討論角色和治理在與CSP的合同或服務水平協議(SLA)中是否清晰并詳細地記錄。CSC不應制定或滿足任何無法執行的政策。組

20、織應該明白，他們永遠不能外包治理部分或分擔責任。服務提供商多樣性服務提供商多樣性組織應具有一致且定義明確的多云戰略/框架，以與 CSC、CSP和（或）第三方云提供商合作。任何采用單一 CSC、CSP或第三方云提供商的“全面”戰略的組織都在間接引入單點故障，要防止服務提供商端出現中斷。提供云服務的單一CSP方法可能會導致CSC/CSP一旦出現組織無法控制的故障，組織的業務可能會遭受持續中斷。這種情況將嚴重影響業務運營，并增加業務連續性計劃(BCP)策略無法恢復的可能性，從而導致系統性CIR事件。從CIR的角度處理服務提供商的多樣性時，還鼓勵組織在其計劃中考慮數字服務主權的各個方面（例如，數據駐留

21、、數據主權）。5Microsoft TechNet 25 October 2019,Shared Responsibilities for Cloud Computing,https:/ 2022 國際云安全聯盟大中華區版權所有.13可見性可見性云中缺乏可見性意味著本可以迅速補救的事件沒有立即得到解決，并且有進一步升級的風險。如果利用得當，云可以提供更快、更便宜和更有效的IR。CSP及其合作伙伴已經提供了許多內置的云平臺工具、信息源、服務和能力，顯著增強檢測、反應、恢復和取證能力。在利用云架構而不是傳統的數據中心模型開發IR流程和文檔時，必須小心。CIR必須是主動的，架構必須能夠在整個過程中抵

22、御故障。5.CIR5.CIR架構架構事件響應和管理被認為是反應性行動，最大限度地減少事件爆發的損害。它是任何信息安全計劃的關鍵方面，如 CSA 云計算關鍵領域安全指南 v4.06的第九個域中所述，通過定義適當的事件響應流程和計劃，CSC可以確保管理和控制檢測到的事件。如本文第 2 章所述，許多組織已經制定并記錄了事件響應和管理框架。不同的框架有其目標和受眾。該框架采用了CSA云計算關鍵領域安全指南和NIST計算機安全事件處理指南(NIST 800-61rev2 08/2012)中普遍接受的“事件響應生命周期”。5.15.1 第一階段：準備和后續評審第一階段：準備和后續評審在準備階段，有必要建立

23、事件響應能力，以便組織做好響應事件的準備。換句話說，了解環境和“敵人”至關重要。當事件發生時，CIR要實現以下目標：6Cloud Security Alliance 2017,Security Guidance for Critical Areas of Focus in Cloud Computingv4,https:/cloudsecurityalliance.org/artifacts/security-guidance-v4/準備和后續評準備和后續評審審檢 測 與檢 測 與分析分析遏制遏制、根除根除和恢復和恢復事后分事后分析析 2022 國際云安全聯盟大中華區版權所有.14提供快速檢測

24、、隔離和遏制最大限度地減少個人數據、專有信息和敏感信息的暴露和泄露最大限度地減少對業務和網絡運營的干擾為適當的檢索和證據處理建立控制向所有受影響的各方提供事件溝通提供準確的報告和有用的建議保護組織的聲譽和資產根據經驗教訓教育員工根據經驗教訓審查和改進CIR計劃要了解組織的事件響應能力，傳統IR框架和CIR框架之間的關鍵區別之一是CSC和CSP之間存在“責任共享模型”。在傳統的IR框架中，擁有系統的組織將單獨對系統負責。其計算機事件響應團隊(CIRT)應制定流程、程序、計劃和手冊處理不同類型的事件，包括安全事件。由于組織僅管理系統，因此CIRT指揮官或領導應協調、管理和監督所有受影響的系統，并從

25、這些系統中收集必要的日志和工件。但是，在云環境中，CSC并不是所有系統的所有者。根據采用的服務模型及其相應的責任共擔模型，一些工件和日志由CSP管理。當第三方 IR 提供者參與時，CIR 計劃也應將它們包括在整個過程中。這個時刻為組織提供了一個合適的機會考慮審查任何第三方 IR供應商，確保在緊急響應情況下需要時能夠快速獲取資源。組織應熟悉并充分利用其CSP的業務連續性和災難恢復功能，以便在事件中調用。因此，CSC有必要了解CSP的IR程序，并通過SLA和合同與它們保持一致。為了管理和執行這一舉措，CIR計劃應包括：1.現有環境、云架構、責任模型分析。a.CSC識別和準備要使用的云服務的清單、服

26、務組件以及相應的服務模型和部署模型。b.CSC審核合規要求（如數據隱私和當地監管要求）并提取合規要求，如數據泄露報告時間要求。2022 國際云安全聯盟大中華區版權所有.15c.CSC收集現有的合同和SLA，根據責任共擔模型確定云架構中各方的角色和責任以及各自的義務。對角色和職責的清晰描述可防止任務重疊或忽略，以及在事件期間分配角色時浪費不必要的時間。d.CSC收集不同方（內部團隊、托管服務提供商、CSP或其他第三方）之間的聯系方式。事件報告結構應包括聯系信息，例如電話號碼和電子郵件地址。e.CSC從CSP處獲取事件援助團隊。事件援助團隊包括服務臺、現場支持團隊和其他援助服務，例如安全運營中心或

27、SOC。f.CSC審查CSP的委派管理權限，允許CSP以與超級用戶相同的權限級別訪問CSC的租戶。盡管CSP可以對CSC的租戶實施強大的安全控制，但破壞CSP的威脅行為者可能能夠訪問CSC的環境。因此，CSC應驗證其CSP是否需要這些委派的管理權限。如果CSP需要委派的管理權限，CSC應確保CSP實施了適當的控制措施，例如監控，從而提醒CSC潛在的濫用。CSP還應利用條件訪問策略限制對CSC環境的訪問（如適用）。如果CSP不需要委派的管理權限，則CSC應確保CSP已刪除此權限。最后，建立CIR組織（CSC和CSP）。g.CSC將收集到的聯系人和已確定的組織內各方組成事件響應團隊。h.CSC定義

