計算機安全事件響應(yīng)團隊（CSIRT）是一種專為及時有效解決計算機安全相關(guān)事件而設(shè)置的能力，以減輕網(wǎng)絡(luò)攻擊所造成的危害。目前，全球主要國家都建立了國家級CSIRT，來承擔保護本國網(wǎng)絡(luò)安全的國家責任。而隨著網(wǎng)絡(luò)攻擊和犯罪活動逐漸成為企業(yè)組織發(fā)展中面臨的最嚴重挑戰(zhàn)之一，這意味著企業(yè)也需要不斷改善自身的網(wǎng)絡(luò)安全態(tài)勢。在此背景下，構(gòu)建一個能力強大的企業(yè)級CSIRT意義重大。

企業(yè)級CSIRT的職責

在很多企業(yè)中，會存在三種和計算機安全事件響應(yīng)有關(guān)的工作團隊，分別是CSIRT、SOC和CERT。雖然它們有時可以互換使用，但從各自的職責定位上看，還是存在明顯區(qū)別的，如下圖所示：

網(wǎng)絡(luò)安全運營中心（SOC）是從網(wǎng)絡(luò)運營中心（NOC）演變而來的，主要充當網(wǎng)絡(luò)安全運營工作的中央指揮和控制樞紐角色。它的主要職責是全面保護企業(yè)的數(shù)字化系統(tǒng)安全運營。因此，SOC的職責不僅僅包括事件響應(yīng)。在實際工作中，SOC可以充當網(wǎng)絡(luò)安全事件檢測的前端，用于標記事件，然后再將它們移交到CSIRT以進行解決。

計算機應(yīng)急響應(yīng)小組（CERT）則是主要針對計算機漏洞攻擊，目標是通過收集和傳播有關(guān)安全漏洞的信息來幫助企業(yè)保護數(shù)字化業(yè)務(wù)。許多人會將CERT與CSIRT的概念相互混淆，但是實際上，CERT的主要職責是漏洞情報收集和信息共享，以為其他安全團隊工作賦能。

而企業(yè)級CSIRT團隊通常由一組專職的網(wǎng)絡(luò)安全專家組成，致力于在評估、控制和預(yù)防網(wǎng)絡(luò)安全危機事件中為組織提供一系列服務(wù)和協(xié)助。此外，CSIRT還負責制定網(wǎng)絡(luò)安全事件響應(yīng)計劃，并在安全事件發(fā)生時迅速有效地處理，最終恢復(fù)控制并減輕危害。

參考NIST給出的網(wǎng)絡(luò)安全事件響應(yīng)生命周期定義，企業(yè)級CSIRT的工作任務(wù)主要包括以下四個部分：

1、為事件響應(yīng)做好準備

在此階段中，CSIRT可以為組織事件響應(yīng)提供以下指導(dǎo)：

• 制定并優(yōu)化事件管理流程的策略；
• 定義團隊所服務(wù)的群體（部門），并明確事件處置過程中直接匯報的對象；
• 準備事件處置的技術(shù)工具和資源，包括（但不限于）：1）通訊設(shè)施，如電話、電子郵件、聊天、社交媒體等；2）物理設(shè)施，如專門的工作室；3）硬件和軟件，包括數(shù)字取證工作站和軟件、安全存儲設(shè)備、數(shù)據(jù)包嗅探器、協(xié)議分析器、干凈的操作系統(tǒng)映像和軟件。

2、事件的檢測與分析

事件的偵查與檢測通常會通過多種渠道進行。首先，CSIRT會訪問IDS/IPS、反惡意軟件和日志分析工具，以識別網(wǎng)絡(luò)攻擊的來源。其他威脅情報信息將有助于提高檢測的準確性和效率。

根據(jù)攻擊類型的不同，對安全事件的分析涉及不同的技術(shù)。而事件分析主要可以確定以下三件事：

• 范圍：哪些用戶、系統(tǒng)和服務(wù)受到影響；
• 起源：是什么人因為什么原因引起了事件；
• 危害情況：攻擊使用了哪些攻擊方法或利用了哪些漏洞。

分析完成后，CSIRT團隊需要形成一份完整的事件分析報告。這有助于確定事件處置優(yōu)先次序和規(guī)劃下一步行動。

3、事件處置與恢復(fù)

為了限制攻擊的影響，CSIRT可能會隔離或關(guān)閉受感染的系統(tǒng)。在遏制之后，接下來就是清除惡意軟件。CSIRT可以在此階段使用各種技術(shù)（如刪除惡意文件、禁用受影響的賬戶、清除受感染的設(shè)備和修補漏洞）從IT系統(tǒng)中根除事件來源。恢復(fù)操作包括恢復(fù)受影響的系統(tǒng)、從備份中恢復(fù)數(shù)據(jù)或故障轉(zhuǎn)移到災(zāi)難恢復(fù)站點。

