計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)（CSIRT）是一種專為及時(shí)有效解決計(jì)算機(jī)安全相關(guān)事件而設(shè)置的能力，以減輕網(wǎng)絡(luò)攻擊所造成的危害。目前，全球主要國(guó)家都建立了國(guó)家級(jí)CSIRT，來(lái)承擔(dān)保護(hù)本國(guó)網(wǎng)絡(luò)安全的國(guó)家責(zé)任。而隨著網(wǎng)絡(luò)攻擊和犯罪活動(dòng)逐漸成為企業(yè)組織發(fā)展中面臨的最嚴(yán)重挑戰(zhàn)之一，這意味著企業(yè)也需要不斷改善自身的網(wǎng)絡(luò)安全態(tài)勢(shì)。在此背景下，構(gòu)建一個(gè)能力強(qiáng)大的企業(yè)級(jí)CSIRT意義重大。

企業(yè)級(jí)CSIRT的職責(zé)

在很多企業(yè)中，會(huì)存在三種和計(jì)算機(jī)安全事件響應(yīng)有關(guān)的工作團(tuán)隊(duì)，分別是CSIRT、SOC和CERT。雖然它們有時(shí)可以互換使用，但從各自的職責(zé)定位上看，還是存在明顯區(qū)別的，如下圖所示：

網(wǎng)絡(luò)安全運(yùn)營(yíng)中心（SOC）是從網(wǎng)絡(luò)運(yùn)營(yíng)中心（NOC）演變而來(lái)的，主要充當(dāng)網(wǎng)絡(luò)安全運(yùn)營(yíng)工作的中央指揮和控制樞紐角色。它的主要職責(zé)是全面保護(hù)企業(yè)的數(shù)字化系統(tǒng)安全運(yùn)營(yíng)。因此，SOC的職責(zé)不僅僅包括事件響應(yīng)。在實(shí)際工作中，SOC可以充當(dāng)網(wǎng)絡(luò)安全事件檢測(cè)的前端，用于標(biāo)記事件，然后再將它們移交到CSIRT以進(jìn)行解決。

計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT）則是主要針對(duì)計(jì)算機(jī)漏洞攻擊，目標(biāo)是通過(guò)收集和傳播有關(guān)安全漏洞的信息來(lái)幫助企業(yè)保護(hù)數(shù)字化業(yè)務(wù)。許多人會(huì)將CERT與CSIRT的概念相互混淆，但是實(shí)際上，CERT的主要職責(zé)是漏洞情報(bào)收集和信息共享，以為其他安全團(tuán)隊(duì)工作賦能。

而企業(yè)級(jí)CSIRT團(tuán)隊(duì)通常由一組專職的網(wǎng)絡(luò)安全專家組成，致力于在評(píng)估、控制和預(yù)防網(wǎng)絡(luò)安全危機(jī)事件中為組織提供一系列服務(wù)和協(xié)助。此外，CSIRT還負(fù)責(zé)制定網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃，并在安全事件發(fā)生時(shí)迅速有效地處理，最終恢復(fù)控制并減輕危害。

參考NIST給出的網(wǎng)絡(luò)安全事件響應(yīng)生命周期定義，企業(yè)級(jí)CSIRT的工作任務(wù)主要包括以下四個(gè)部分：

1、為事件響應(yīng)做好準(zhǔn)備

在此階段中，CSIRT可以為組織事件響應(yīng)提供以下指導(dǎo)：

• 制定并優(yōu)化事件管理流程的策略；
• 定義團(tuán)隊(duì)所服務(wù)的群體（部門），并明確事件處置過(guò)程中直接匯報(bào)的對(duì)象；
• 準(zhǔn)備事件處置的技術(shù)工具和資源，包括（但不限于）：1）通訊設(shè)施，如電話、電子郵件、聊天、社交媒體等；2）物理設(shè)施，如專門的工作室；3）硬件和軟件，包括數(shù)字取證工作站和軟件、安全存儲(chǔ)設(shè)備、數(shù)據(jù)包嗅探器、協(xié)議分析器、干凈的操作系統(tǒng)映像和軟件。