28、CIR的組織結構，并任命事件響應指揮官、相應的系統所有者、技術響應負責人和技術協調員。根據上一步中確定的角色和職責（對現存環境、云架構和責任模型的分析），CSC可能必須指派一個技術響應領導支持在IaaS中實施的系統，或安排技術協調員溝通和收集事件的支持指標或日志。第二階段：檢測和分析。確保所有云組件都由負責方處理。2.為有效和高效的CIR響應和補救制定事件處理計劃、流程和程序/自動化（CSC和CSP）。a.創建突發事件報告流程和流程，記錄電話號碼和電子郵件地址等聯系信息。b.發布跟蹤系統，記錄和跟蹤突發事件的狀態。c.制定事件響應過程和程序，包括與第三方的協調和危機溝通，建立具有清晰角色和職責

29、分離的溝通矩陣，確定升級計劃，分配人員，確定程序，正式分配職責。d.制定流程，根據組織的變更更新CIR計劃e.確保獲得存檔的經驗教訓，所有團隊成員都可以訪問這些經驗教訓以供參考。2022 國際云安全聯盟大中華區版權所有.16f.訂閱第三方威脅情報服務，了解當前和潛在威脅的情況。g.通過模擬的事件場景測試CIR計劃，作為員工培訓的一部分；理想情況下，每年審查和更新該計劃。無論這個計劃的構思有多周密，如果員工沒有做好充分的準備都會失敗。h.為員工在其職責范圍內的任務制定持續的培訓流程，使員工具備必要的知識，以便在需要的時間作出反應。i.在CIR計劃和程序中定義并記錄CIR組織的聯系人列表。聯系人名

30、單應定期更新。3.技術層面的準備(CSC和CSP)，主動監控運行錯誤和惡意活動的指標。a.CSC定義的角色和職責應該來自前一步（對現有環境、云架構和責任模型的分析）。CSC應該審查整個架構，確定架構中是否存在任何偏差。CSC將通過相應的內部團隊在以下階段通過責任共擔模型執行事件響應過程。CSC應該從CSP中收集由CSP處理的日志和健康狀態。b.CSC應該將從CSP收集的日志和健康狀態與CSC定義的日志和健康狀態列表比較，確保收集了要分析的必要日志。CSC還應該了解從CSP中收集到的日志和工件的局限性，特別是在預期日志的可用性和保留期方面。c.CSP應通過主動掃描系統和數據中心的健康狀況和網絡監

31、控，不斷監控基礎設施和應用程序。d.CSC應定義預防措施，如具有關鍵操作和存儲、存儲備份、入侵檢測系統和防御系統、文件完整性監控系統、防病毒解決方案、漏洞修復和防火墻的冗余，以及采用安全軟件開發生命周期(SDLC)實踐。e.CSC應確定集中的日志管理和日志分析設施的位置。在許多CSC環境中，日志存儲在由CSC建立的不同CSP設施和云服務器中，也可能存儲在企業內部部署服務器中。應整合日志以進行有效的事件響應和分析。f.CSC應定期評估脆弱性和風險，包括威脅檢測能力，以改善安全態勢。g.CSC應維護事件分析的硬件和軟件以保存日志文件，用于數字取證、恢復備份、報告編寫等。CSC應建立一個自動化的支持

32、機制請求協助或分發信息。CSC還應識別并準備用于云環境中事件響應的跳躍工具包。2022 國際云安全聯盟大中華區版權所有.17h.CSC應驗證內部文檔包括端口列表、資產列表、網絡圖和當前的網絡流量基線。i.CSC應建立強大的業務連續性計劃(BCP)并顯著提高組織的運營彈性，以從突發事件中管理和恢復過來。該范圍應包括CSP提供的服務。j.CSC應購買可用的網絡保險，可能有助于減輕云事件的潛在財務影響。7k.CSC應該了解CSP日志記錄模式，以及與企業內服務日志記錄的不同。動態字段的使用可能會限制CSC在安全信息和事件管理(SIEM)解決方案中查詢必要數據和創建高效警報的能力。l.CSC應記錄日志記

33、錄需求，因為CSP產品可能不具備在集中式SIEM中支持必要日志收集的能力。4.溝通渠道準備（CSC和CSP）a.CSC應組建公司團隊，作為與CSP的所有通信的主要、唯一的聯系人。b.CSC與應外部各方制定危機溝通協議，如與CSP之間。溝通方法還應準備好觸達組織內部或外部的關鍵各方，以便在事件期間順利溝通。c.CSC應確保團隊應該有更新的內外部各方聯系名單。緊急聯系人名單應包括組織內外部的其他事件響應團隊、隨叫隨到的工作人員信息、法律顧問、執法人員和其他重要的事件處理人員設施。前面的列表總結了在事件響應準備階段所產生的可交付成果清單：7Wikipedia,Cyber insurance,http

34、s:/en.wikipedia.org/wiki/Cyber_insuranceAIG,Cyber insurance,https:/ Insurance https:/ 2022 國際云安全聯盟大中華區版權所有.181.創建一個IR計劃、策略和程序。2.開發資產清單列表（包括云服務、服務器、帳戶列表、已實施的安全防御機制、預期的日志文件和設施）。3.制定事件響應角色矩陣(包括CSC的CIRT和CSP中的其他參與者的角色)。4.事件響應演練測試計劃和測試結果。5.事件響應彈射座椅工具箱。5.1.15.1.1 文檔編制文檔編制在整個IR過程中，組織應維護事件文件，確保有系統的記錄，有效地審查事件

35、和經驗學習。組織應管理突發事件記錄中的以下信息：1.事件的當前狀態（“新的”、“進行中的”、“轉發進行調查”、“已解決”等）。82.該事件的摘要。3.與該事件有關的妥協指標。4.與原事件有關的其他事件。5.此事件處理者采取的操作。6.監管鏈，如適用。7.與該事件相關的影響評估。8.其他相關方（如系統所有者、系統管理員）的聯系信息。9.在事件調查期間收集到的證據清單。10.來自事件處理人員的反饋。11.下一步計劃（例如，重建主機，升級應用程序）。12.限制適當人員訪問事件記錄，因為它可能包含具有監管或合規影響的敏感信息、IP地址、被利用的漏洞、機密業務信息。8NIST.SP800-61r2,Co

