CISA网络安全事件应急手册

《Cybersecurity Incident & Vulnerability Response Playbooks》是美国CISA（Cybersecurity and Infrastructure Security Agency，网络安全和基础设施安全局）于2021年11月份发布的指导手册，是基于FCEB（Federal Civilian Executive Branch，负责法律、管理等政府日常事务）信息系统构建的一套标准操作程序，用于规划和执行网络安全漏洞和事件响应活动。

手册中的标准流程和过程作用如下：

· 促进受影响单位之间协调能力和响应能力；

· 启动跨组织行动的跟踪能力；

· 指导分析和发现能力；

· 构建整体防御能力，确保有一致和有效的响应活动。

安全事件应急手册适用于恶意网络活动造成的严重或重大安全事件，漏洞应急手册适用于安全漏洞在野（in the wild）利用的情况。

网络安全事件的具体事件类型包括但不限于：

· 自动化检测系统或传感器报警；

· 相关机构用户的报告；

· 协作方或第三方ICT服务商的报告；

· 组织内部或外部事件报告或异常状况发觉；

· 第三方报告的有关已知基础设施攻击、恶意代码、服务损坏等；

分析团队或防御团队识别到的潜在恶意软件或其他未授权活动

适用于的典型的事件例如：

· 涉及横向移动、凭证访问、数据泄露的事件；

· 涉及一个及以上用户系统的网络入侵；

· 被攻陷的管理员账户。

不适用于非重大安全事件的活动，比如：

· 机密信息泄露或类似事件；

· 非故意行为造成的事故；

· 用户点击钓鱼邮件但没有被攻击成功；

其他对于国家安全、对外关系、经济和公众没有安全威胁的事件。

一、准备阶段

准备阶段的工作是在事件发生前执行的，该阶段的活动包括：

· 文档化和理解事件响应的策略和流程；

· 检测可疑和恶意活动的设备环境；

· 建立员工计划；

· 教育用户关于网络威胁和上报的流程；

· 利用网络威胁情报（CTI）主动识别潜在的恶意活动。

除了上述活动之外，还需要对于系统的运行建立“正常”的定义，即正常运行的系统是什么状态的，以方便