如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之十七：突发事件响应管理

作者：Sender 来源：WaveCN.com 发布日期：2022-04-21 最后修改日期：2022-04-21

　　CIS关键安全控制措施集（CIS Critical Security Controls，CIS Controls）系列介绍文章，本期介绍控制措施17：突发事件响应管理

笔者：国际认证信息系统审计师、软考系统分析师

　　控制措施17：突发事件响应管理

　　包含有9个细项，IG1前3项，IG2前8项，IG3全9项。

　　这9项分别是：

　　17.1 指定人员管理突发事件的处理。企业应指定一个关键人员和至少一个备份人员，负责管理企业的突发事件处理过程。管理人员负责协调和记录意外事件响应和恢复工作的过程。此类人员可以包括企业内部的员工、第三方供应商或两者的混合。如果使用第三方供应商，请指定企业内部人员监督任何第三方工作。每年一次，或当发生可能影响此保障措施的重大企业变革时，进行复审。

　　17.2 建立并维护需要被告知安全突发事件的各方的联系信息。联系人可能包括内部工作人员、第三方供应商、执法部门、网络保险提供商、相关政府机构、信息共享和分析中心(ISAC)合作伙伴或其他利益相关者。每年核实一次联系人，以确保信息是最新的。

　　17.3 建立并维护一套企业流程来汇报安全突发事件。该过程包括报告时间框架、要向之汇报的人员、汇报机制和要汇报的最小信息。确保该流程对所有员工都是公开可用。每年一次，或当发生可能影响此保障措施的重大企业变革时，进行审查。

　　17.4 建立和维护一套针对角色和责任、法规遵从性要求和沟通计划的突发事件响应流程。每年一次，或当发生可能影响此保障措施的重大企业变革时，进行审查。

　　17.5 为突发事件的响应过程分配关键角色和职责，适当时，责任人员范围可包括法务、IT、信息安全、设施、公共关系、人力资源、突发事件响应人员和分析师。每年一次，或当发生可能影响此保障措施的重大企业变革时进行审查。

　　17.6 确定在安全突发事件期间将使用哪些主机制和辅助机制进行通信和报告。这些机制可以包括电话、电子邮件或信件。需要注意的是某些机制，如电子邮件，可能会在安全事件中受到影响。每年一次，或当发生可能影响此保障措施的重大企业变革时进行审查。

　　17.7 进行日常的突发事件反应练习。为参与突发事件响应过程的关键人员计划突发事件场景，并进行定期的突发事件响应练习，以为响应真实的突发事件做好准备。练习需要测试沟通渠道、决策过程和工作流程。至少每年进行一次测试。

　　17.8 进行突发事件后审查。突发事件后审查通过确定经验教训和后续行动来帮助防止事件再次发生。

　　17.9 建立和维护安全突发事件阈值，至少包括区分突发事件和普通事件。例如：异常活动、安全漏洞、安全弱点、数据泄露、隐私突发事件等。每年一次，或当发生可能影响此保障措施的重大企业变革时进行审查。

　　CIS控制措施17的作用是要求企业能为自己建立一套管理程序，用于开发和维护事件响应能力（包括：策略、计划、过程、定义的角色、培训和通信），以能应对、检测和快速响应攻击行为。

　　即使企业没有资源在企业内部实现对突发事件的响应处置，有一套这样计划仍然是至关重要的。这种情况下，计划内容应包括寻求保护和检测的支持来源，寻求帮助的人员名单，以及关于如何向领导层、员工、监管机构、合作伙伴和客户传达信息的沟通计划。

　　在定义了突发事件响应程序后，事件响应团队或第三方应定期进行基于场景的培训，通过一系列针对企业面临的威胁和潜在影响的攻击场景进行微调。这些场景有助于确保企业领导层和技术团队成员了解他们在突发事件响应过程中的角色，以帮助他们为处理事件做好准备。不可避免的是，锻炼和培训场景将识别出计划和实践过程中的差距，以及各种意外的相互依赖关系。但这些都可以在随后更新到计划中，使计划日趋完美。

　　更成熟的企业应能在突发事件响应流程中实现威胁情报收集能力或威胁来源搜索能力。这将帮助团队变得更加积极主动，识别其企业或行业的关键或主要攻击者，监视或搜索他们的TTP。这将有助于集中检测和定义响应程序，以更快地识别和补救。

　　CIS控制措施17中的行动提供了具体的、高优先级的步骤，可以提高企业安全性，并且应该成为任何全面的突发事件和响应计划的一部分。此外，我们推荐以下专门针对此主题的资源：

注册安全测试人员委员会（CREST）网络安全突发事件响应指南：