36、mputer Security Incident Handling Guide 2022 國際云安全聯盟大中華區版權所有.1913.回顧/經驗教訓：記錄任何經驗教訓，如成功、改進領域、避免措施和改進結果的新程序。5.25.2 第二階段：檢測和分析第二階段：檢測和分析5.2.1 誘因5.2.1.15.2.1.1 云事件的原因云事件的原因本文檔中定義的云事件會損害IaaS、PaaS、桌面即服務(DaaS)、SaaS和CSP提供的相關服務的操作。云事件可能導致云中斷（云服務不可用的時間）。云突發事件的原因和停機時間可分為以下幾種類型：1.自然災害因素（如洪水、火災）2.系統問題因素a.內部問題（例如

37、，軟件缺陷、硬件故障）b.外部（例如，斷電、電信網絡連接問題）3.人為因素a.非故意的（如人為錯誤）b.故意（例如，政府制裁、黑客/DoS攻擊、勒索軟件）5.2.1.25.2.1.2 事件的標志事件的標志在事故發生前，通常會有一個標志。根據美國國家標準與技術研究所(NIST)的定義，構成標志的場景包括：前兆（未來可能發生事件的標志）。指標（事件可能已經發生或可能正在發生的標志）。2022 國際云安全聯盟大中華區版權所有.20前兆前兆指標指標自然災害惡劣天氣預報多個電源中斷系統問題對多個軟件服務的響應均滯后顯示漏洞掃描程序使用情況的Web服務器日志條目多個電源中斷供電電源有明顯的波動期直流電(D

38、C)連續升溫周期當針對數據庫服務器發生緩沖區溢出攻擊嘗試時，網絡入侵檢測傳感器發出警報人為針對組織郵件服務器的新漏洞發布。來自一個團體的威脅，聲明該團體將攻擊該組織。防病毒軟件在檢測到主機感染了惡意軟件時發出警報。系統管理員看到具有異常字符的文件名。圖3：突發事故的跡象5.2.1.35.2.1.3 常用前兆和指標的來源常用前兆和指標的來源CSP和CSC必須要有一個系統或過程來檢測這些前兆和指標，從而預防事故的實際發生。前兆和指標常用的來源包括：1.報警2.日志3.入侵指標(IoC)4.行業活動5.市場分析報告6.威脅情報報告7.公開可獲取的信息8.民眾9.社交媒體 2022 國際云安全聯盟大中

39、華區版權所有.21建議通過系統收集和分析這些前兆和指標，包括系統日志、報警、SIEM、安全運維中心和綜合運維中心。理想的情況是通過綜合運維中心監控和關聯分析各種各樣的報警、日志、事件、請求和高級網絡態勢感知日志。所有情況下，這些收集和分析的范圍必須覆蓋云管理平面而不只是部署的資產。5.2.25.2.2 分析事件判斷影響分析事件判斷影響5.2.2.15.2.2.1 事件分析事件分析有一部分事件信息收集的精力是判斷該問題是假陽性或假陰性。如果問題判斷是“假報警”9，那么文檔（也就是工單）應該將該評估更新并關閉該問題。必須評估每個指標，確定其合法性。事件分析的建議包括10：1.網絡和系統配置管理：系

40、統配置管理比如基線配置將有助于更好地識別變化。2.理解常規行為：實施日志審查將讓分析師更好地注意趨勢，比如時間軸上的趨勢。異常的趨勢可能表明一個事件的發生。3.事件相關分析：事件的證據可能從幾個包含不同數據類型的日志中發現。防火墻日志中可能有源IP地址，而應用日志中可能包括用戶名。4.運行包嗅探工具收集輔助數據：有時，指標并沒有記錄足夠的細節使處理者能夠理解正在發生的事情。如果是事件發生在網絡上，收集必要數據最快的方法就是用包嗅探器捕獲網絡流量。5.采用數據分析工具來分析所有數據集：解決大量指標的一種有效策略是過濾掉往往不重要的指標類別。另一種過濾策略是只顯示最重要的指標類型。但是，這種方法具

41、有很大的風險，因為新的惡意活動可能不屬于選定的指標類別之一。因此，最好可以部署數據分析工具監控所有收集的指標。5.2.2.25.2.2.2 事件通知事件通知9The SANS Institute,2011,Following Incidents into the Cloud10NIST,Computer Security Incident Handling Guide,SP.800-61r2 2022 國際云安全聯盟大中華區版權所有.22事件響應計劃需要系統地安排使得業務和服務運營影響最小化，并且在事件發生時通知相關方。事件發布應該取決于事件影響的嚴重程度。由于高度復雜的云環境存在大量的事件，

42、只有那些關鍵和影響嚴重的事件才需要通知高層。CSP和CSC應將事件發布矩陣集成到雙方合同和（或）SLA中。備注：CSP應該要求CSC通知CSP任何重要事件，因為這些事件可能對CSP的基礎架構和運維形成威脅。為了進行準確的報告，應從事件報告者和受影響環境（如可能）收集以下關鍵信息（5W）：1.發生了什么？用戶在事件前后采取行動了嗎？2.事件發生在哪里？被控制了嗎，或者還有其它區域受到影響？非受影響區域的置信水平如何？3.什么時候發生的？4.誰發現的？誰受到或沒受到影響？是如何被發現的？5.為什么事件會發生？事件源頭或零號事件是否被發現？5.2.2.2.1事件通知時機通知時間至關重要。盡管需要快速

43、處置事件，但是盡快通知利益相關方也同樣重要，使得他們理解當前情況從而能夠建議和采取必要行動降低事件影響。危機管理計劃需要管理與服務或業務停用相關的所有事件，包括網絡攻擊。在事件處置的過程中，危機溝通是危機管理計劃不可分割的一部分。糟糕的事件管理可能導致監管罰款、聲譽受損、客戶信任損失和嚴重的財務損失。起始的事件通知應該在最開始的2-8個小時內發布給內外部關鍵利益相關方，使得在CSC/CSP/第三方供應商之間能夠開始水平審視。在最初4-48個小時內一份包括前4Ws信息的主要的事件報告應該在內部利益相關方之間分享（取決于事件的影響）。當必要情況下，外部利益相關方（CSP/第三方供應商）應該需要包含

