《Cybersecurity Incident & Vulnerability Response Playbooks》是美国CISA（Cybersecurity and Infrastructure Security Agency，网络安全和基础设施安全局）于2021年11月份发布的指导手册，是基于FCEB（Federal Civilian Executive Branch，负责法律、管理等政府日常事务）信息系统构建的一套标准操作程序，用于规划和执行网络安全漏洞和事件响应活动。

手册中的标准流程和过程作用如下：

· 促进受影响单位之间协调能力和响应能力；

· 启动跨组织行动的跟踪能力；

· 指导分析和发现能力；

· 构建整体防御能力，确保有一致和有效的响应活动。

安全事件应急手册适用于恶意网络活动造成的严重或重大安全事件，漏洞应急手册适用于安全漏洞在野（in the wild）利用的情况。

网络安全事件的具体事件类型包括但不限于：

· 自动化检测系统或传感器报警；

· 相关机构用户的报告；

· 协作方或第三方ICT服务商的报告；

· 组织内部或外部事件报告或异常状况发觉；

· 第三方报告的有关已知基础设施攻击、恶意代码、服务损坏等；

分析团队或防御团队识别到的潜在恶意软件或其他未授权活动

适用于的典型的事件例如：

· 涉及横向移动、凭证访问、数据泄露的事件；

· 涉及一个及以上用户系统的网络入侵；

· 被攻陷的管理员账户。

不适用于非重大安全事件的活动，比如：

· 机密信息泄露或类似事件；

· 非故意行为造成的事故；

· 用户点击钓鱼邮件但没有被攻击成功；

其他对于国家安全、对外关系、经济和公众没有安全威胁的事件。

一、准备阶段

准备阶段的工作是在事件发生前执行的，该阶段的活动包括：

· 文档化和理解事件响应的策略和流程；

· 检测可疑和恶意活动的设备环境；

· 建立员工计划；

· 教育用户关于网络威胁和上报的流程；

· 利用网络威胁情报（CTI）主动识别潜在的恶意活动。

除了上述活动之外，还需要对于系统的运行建立“正常”的定义，即正常运行的系统是什么状态的，以方便发生异常时识别入侵行为。因此准备活动还会包括：

· 建立处理复杂事件的基础设施，包括加密通信和带外通信；

· 制定和测试遏制和根除的行动方案；

· 建立收集数字取证和其他数据或证据的手段。

这些活动的目标是确保架构和系统具有恢复能力，能够在受到攻击的状态下维持关键业务的正常运行。

策略和流程

事件响应计划文档化包括联合领导（或管理）的流程和过程，指定流程和过程中的资源配备和人员角色、岗位，设定多部门协作过程中的互通、互动和信息共享机制。

设备储备

通过部署和实施监测技术和设备，让系统具备安全监测和监控能力，比如防病毒软件（AV）、端点监测和响应（EDR）、数据丢失防护（DLP）、入侵监测和防护（IDS/IPS）、主机/应用/云日志记录、网络流量/数据包捕获（PCAP）、安全信息和事件管理系统（SIEM）等等。

训练有素的人员

确保应急响应计划的相关人员经过培训和演练，能够随时准备应对网络安全事件。因此，需要对所有人力资源进行培训，培训资源可能来自内部、上级机构/部门的可用能力、第三方组织。同时定期进行恢复演习，以测试组织的可持续性计划和故障转移/备份/恢复系统的有效性，确保这些系统按计划运行。

网络威胁情报

网络威胁情报可包括威胁状况报告、威胁行动者简介和意图、组织目标和活动，以及更具体的威胁指标和行动方案。

将网络威胁指标和综合威胁信息实时同步至SIEM，可以结合其他防御功能来识别和阻止已知的恶意行为。

威胁指标可能包括：

· 原子指标，如域名和 IP 地址等可检测攻击方的基础设施和工具信息；

· 计算指标，如恶意软件特征的Yara规则和正则表达式，可检测已知的恶意代码或活动迹象；

· 模式和行为，如可用于检测攻击方的战术、技术和程序 (TTP) 的分析方法。

在上述的威胁指标中，有经验的对手或者攻击方的原子指标会经常变化，比如更换IP地址池或计算设备（比如僵尸网络、C2服务器等），因此原子指标存在有效期，甚至有效期很短，另外还有的对手或攻击方本身长期潜伏在受害者的资产中，很难获取其原子指标。因此，主要的威胁情报指标应该以TTP为主，即对方的战术、技术和程序：