4、事后調(diào)查與溯源取證

開展安全事件的事后（post-incident）調(diào)查活動，有助于未來可能出現(xiàn)的攻擊做出反應(yīng)，并優(yōu)化安全軟件的使用。此外，報告響應(yīng)時間和影響遏制指標對于改進事件響應(yīng)流程至關(guān)重要。CSIRT還應(yīng)該與執(zhí)法部門合作，追蹤攻擊來源，分析證據(jù)，并在必要時提供法律證詞。

企業(yè)級CSIRT構(gòu)建指南

通過制定有效的事件響應(yīng)策略，組織可以大大降低安全事件的損害，同時降低業(yè)務(wù)系統(tǒng)的恢復(fù)成本。企業(yè)在組建CSIRT團隊時，應(yīng)該充分考慮以下幾點：

• 確定需要什么樣的技術(shù)背景、角色和職責。
• 明確一個公司高層領(lǐng)導(dǎo)來監(jiān)督CSIRT的工作，以及與執(zhí)行領(lǐng)導(dǎo)溝通事件和進展。
• 確定適當?shù)腃SIRT組織模型和團隊所需的工作時間。
• 為各種潛在的威脅和事件制定安全計劃、政策和程序。
• 為CSIRT成員提供日常的網(wǎng)絡(luò)安全教育和意識培訓(xùn)。
• 進行全面的數(shù)字化資產(chǎn)發(fā)現(xiàn)和風險評估。
• 識別關(guān)鍵事件響應(yīng)資產(chǎn)，包括數(shù)據(jù)、業(yè)務(wù)流程、技術(shù)和人員。
• 有一個流程完備的資產(chǎn)管理計劃。
• 實施配置管理程序，確保所有軟件都及時修補，任何更新都經(jīng)過測試和應(yīng)用。

一個有效運作的企業(yè)級CSIRT需要擁有不同技能和職責的成員。然而，沒有“放之四海而皆準”的方法。組織必須配備和培訓(xùn)員工以滿足其特定的安全事件響應(yīng)需求。一般而言，企業(yè)級CSIRT團隊的組成成員應(yīng)該包括：

• CSIRT團隊領(lǐng)導(dǎo)。這一執(zhí)行角色通常由首席信息安全官（CISO）擔任，負責與高級管理人員溝通事件，并協(xié)調(diào)申請CSIRT團隊的工作預(yù)算。
• 事件管理者。該角色負責協(xié)調(diào)CSIRT日常工作例會，明確每個CSIRT成員的責任，并確定是否應(yīng)該將事件處置級別升級到高管層。
• CSIRT支持人員。這是一個專業(yè)的技術(shù)角色，包括安全分析師、事件處理人員或取證調(diào)查員等，他們主要負責事件檢測、響應(yīng)和報告活動。
• 跨職能CSIRT角色。為了完成任務(wù)，CSIRT團隊需要將法律、人力資源（HR）和公共關(guān)系（PR）專家納入團隊。

有效的企業(yè)級CSIRT團隊要求工作人員具備多種技能，包括技術(shù)技能和非技術(shù)技能。CSIRT員工需要基本的技術(shù)技能和安全知識來執(zhí)行日常任務(wù)。對安全原則、漏洞、編程和網(wǎng)絡(luò)協(xié)議的一般理解構(gòu)成了這個基線。因此，CSIRT團隊員工應(yīng)該接受以下專業(yè)的技術(shù)訓(xùn)練：

• 識別入侵者的戰(zhàn)術(shù)和手法；
• 利用加密技術(shù)保護CSIRT通信；
• 分析事件，確定如何有效應(yīng)對；
• 維護事故記錄和報告。

此外，由于企業(yè)級的CSIRT工作是基于服務(wù)的。因此，所有CSIRT員工都必須具有良好的溝通能力和協(xié)調(diào)能力。

• 愿意服從指示。CSIRT團隊人員應(yīng)熟悉已定義的CSIRT程序和政策，以及堅持這些程序和政策的重要性。
• 溝通能力。CSIRT團隊成員應(yīng)展示有效的書面和人際溝通技巧，以履行職責，如記錄事件報告或提供技術(shù)簡報。
• 協(xié)作能力。由于CSIRT結(jié)構(gòu)的合作性質(zhì)，CSIRT團隊成員必須是忠誠的，以確保集體士氣、生產(chǎn)力和敏捷性。
• 善于時間管理。CSIRT團隊成員應(yīng)該了解如何使用提供的標準來確定各種CSIRT活動的優(yōu)先級，并確定何時向管理層尋求幫助。
• 分析推理。CSIRT團隊人員需要跳出常規(guī)思維，在潛在的不穩(wěn)定情況下預(yù)測攻擊者技術(shù)并解決問題。
• 壓力管理。網(wǎng)絡(luò)安全事件響應(yīng)的緊迫性和安全人員倦怠的風險需要特別注意管理壓力，以及工作與生活的平衡。
• 持續(xù)學(xué)習(xí)。事件響應(yīng)是一個不斷變化的專業(yè)領(lǐng)域。因此，CSIRT團隊成員必須是求知欲強的人，并通過培訓(xùn)、認證或指導(dǎo)來抓住機會進一步提高他們的技能。

參考鏈接：

https://heimdalsecurity.com/blog/computer-security-incident-response-team-csirt/。