44、在事件調查和影響限制工作中。必要時，外部利益相關者也可能需要參與。CSC/CSP通常根據通用合同條款和條件在商定的時間框架內自我報告。如果此報告閾值滿足要求并與總體事件管理框架一致，組織可能希望予以審查。2022 國際云安全聯盟大中華區版權所有.23組織必須知道運營所在國家/行政區/地區監管要求。例如歐盟數據保護法（GDPR）要求公司必須在被破壞的72個小時內報告（當可行的情況下）。該要求對任何組織都有效，只要組織的目標或收集數據是有關歐盟的人們和（或）處理有關歐盟居民的個人數據。根據上報工作流程，組織應通過商定的媒介（電話、短信、電子郵件等）快速發送通知。根據CIR計劃的約定，不同嚴重程度的

45、事件應上報給不同的執行和管理方。如果對業務連續性或聲譽有重大影響，組織還應啟動BCP和（或）危機管理計劃（CMP）。5.2.2.35.2.2.3 事件影響事件影響事件影響模型必須事先建立，CSP和CSC使用該模型保障在事件評估、事件影響、通知和相應的響應活動的一致性。事件優先矩陣（也被稱為“影響和應急矩陣”）來源于影響的嚴重程度和應急水平。必須開展快速而正確的影響評估判斷損失程度。下面例子包括了CSP和CSC應該共同考慮的關鍵影響類型：業務：業務危急的范圍和水平財務：停工損失或聲譽損害監管/法律：數據隱私和合同條款組織必須根據忍耐度和風險偏好建立和定義合適的影響嚴重水平分類。根據歐盟網絡安全法

46、云安全事件報告，一個或多個參數可以評估影響水平。例如：對于一天停工和70%地理擴散，事件影響應該為“等級2/等級1”。根據這個條件，用戶需要參考影響等級2和等級1類事件的控制指南。重要的是給出的值只是作為示例。水平值需要通過調整反應組織性質、優先任務和業務目標?？紤]如下因素，應急水平包括最低級別（“等級5”）到最高級別（“等級1/2”）系統或服務當前是否危急？是否有其它的變通辦法或緩解措施？有多少用戶受到影響？事件能否得到有效的控制？事件擴散慢還是塊是否影響其它用戶和系統？2022 國際云安全聯盟大中華區版權所有.24還有其它考慮因素嗎？比如，是否有潛在的法律或監管后果？這些自評估將指導所需資

47、源的調動和決定在要求的時間內管理和緩解事件所需的行動力度。例如，最高級影響和應急（“等級1”）的事件將對應“P1”（“優先級1”）選項。它可能是一項危機，需要觸發組織危機管理計劃（CMP），并發布給高層管理和（或）董事會。組織需要采用事件分類等級供那些用于幫助用戶評估影響嚴重程度和（或）云服務可用性對業務運營重要性的標準或指南使用。下面是基于當前云服務提供商運營趨勢的一套分類策略：優先級碼=事件等級事件影響目標響應時間目標解決時間1危急5分鐘24小時響應團隊1小時2高15分鐘工作時間2小時工作時間外對于工作時間響應團隊.否則，4-8小時，根據情況4小時3中15分鐘 工作時間 2小時 工作時間外

48、對于工作時間響應團隊，否則，4-8 小時，根據情況.8小時4低15分鐘 工作時間2小時 工作時間外對于工作時間響應團隊，否則，4-8 小時，根據情況.24小時5很低系統自動過濾，不需要響應-圖4.事件響應策略組織還希望能夠開展業務影響分析（BIA）或者針對組織界限的威脅、脆弱性和風險評估（TVRA）和考慮購買網絡保險用于緩解潛在的云事件帶來的財務損失。5.2.3 證據收集與處理識別與調查相關的數據對于確定事件的根本原因和識別經驗教訓以避免重復至關重要。2022 國際云安全聯盟大中華區版權所有.25識別出的數據還可以幫助支持有益的信息共享計劃，以防止類似事件的發生。請注意，由于GDPR或其他合規

49、要求，CSP可能會限制日志的保留周期。在事件響應計劃中必須理解并考慮到這些限制，因為日志可用性將影響必要的證據收集(取決于所選擇的云服務)相關數據的可能位置包括附加到虛擬實例的存儲驅動器和實例的內存空間。通過利用CSP功能(例如實例快照)，CIR團隊可以獲得附加到事件的虛擬化存儲驅動器的快照，并利用它們進行進一步的分析和發現。這些快照可以安裝到數字取證調查資源，以便使用已被廣泛應用的取證分析工具集進行審查。任何收集到的證據也應該經過哈?；顒舆^程。這有助于確保所收集到的信息的完整性，并確保數據沒有從其原始來源更改。這項承諾還有助于確保有關潛在法律程序的證據的可采納性。確保司法鑒定工作是在收集到的

50、證據的副本(而不是經過哈希處理的原始數據)上進行，以便法院受理。對于網絡安全事件，應采取以下步驟識別攻擊主機:驗證攻擊主機的互聯網協議(IP)地址/域/電子郵件/其他信息通過搜索引擎研究被攻擊的主機使用突發事件數據庫監控可能的攻擊者通信通道創建針對SIEM或其他工具的IoC警報，以幫助找到受攻擊的主機任何收集到的證據都應該利用哈?；顒哟_保收集到的數據的完整性。這一過程可用于驗證證據沒有從其原始來源更改，并有助于確保潛在法律程序中的可接受性。5.35.3 第三階段：遏制、根除和恢復第三階段：遏制、根除和恢復遏制：在應對安全事件時，遏制損害的方法對于事件和組織是獨一無二的。在正確識別事件后，根據事

51、件類型列出所要采取的行動策略。遏制隔離被感染的系統。2022 國際云安全聯盟大中華區版權所有.26注意:根據事件及其影響，遏制、根除和恢復可能都是同一過程的一部分。在檢測到安全事件時，遏制是必不可少的，以防止進一步的攻擊者活動和系統重新進入。不受約束的活動可能會耗盡資源或增加損害。從攻擊者的角度來看，典型的攻擊從最初的妥協開始，然后通過下載惡意軟件建立據點，升級權限，然后進行網絡探索。到目前為止，攻擊者可能僅限于一臺機器，無法竊取數據接下來，攻擊者可以通過在少量其他機器上安裝不同的惡意軟件橫向移動并建立持久性。這使得惡意軟件的檢測風險很低，同時提供了重新進入網絡的方法。攻擊者現在已在系統中建立

