2024年2月，NIST發(fā)布其網(wǎng)絡(luò)安全框架（CSF 2.0）的更新指南。CSF 2.0的目標是闡明網(wǎng)絡(luò)安全風險的高級分類法，并指導企業(yè)如何改進其網(wǎng)絡(luò)安全計劃、應(yīng)對網(wǎng)絡(luò)攻擊的措施以及攻擊后的效果。NIST的最新指南《網(wǎng)絡(luò)安全風險管理的事件響應(yīng)建議和注意事項》于2025年4月發(fā)布，將CSF 2.0的通用指南細化為更具體的行動項目，供企業(yè)改進其網(wǎng)絡(luò)安全響應(yīng)。

了解事件響應(yīng)生命周期

最新指南提出了企業(yè)在規(guī)劃事件響應(yīng)時應(yīng)考慮的六項原則，以確保企業(yè)能夠識別、實施有效的應(yīng)急方案，并隨時準備應(yīng)對網(wǎng)絡(luò)威脅。NIST對這些原則的定義如下：

• 管理：建立、傳達和監(jiān)控組織的網(wǎng)絡(luò)安全風險管理策略、期望和政策。
• 識別：識別和管理可能導致網(wǎng)絡(luò)安全事件的資產(chǎn)、漏洞和風險。
• 保護：實施保護資產(chǎn)和數(shù)據(jù)的安全措施，以管理組織的網(wǎng)絡(luò)安全風險。
• 檢測：主動發(fā)現(xiàn)并分析可能的網(wǎng)絡(luò)安全攻擊和危害。
• 響應(yīng)：管理、確定優(yōu)先級、控制和消除事件，同時向相關(guān)方報告和傳達事件。
• 恢復：恢復受網(wǎng)絡(luò)安全事件影響的資產(chǎn)和運營。

總的來說，這六個步驟旨在強調(diào)組織網(wǎng)絡(luò)安全協(xié)議的持續(xù)改進，以確保它們能夠隨著威脅的演變和變化而調(diào)整和增強其事件響應(yīng)和網(wǎng)絡(luò)安全風險管理實踐。

定義事件響應(yīng)管理的角色和職責

NIST報告強調(diào)，網(wǎng)絡(luò)安全響應(yīng)團隊的規(guī)模需要比以往更加廣泛。此前，NIST推薦并支持“事件處理程序”模式，即公司內(nèi)部設(shè)立專門的團隊來管理和響應(yīng)網(wǎng)絡(luò)安全威脅。鑒于網(wǎng)絡(luò)系統(tǒng)的復雜性及其面臨的威脅，NIST建議擴大公司參與網(wǎng)絡(luò)安全事件響應(yīng)流程的員工范圍，例如將公司領(lǐng)導層、法務(wù)團隊、技術(shù)專業(yè)人員、公共關(guān)系團隊和人力資源部門納入其中。NIST還建議事件處理程序團隊采用“責任共擔”模式，將網(wǎng)絡(luò)安全運營部分或全部外包給資源充足、專業(yè)的第三方，并在合同中明確約定其職責。NIST認為，這些措施將有助于公司更有效地應(yīng)對和解決網(wǎng)絡(luò)安全事件，從而更好地保護其數(shù)據(jù)和資產(chǎn)。

重寫事件響應(yīng)政策、流程和程序并使用劇本

NIST報告概述了企業(yè)在組織內(nèi)部制定有效的事件響應(yīng)政策、流程和程序時需要考慮的基本要素和建議。對于事件響應(yīng)政策，NIST建議該政策應(yīng)包含以下關(guān)鍵要素：管理承諾聲明、政策的目的和目標、政策范圍、事件和事故的定義、角色和職責、確定事故優(yōu)先級的指南以及績效衡量標準。

流程和程序應(yīng)與這些政策緊密結(jié)合，并應(yīng)記錄應(yīng)對網(wǎng)絡(luò)安全事件（尤其是最常見的事件和威脅類型）所需的技術(shù)和操作知識。NIST建議企業(yè)考慮將這些程序格式化為行動手冊，例如美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局 (CSA) 的《網(wǎng)絡(luò)安全事件和漏洞響應(yīng)行動手冊》，以記錄其流程和程序，以便在整個組織內(nèi)輕松復制和保持一致性。

NIST 報告最后提供了一個示例模板，公司可以使用它來幫助實施 NIST 的建議并使其網(wǎng)絡(luò)安全實踐適應(yīng)CSF 2.0。