2、事件的檢測(cè)與分析

事件的偵查與檢測(cè)通常會(huì)通過(guò)多種渠道進(jìn)行。首先，CSIRT會(huì)訪問(wèn)IDS/IPS、反惡意軟件和日志分析工具，以識(shí)別網(wǎng)絡(luò)攻擊的來(lái)源。其他威脅情報(bào)信息將有助于提高檢測(cè)的準(zhǔn)確性和效率。

根據(jù)攻擊類型的不同，對(duì)安全事件的分析涉及不同的技術(shù)。而事件分析主要可以確定以下三件事：

• 范圍：哪些用戶、系統(tǒng)和服務(wù)受到影響；
• 起源：是什么人因?yàn)槭裁丛蛞鹆耸录?/li>
• 危害情況：攻擊使用了哪些攻擊方法或利用了哪些漏洞。

分析完成后，CSIRT團(tuán)隊(duì)需要形成一份完整的事件分析報(bào)告。這有助于確定事件處置優(yōu)先次序和規(guī)劃下一步行動(dòng)。

3、事件處置與恢復(fù)

為了限制攻擊的影響，CSIRT可能會(huì)隔離或關(guān)閉受感染的系統(tǒng)。在遏制之后，接下來(lái)就是清除惡意軟件。CSIRT可以在此階段使用各種技術(shù)（如刪除惡意文件、禁用受影響的賬戶、清除受感染的設(shè)備和修補(bǔ)漏洞）從IT系統(tǒng)中根除事件來(lái)源?；謴?fù)操作包括恢復(fù)受影響的系統(tǒng)、從備份中恢復(fù)數(shù)據(jù)或故障轉(zhuǎn)移到災(zāi)難恢復(fù)站點(diǎn)。

4、事后調(diào)查與溯源取證

開展安全事件的事后（post-incident）調(diào)查活動(dòng)，有助于未來(lái)可能出現(xiàn)的攻擊做出反應(yīng)，并優(yōu)化安全軟件的使用。此外，報(bào)告響應(yīng)時(shí)間和影響遏制指標(biāo)對(duì)于改進(jìn)事件響應(yīng)流程至關(guān)重要。CSIRT還應(yīng)該與執(zhí)法部門合作，追蹤攻擊來(lái)源，分析證據(jù)，并在必要時(shí)提供法律證詞。

企業(yè)級(jí)CSIRT構(gòu)建指南

通過(guò)制定有效的事件響應(yīng)策略，組織可以大大降低安全事件的損害，同時(shí)降低業(yè)務(wù)系統(tǒng)的恢復(fù)成本。企業(yè)在組建CSIRT團(tuán)隊(duì)時(shí)，應(yīng)該充分考慮以下幾點(diǎn)：

• 確定需要什么樣的技術(shù)背景、角色和職責(zé)。
• 明確一個(gè)公司高層領(lǐng)導(dǎo)來(lái)監(jiān)督CSIRT的工作，以及與執(zhí)行領(lǐng)導(dǎo)溝通事件和進(jìn)展。
• 確定適當(dāng)?shù)腃SIRT組織模型和團(tuán)隊(duì)所需的工作時(shí)間。
• 為各種潛在的威脅和事件制定安全計(jì)劃、政策和程序。
• 為CSIRT成員提供日常的網(wǎng)絡(luò)安全教育和意識(shí)培訓(xùn)。
• 進(jìn)行全面的數(shù)字化資產(chǎn)發(fā)現(xiàn)和風(fēng)險(xiǎn)評(píng)估。
• 識(shí)別關(guān)鍵事件響應(yīng)資產(chǎn)，包括數(shù)據(jù)、業(yè)務(wù)流程、技術(shù)和人員。
• 有一個(gè)流程完備的資產(chǎn)管理計(jì)劃。
• 實(shí)施配置管理程序，確保所有軟件都及時(shí)修補(bǔ)，任何更新都經(jīng)過(guò)測(cè)試和應(yīng)用。

一個(gè)有效運(yùn)作的企業(yè)級(jí)CSIRT需要擁有不同技能和職責(zé)的成員。然而，沒(méi)有“放之四海而皆準(zhǔn)”的方法。組織必須配備和培訓(xùn)員工以滿足其特定的安全事件響應(yīng)需求。一般而言，企業(yè)級(jí)CSIRT團(tuán)隊(duì)的組成成員應(yīng)該包括：