52、起來，并將開始執行他們的任務。一旦發現事件，受影響的組織應執行預定義的CIR計劃（在“第一階段：準備”中所述），例如使系統下線、隔離系統和限制連接。最重要的是不要通過盲刪消除威脅，因為這就破壞了CIR計劃修訂所需的取證證據。遏制措施為制定補救策略提供了時間。遏制的一個重要部分是決策(例如，關閉系統，斷開與網絡的連接，刪除API密鑰，禁用用戶名)。通過預先確定的事件遏制策略和程序，這種決定要容易得多。在定義和記錄策略和程序時，IR團隊應該利用方案手冊和操作說明簡化任務。各組織應在處理突發事件時確定和定義可接受的風險，并制定相應的戰略。遏制策略因事件類型而異。例如，包含電子郵件傳播的惡意軟件感染的

53、過程與基于網絡的DDoS攻擊響應完全不同。組織應針對每種主要事件類型制定單獨的遏制策略，并將標準明確記錄下來以便制定決策。確定適當策略的準則包括：業務影響潛在的資源盜竊和損害需要保存證據服務可用性(例如，網絡連接，提供給外部各方的服務)實施策略所需的時間和資源戰略有效性（如部分控制、全面控制）遏制方法的持續時間、復雜性(例如，4小時內刪除的緊急解決方案，2周內刪除的臨時解決方案，永久解決方案)2022 國際云安全聯盟大中華區版權所有.27資源可用性(特別是技術專長)備份/副本/快照的可用性和完整性沙箱/蜜罐環境的可用性適當的遏制策略的最終目標是限制攻擊者的行動，并在盡可能短的時間內防止進一步未

54、經授權的訪問或感染，同時最大限度地減少服務中斷。適當的策略將防止進一步的損害發生，同時保留調查所需的證據。5.3.15.3.1 選擇遏制策略選擇遏制策略在某些情況下，一些組織將攻擊者重定向到沙盒(一種類似蜜罐的遏制形式)，以便監視攻擊者的活動(通常是為了收集額外的證據)。IR團隊應該與其法律顧問討論該策略，確定其可行性。組織不應該實施其他替代方法監視攻擊者的活動(沙箱除外)。如果一個組織檢測到系統被破壞，并允許這種破壞繼續下去，那么如果攻擊者使用被破壞的系統攻擊其他系統，那么該組織可能要承擔責任。延遲的遏制策略是危險的，因為攻擊者可能升級未經授權的訪問或危及其他系統。另一個潛在的問題是，一些攻

55、擊可能會在遏制后造成額外的損害。例如，一臺已被入侵的主機可能會運行一個定期發送給另一個主機的惡意進程，當事件處理程序試圖通過斷開受感染主機與網絡的連接控制事件時，后續的ping就會失敗。由于出現故障，惡意進程可能會覆蓋或加密主機硬盤上的所有數據，即使主機已經與網絡斷開連接，處理程序也不能假定該主機不會受到進一步的破壞5.3.25.3.2 根除與恢復根除與恢復根除：消除問題。這包括最大限度地減少損失、信息被盜和服務中斷，以及消除威脅。根除步驟可能是必要的，可恢復所有受影響的系統的操作水平。必須消除威脅、感染或損害，使系統恢復到可操作的水平。這可能需要清理磁盤，刪除受影響的代碼和用戶賬戶?；謴停喊?/p>

56、括安全、及時地恢復計算服務11?；謴瓦^程將系統修復到原始的或增強的狀態。11FedRAMP PMO 2017,FedRAMP Incident Communication Procedure,https:/www.fedramp.gov/2022 國際云安全聯盟大中華區版權所有.28此過程通過應用補丁、重建系統的密鑰文件、重新安裝應用程序、更改密碼和從備份中恢復文件，將其返回到生產過程中。5.45.4 第四階段第四階段 事后分析事后分析CIR流程的最后一個階段是事后分析。這一關鍵階段的目標是評估企業和CSP團隊如何處理和管理事件，改進未來的事件處理程序。評估的基礎是審查事件數據和包含“經驗教訓

57、”12的事后報告。要回答的關鍵問題是：哪些方面可以做得更好?這種反饋應該轉化為新的對策，并返回到第1階段。5.4.15.4.1 事件評估事件評估對事件特征的分析可以在最低限度上指出安全弱點和威脅、云配置弱點以及事件趨勢的變化。這些數據可以作為反饋循環添加到風險評估過程中，可能導致選擇和實施額外的控制措施、流程和預防措施?？陀^的事后分析還將幫助團隊使用收集到的信息衡量CIR過程的總體有效性。問題可能包括：如何回應的？優勢和弱勢是什么？從中學習到了什么？如果事件數據被正確地收集和存儲，應該突出IR團隊的幾個成功度量(或至少是活動)。5.4.1.15.4.1.1 事件評估指標事件評估指標還可以收集突

58、發事件數據，確定是否隨著時間的推移而存在顯著的趨勢。這些模式可能會更多地揭示團隊在一個確定的持續時間內所做的事情，以及是否有改進（例如，事件數量的減少）或值得增加關注的領域（例如，與安全相關的事件的激增）。在被監管的行業中，組織機構通常必須向監管機構和管理層報告這些信息尤其是重大事故。CSC應及時、準確和完整地收集必要的數據，以滿足這些要求。assets/resources/documents/CSP_Incident_Communications_Procedures.pdf12FedRAMP PMO 2017,FedRAMP Incident Communication Procedure

59、,https:/www.fedramp.gov/assets/resources/documents/CSP_Incident_Communications_Procedures.pdf 2022 國際云安全聯盟大中華區版權所有.29應收集流量日志或其他流量日志等數據，以便審查未經授權的訪問或可疑的流量。收集到的事件數據應該包含以下信息的指標(性能指標):平均檢測時間(MTTD)：發現安全事件的平均時間。從事件開始到團隊意識到這一點需要多長時間？這與攻擊者停留時間（攻擊者滲透到檢測點之間的時間）直接相關。平均確認時間(MTTA)：安全操作員響應系統警報所需的時間。MTTD 衡量的是攻擊者被注意

60、到之前的時間，而 MTTA則側重于衡量安全操作員響應安全警報和開始分析的時間。平均恢復時間(MTTR)：使系統恢復運行狀態所需的時間（與第 3 階段相關）。平均遏制時間(MTTC)：檢測、響應、消除和從事件中恢復所需的平均時間。MTTC可以通過將所有范圍內事件的 MTTD、MTTA和MTTR 相加除以范圍內事件的數量計算。該指標被認為是一個關鍵指標（關鍵績效指標，或KPI），因為它顯示了事件響應團隊的組織程度。MTTC升高表明某些子流程在事件響應期間不是最佳的。較低的MTTC表明團隊組織良好。威脅指標，例如DDoS攻擊時的Gbps或Tbps。威脅行為者TTP（策略、技術和程序）。這些包括網絡釣

61、魚和賬戶操縱。更多示例可在 MITRE 的 ATT&CK Cloud Matrix 中找到13。5.4.1.25.4.1.2 事件分類事件分類嚴重性和緊急性分類(H/M/L)可能會在檢查后發生變化。危及個人身份信息(PII)或個人健康信息(PHI)的機密性/完整性以及為大量客戶提供服務的高嚴重性事件可能會產生重大的財務影響。示例包括：確認違反 PII/PHI生產系統的成功根級別妥協金融惡意軟件13MITRE ATT&CK Matrix for Enterprise covering cloud-based techniqueshttps:/attack.mitre.org/matrices/e

62、nterprise/cloud/2022 國際云安全聯盟大中華區版權所有.30導致嚴重中斷的拒絕服務攻擊中等嚴重性事件表示嘗試（可能不成功或尚未成功）違反PII或可用性/財務影響有限的事件。示例包括：疑似PII泄露有針對性地嘗試破壞生產系統DoS 攻擊導致有限的系統降級或其他性能問題低嚴重性事件不會影響 PII、可用性或對企業或客戶的財務影響。示例包括：嘗試破壞非重要系統（例如，登臺/測試實例）涉及特定員工的事件DoS攻擊對客戶沒有明顯影響5.4.25.4.2 事件總結報告事件總結報告事件結束后，管理事件的CIR團隊應使用從先前階段和事件評估收集的數據撰寫正式的事后報告(AAR)。這項任務在事

63、后階段至關重要，應在課程仍然新鮮時盡快執行。如果延遲，關鍵細節可能會丟失或遺忘可能會對未來的事故預防產生重大影響。CIR團隊應在事件結束后的兩周內將AAR提交給關鍵利益相關者。14必須制定適當的對策并由（高級）管理層驗證。最好使用正式批準的報告模板創建AAR，確保報告始終符合預期標準。事故報告應包含以下內容：事件的日期和時間事件結束的日期和時間事件范圍報告事件的人的姓名受影響人的組織和業務單位事件描述14SANS Institute 2021,Incident Handlers Handbook,https:/www.sans.org/reading-room/whitepapers/inci

64、dent/incident-handlers-handbook-33901 2022 國際云安全聯盟大中華區版權所有.31受影響的云系統和提供商/本地資源（硬件、軟件、位置）和各自的 SLA業務服務所有者和CSP聯系人（如果適用），包括事件管理期間涉及的CSP參與者（如果適用）事件分類（嚴重性分類）公司/客戶影響分析解析度建議“經驗教訓”部分，用于確定成功和需要改進的地方，以制定增強的響應以防止未來發生事件在撰寫報告時，請考慮以下要素：回顧事件的時間軸和任何CIRT和CSPCIRT的觀察結果。在“5個為什么”(或“5W”)技術的支持下進行徹底的根本原因分析，識別和審查所有導致事件的因素。優先考

65、慮補救步驟，減少未來再次發生事件的可能性。使用AAR作為新團隊成員的培訓材料，傳達更有經驗的團隊成員如何應對事件。集中和索引AAR（按分類級別），并為每個事件生成后續報告。在處理類似的未來事件時，報告是有價值的參考。審查溝通渠道（CSPCSC）并在必要時更新。審查取證能力并確定“云跳躍工具包”中是否缺少任何元素15。查看事件中確定的與可利用的安全漏洞、敏感數據詳細信息或影響PII/PHI的其他詳細信息相關的數據。查看違規通知時間表（例如，GDPR）和流程。對于CSC，在事件響應期間審查提供的提供商支持，并評估是否需要調整合同以促進增強的提供商支持。15CSA Security Guidance

66、 For Critical Areas of Focus In Cloud Computing v4.0,section 9.1.2 2022 國際云安全聯盟大中華區版權所有.32通常認為有必要在向高層管理人員報告信息后向更廣泛的公眾發布報告，促進跨企業的事件信息共享。這種透明度有助于同行更好地識別和控制風險。5.4.2.15.4.2.1 經驗教訓經驗教訓處理安全事件的最后一步是確定學到了什么。如果在與人員、流程或技術相關的事件響應過程中發現差距，則必須加以解決。結束事件的人員必須確保對安全事件進行回顧性審查這項工作被稱為“經驗教訓”。使用“經驗教訓”幫助修改和鞏固CIR計劃。每個IR團隊都應

67、主動發展以反映新的威脅、改進的技術和經驗教訓16改進未來的響應行動。安全指南：安全指南：特別注意數據收集限制并確定如何解決未來的問題。由于云數據位于多個位置（并且可能具有不同的 CSP），因此以下注意事項對流程的這一階段提出了挑戰：與從各種第三方提供商（互聯網服務提供商）獲取和協調事件數據收集相關的挑戰來自第三方提供商的資源依賴（可能是由于來自其客戶端池的依賴大?。?。以下建議的問題可以幫助CSC提出自己的查詢：服務層的哪些部分有問題？對受影響的應用程序和用戶有何影響？問題持續了多長時間，在什么時間？問題原因是否已知？學到了什么可以防止或減輕這一事件的發生？應該采取什么行動？從安全角度看，有什么

68、可疑之處嗎？提供商或經紀人提供事件支持（如果適用）的效果如何（或多快）？用于法醫證據收集的范圍內技術的識別程度如何？是否有人或者自動監控或其他掃描系統檢測到遠程連接上的未經授權的訪問或可疑流量？從事件發生之時起，整個事件生命周期中的角色和責任是否清晰？16NIST.SP.800-61r2 Computer Security Incident Handling Guide 2022 國際云安全聯盟大中華區版權所有.33這些技術是否引起了警覺？以前的“低級”事件能否與根本原因聯系起來？5.4.35.4.3事故證據保留事故證據保留在“第2階段檢測和分析”期間收集的所有已識別證據必須根據企業適用的法律