• CSIRT團(tuán)隊(duì)領(lǐng)導(dǎo)。這一執(zhí)行角色通常由首席信息安全官（CISO）擔(dān)任，負(fù)責(zé)與高級(jí)管理人員溝通事件，并協(xié)調(diào)申請(qǐng)CSIRT團(tuán)隊(duì)的工作預(yù)算。
• 事件管理者。該角色負(fù)責(zé)協(xié)調(diào)CSIRT日常工作例會(huì)，明確每個(gè)CSIRT成員的責(zé)任，并確定是否應(yīng)該將事件處置級(jí)別升級(jí)到高管層。
• CSIRT支持人員。這是一個(gè)專業(yè)的技術(shù)角色，包括安全分析師、事件處理人員或取證調(diào)查員等，他們主要負(fù)責(zé)事件檢測(cè)、響應(yīng)和報(bào)告活動(dòng)。
• 跨職能CSIRT角色。為了完成任務(wù)，CSIRT團(tuán)隊(duì)需要將法律、人力資源（HR）和公共關(guān)系（PR）專家納入團(tuán)隊(duì)。

有效的企業(yè)級(jí)CSIRT團(tuán)隊(duì)要求工作人員具備多種技能，包括技術(shù)技能和非技術(shù)技能。CSIRT員工需要基本的技術(shù)技能和安全知識(shí)來(lái)執(zhí)行日常任務(wù)。對(duì)安全原則、漏洞、編程和網(wǎng)絡(luò)協(xié)議的一般理解構(gòu)成了這個(gè)基線。因此，CSIRT團(tuán)隊(duì)員工應(yīng)該接受以下專業(yè)的技術(shù)訓(xùn)練：

• 識(shí)別入侵者的戰(zhàn)術(shù)和手法；
• 利用加密技術(shù)保護(hù)CSIRT通信；
• 分析事件，確定如何有效應(yīng)對(duì)；
• 維護(hù)事故記錄和報(bào)告。

此外，由于企業(yè)級(jí)的CSIRT工作是基于服務(wù)的。因此，所有CSIRT員工都必須具有良好的溝通能力和協(xié)調(diào)能力。

• 愿意服從指示。CSIRT團(tuán)隊(duì)人員應(yīng)熟悉已定義的CSIRT程序和政策，以及堅(jiān)持這些程序和政策的重要性。
• 溝通能力。CSIRT團(tuán)隊(duì)成員應(yīng)展示有效的書面和人際溝通技巧，以履行職責(zé)，如記錄事件報(bào)告或提供技術(shù)簡(jiǎn)報(bào)。
• 協(xié)作能力。由于CSIRT結(jié)構(gòu)的合作性質(zhì)，CSIRT團(tuán)隊(duì)成員必須是忠誠(chéng)的，以確保集體士氣、生產(chǎn)力和敏捷性。
• 善于時(shí)間管理。CSIRT團(tuán)隊(duì)成員應(yīng)該了解如何使用提供的標(biāo)準(zhǔn)來(lái)確定各種CSIRT活動(dòng)的優(yōu)先級(jí)，并確定何時(shí)向管理層尋求幫助。
• 分析推理。CSIRT團(tuán)隊(duì)人員需要跳出常規(guī)思維，在潛在的不穩(wěn)定情況下預(yù)測(cè)攻擊者技術(shù)并解決問(wèn)題。
• 壓力管理。網(wǎng)絡(luò)安全事件響應(yīng)的緊迫性和安全人員倦怠的風(fēng)險(xiǎn)需要特別注意管理壓力，以及工作與生活的平衡。
• 持續(xù)學(xué)習(xí)。事件響應(yīng)是一個(gè)不斷變化的專業(yè)領(lǐng)域。因此，CSIRT團(tuán)隊(duì)成員必須是求知欲強(qiáng)的人，并通過(guò)培訓(xùn)、認(rèn)證或指導(dǎo)來(lái)抓住機(jī)會(huì)進(jìn)一步提高他們的技能。

參考鏈接：

https://heimdalsecurity.com/blog/computer-security-incident-response-team-csirt/。