69、、法規、行業或合同義務的要求予以保留。為以下三(3)個目的保留證據：監管合規要求（即審計日志、警報生成、活動報告和數據保留的特定級別和粒度）。數據保留可能不是受提供商影響的標準服務協議的一部分。法律：支持對破壞PII/PHI或企業系統的起訴。風險管理：反映和重新評估新的威脅策略和技術。培訓：為了促進團隊更好地為未來的事件做好準備，將適應性事件學習納入其中。17企業取證模型必須能夠促進所需的證據保留期限和所使用的技術。根據之前的 CSA 指南。18CSC應與CSP合作評估事件處理。在云環境中保留數字取證證據必須視為CSP和CSC之間的集成模型。196.6.協調和信息共享協調和信息共享要解決事件響

70、應方面的責任共擔模型的復雜性，需要云用戶和CSP進行大量且多樣的主動投資。有效地使用這些投資對于確保高效和有效的CIR至關重要。所有云利益相關方應該共同制定CIR的短期和長期目標。長期目標的一些例子包括建立/持續增強框架，讓受影響的用戶參與進來以減少損失和制定業務恢復方法的戰略。提供者和用戶之間的溝通路徑應該適當建立。應該為任何受影響的用戶提供定期更新，減少損失并制定業務恢復方法的戰略。有效的協調和溝通不僅僅是向客戶報告。由于云計算的共享特性，一次攻擊通常會同時影響多個組織。因此，事件信息共享在17Incident Response Teams Challenges in Supporting

71、 the organizational Security Function,Ahmad,Hadgkiss&Ruighaver 2012;Shedden,Ahmad&Ruighaver 2011 https:/ Security Guidance For Critical Areas of Focus In Cloud Computing v4.019An integrated conceptual digital forensic framework for cloud computing,Martini and Choohttps:/ 2022 國際云安全聯盟大中華區版權所有.34幫助相關組

72、織防范相同威脅方面是互惠互利的。CSA運行云網絡事件共享中心(CloudCISC)20，方便參與的CSP之間共享事件數據。與關鍵合作伙伴、其他部門的IR團隊和執法機構的協調大大增強了CIR的能力。這種溝通應該從一開始就建立起來在計劃階段，并在必要時在整個CIR過程中保持。下面的信息圖舉例說明了組織在發生危機時為確保有效溝通所經歷的各個階段21準備準備確定溝通團隊確定溝通團隊選擇溝通渠道選擇溝通渠道給目標聽眾的消息給目標聽眾的消息CCMP:事件管理計劃首席市場官內部和外部郵件監管機構維護RACI矩陣或線性責任圖溝通領導致傳媒新聞稿董事會建立作戰室主題專家董事會報告勞動力網絡空間危機桌面演習公司秘

73、書監管報告第三方RACI:負責、負責、咨詢和知情股東會議客戶IVR服務通知/通過區域辦事處/分公司網絡進行簡報保險公司網站執法機構社交媒體渠道合作伙伴客戶支持債權人股東圖5：有效的危機溝通階段6.16.1 協調協調6.1.16.1.1協調關系協調關系所有利益相關者應該共同努力，明確彼此在云安全事件期間的角色和責任。傳統上，這些角色與共享責任模型中的職責緊密聯系在一起。例如:PaaS或SaaS應用的平臺或服務層發生的安全事故應由CSP驅動;對于PaaS應用程序，發生在應用層的安全事件應該由CSC驅動;20More information on CloudCISC:https:/cloudsecu

74、rityalliance.org/research/working-groups/cloudcisc/21REBIT Cyber Crisis Communications Playbook https:/rebit.org.in/playbooks-and-presentation/cyber-crisis-communications 2022 國際云安全聯盟大中華區版權所有.35發生在IaaS基礎設施云平臺層的安全事件應該由CSC和CSP共同驅動，以確定它是源于CSC的環境還是CSP的環境。通常，所有事件都需要CSC和CSP之間密切合作，有效地管理事件。利益相關者應該主動識別此類事件場景

75、以及他們的角色和職責。他們還應該確定在事件發生時使用的溝通渠道(例如，電子郵件、視頻/電話會議細節)，以便利益相關者知道如何有效地共享信息。利益相關者溝通：利益相關者溝通：溝通建議應基于不同的第一反應者可能性(例如，CSP作為第一反應者vs.云用戶作為第一反應者)。6.1.26.1.2 共享協議和報告要求共享協議和報告要求一旦利益相關者確定了角色和責任，在合同協議中正式確定這些關系至關重要。協議應該包括針對所有利益相關者的保密協議(NDA)，以便他們能夠機密地共享信息(包括企業最敏感的信息)。試圖與外部組織共享信息的組織應該在開始協調工作之前咨詢法律部門。討論之前，可能會有一些合同或其他協議必

76、須落實到位。組織還應該考慮任何現有的報告要求，例如與信息共享和分析中心(ISAC)共享事件信息或向更高級別的CIRT報告事件。6.26.2 信息共享技術信息共享技術所有利益相關者必須能夠識別威脅并與關鍵利益相關者共享安全信息。通常，所有利益相關者對于發現或共享事件關鍵信息以及評估其能力的最優方法并沒有明確的方向?？陀^地，必須評估共享技術以確定減少利益相關者負擔的有效性，同時確?；ヂ摶ネê蛷椥?。即使是最小的組織也必須保持與同行和合作伙伴共享事件信息的能力，實現積極的結果。組織應該在整個事件響應生命周期中而不是等到事件完全解決才共享信息。信息共享是實現跨組織協調的基本要素。2022 國際云安全聯盟

77、大中華區版權所有.361.點對點模式2.部分自動化3.安全注意事項6.36.3 粒度信息共享粒度信息共享組織還必須權衡信息共享的好處和共享敏感信息的缺點。企業應該只與適當方面共享必要的數據。理想情況下，所有利益相關者都應該有一份NDA，為敏感和專有信息提供合同保護。6.3.16.3.1 業務影響信息業務影響信息云安全事件既是業務問題，也是IT問題。云安全事件可能會導致一系列負面業務影響，例如財務損失（例如，服務不可用、失去合規認證導致無法開展業務、事件響應成本）、聲譽影響（失去客戶信任）、商業秘密披露、知識產權盜竊、敏感數據泄露或其他問題。業務影響信息只有在向有意確保受影響企業任務的組織報告時

78、才有用。在很多情況下，除非有明確的價值主張或正式的報告要求，IR團隊應避免與外部組織共享業務影響信息。然而，在某些情況下，由于監管和法律要求，組織可能被迫公開共享這些信息。業務影響信息描述了事件在任務影響、財務影響等方面對組織的影響。至少在摘要級別上，此類信息通常報告給更高級別的IR協調團隊，用于傳達事件的損害估計。業務影響信息只有在向對確保發生事件的組織任務有一定興趣的組織提出報告時才有用。在很多情況下，除非有明確的價值主張或正式的報告要求，IR團隊應避免與外部組織共享業務影響信息。6.3.26.3.2 技術信息技術信息由于CSP服務于許多客戶，因此攻擊者經常使用相同的弱點攻擊多個CSP客戶

79、。一旦CSC/CSP提取了有關攻擊或新興威脅的技術細節，就可以分發這些數據以增強對特定攻擊的防御。2022 國際云安全聯盟大中華區版權所有.37在當今的數字經濟中，速度和效率至關重要。對于那些負責保護網絡免受攻擊的人來說，網絡罪犯的行動速度可能令人擔憂。該行業必須與行業同行共享更多安全情報，以便更好地保護并且適應不斷演變的威脅。在企業通過收集內部指標獲得價值的同時，也可能會通過分析從合作伙伴組織收到的指標以及共享內部指標以供外部分析和使用中獲得額外價值。如果組織收到有關其未看到的事件的外部指標數據，則可以在事件開始時使用該指標識別事件。類似地，組織可能會使用外部指標數據檢測由于缺乏捕獲特定指標

80、數據的內部資源而沒有意識到正在發生的事件。組織還可以從與外部組織共享內部指標數據中受益。技術指標數據有助于組織識別實際事件。然而，并非所有從外部來源收到的指標數據都屬于接收該數據的組織。外部數據有時可能在接收組織的網絡內產生誤報，并對不存在的問題造成不必要的資源分配。組織應盡可能多地分享見解。然而，可能存在安全和責任方面的原因，決定了為什么組織可能會隱瞞被利用漏洞的詳細信息。技術指標數據有助于組織識別實際事件。然而，并非所有外部源指標數據都與接收該數據的組織有關。在某些情況下，這些外部數據會在接收組織的網絡中產生誤報，從而為不存在的問題分配不必要的資源。6.3.36.3.3 CSPCSP儀表盤

81、儀表盤CSP應該為用戶提供一個可自定義的自助儀表盤，通知有關事件的信息，以便客戶了解最新情況。這些儀表盤通常用于傳達影響大量客戶的事件。CSP還應支持配置選項，自定義云警報并創建個性化儀表盤，以分析相關事件、監控云資源影響、提供指導和支持，以及共享詳細信息和更新。這些儀表盤可以設計為有關云資源的唯一事實來源，并且應該讓用戶更清楚地了解可能有影響的任何問題。6.46.4 桌面演練和事件模擬桌面演練和事件模擬除了少數進步組織之外，大多數企業很難通過具體的“真實世界”經驗為安全事件做好準備。這些現實的演練引入了無害的（但真實的）安全漏洞，并模擬外部利用以評估這些組織的準備情況。在此類活動中，一個小型

82、的組織團隊會意識到該演練。對于其他人而言，不存在演練。這是一起真實的安全事件。2022 國際云安全聯盟大中華區版權所有.38這就是桌面演練的價值所在，一個純粹的模擬攻擊場景和一次安全事件準備活動。桌面演練通過指導參與者完成對模擬事件場景的響應過程，幫助組織考慮各種安全事件場景并為潛在的網絡威脅做好準備。這種經驗為參與者提供了實踐培訓，然后可以突出IR流程中的缺陷。任何組織都應該能夠執行桌面演練（而不是在需要復雜技術和操作能力的客戶環境中引入bug）。此外，與“真實世界”模擬相比，桌面演練所需的資源要少得多。桌面演練有助于改善整體事件響應態勢，以及團隊在事件發生時的集體準備和決策過程。演練從IR

83、計劃開始，并根據該計劃衡量團隊表現。由于大多數組織都沒有做好應對云安全事件的準備，因此制定執行良好的IR計劃至關重要。2022 國際云安全聯盟大中華區版權所有.397.7.總結總結在很多方面，這種觀點都擊中了關注網絡攻擊威脅的組織的痛處。組織應充分了解事件響應過程及事件響應能力，為任何潛在事件做好準備。本文探討了CIR框架以及有效響應事件所需的準備工作。它可以作為CSC在破壞性事件的整個生命周期中準備和管理云事件的首選指南，還為CSP和CSC共享云事件響應實踐提供了一個透明、通用的框架。我們分四個階段介紹了CIR框架（加上最后一節涵蓋協調和信息共享）。準備準備工作涉及云事件之前所需的策略和行動

84、。有效的事件響應計劃包括組建CIR團隊（CIRT）、戰略規劃和準備、程序開發、技術準備和溝通計劃創建。檢測和分析檢測和分析涵蓋了云事件的各種跡象和可能的原因，以便及早發現。為了確定根本原因，討論了多種方法。早期事件通知的速度(以及基于業務影響的相應解決時間)也是CSP/CSC考慮的重點。遏制、根除和恢復遏制、根除和恢復解釋了在進行調查和取證時選擇正確策略阻止攻擊者進一步破壞系統的重要性。事后分析事后分析過程識別人員、流程或技術方面的差距，并將其轉化為必須在準備階段吸取的“經驗教訓”。這一結束階段的關鍵目標是改進未來的事件處理。為了提高企業的安全能力，審查CSP的事件/取證支持（如適用）、支持事件分析的可用技術工具、參與者使用的TTP以及進行取證調查至關重要。協調和信息共享協調和信息共享部分描述了云威脅的復雜性如何要求利益相關者協調和共享安全信息以減輕損失?？傊?，該框架將有助于指導CSC確定其安全需求和適當的事件保護級別。此外，CSC可以使用本指南與CSP和（或）第三方協商，確定各方的能力和責任共擔。引用本杰明富蘭克林的話說，“沒有做好準備，就做好了失敗的準備?！?/p>