战术（Tactics）：指的是攻击者为达成其目标而采取的策略或方法。这可能包括攻击的时间、目标选择、以及如何利用受害者的心理和社会工程学手段等。

技术（Techniques）：涉及攻击者使用的具体技术手段，包括利用软件漏洞、恶意软件的传播方式、数据加密和隐藏通信等。

程序（Procedures）：指的是攻击者执行攻击的具体步骤，如入侵系统的详细过程、数据泄露的方法、以及如何维持对受害系统的控制等。

了解攻击者的TTP对于构架你有效的网络安全防御至关重要，因而网络威胁情报共享是应急响应管理的准备阶段最重要的工作。

主动防御

主动防御指的是通过蜜罐、蜜网或沙盒诱导或捕获攻击者的攻击行为和攻击痕迹，或者利用业务层面的虚假数据或信息探测入侵活动的迹象。

沟通和保障

在事件应急发生前，需要构建起企业、单位或机关与相关部门的沟通、联络机制（包括方法、渠道、设备），且有统一的、一致的事件分类分级标准。

安全运营（OPSEC）

在攻击期间，需要采取措施确保事件响应和防御系统和流程的正常运转，尤其是在遭受破坏性攻击的情况下（比如勒索病毒攻击或者DDos攻击）。这些措施包括：

· 将SOC（安全运营中心）系统与业务系统分开部署和管理；

· 通过带外手段管理传感器和安全设备；

· 通过电话等非互联网手段（比如电子邮件）进行联络和通报；

· 适用加固的工作站进行监控和响应活动；

· 确保防御系统具有稳健的备份和恢复流程。

另外，要降低应急响应活动被攻击者探测和发觉的概率，避免打草惊蛇，比如通过邮件联络，或者提交恶意样本至公共分析服务平台等。

技术基础设施

基础设施包括具备遏制、复制、分析、重组和记录受攻击主机的能力，具备电子取证和取证数据收集的能力，具备恶意软件处理的手段以及用于恶意软件分析的工具和沙盒工具，且能够为事件相关数据和保存建立安全存储（即只有事件响应人员才能访问）。

事件管理中需要获取的相关信息包括：

· 异常或可以活动，如受影响的系统、应用程序和用户；

· 活动类型；

· 威胁的群体；

· 对手采用的TTP；

· 影响描述。

检测活动

利用威胁情报创建规则和签名，用于识别攻击事件相关的活动，并确定其影响范围，以及查找事件活动相关信息，以方便确定事件类型，如恶意软件攻击、系统受损、会话劫持、数据损坏、数据外泄等等。

二、检测和分析阶段

检测和分析的首要目标是确定是否发生了网络安全事件，如果发生，则需要进一步确定受到威胁或攻击的类型、范围和程度。因此，检测和分析阶段需要采用恰当的流程、技术和基线信息，监控、检测异常和可疑活动并发出警报，将潜在威胁和攻击与正常的授权操作区分开来。

检测和分析活动

1、上报事件：根据应急响应预案上报事件；

2、确定调查范围：利用现有信息确定攻击活动的范围；

3、收集和保存数据：方便对事件进行核实、分类、优先级设定、缓解、报告和归因，收集包括外部、内部和终端设备；

4、进行技术分析

根据已知的系统正常基线评估异常活动并初步确定根本原因，并记录攻击者的TTP信息，确定后续响应活动的优先级。这个阶段的分析是通过环境的数据广度发现一部分攻击链。

①关联事件并记录时间表

将响应活动中获取的的日志进行存储和分析，将攻击者的行为从时间和活动维度进行关联。

· 最初的攻击载体是什么（即攻击者是如何进入网络的？）

· 攻击者是如何进入环境的？

· 攻击者是否利用漏洞获取访问权限或特权？

· 攻击者是如何维持指挥和控制能力的？

· 攻击者是否在网络或设备上有持久性访问能力？

· 持久性访问能力的方法或形式是什么（比如后门、Webshell、合法凭证、远程工具等）？

· 哪些账户被入侵，权限级别如何（如域管理员、本地管理员、用户账户等）？

· 攻击者侦察使用的是什么方法？（可检测和确定可能的攻击意图）。

· 是否怀疑存在横向移动？横向移动是如何进行的（如RDP、网络共享、恶意软件等）？

· 数据是否外泄，如果是，是什么类型的数据，通过什么机制外泄的？

②识别异常活动

评估和剖析受影响系统和网络，发现攻击行为的细微活动，尤其是利用正常的基线对比。

③确定根本原因和有利条件

尝试找出事件的根本原因，收集可用于进一步搜索的威胁信息，为后续响应工作提供信息。识别出攻击者在当前环境内能够继续访问和运行的约束条件，为后续的响应策略和活动提供参考。

④收集事件指标

确定并记录可用于网络关联分析的事件指标。

⑤与常见的TTP做对比分析

将识别的TTP内容与ATT&CK模型进行对比，分析TTP是如何对应到攻击生命周期中的。

TTP描述的是为什么（试图实现的技术目标，即战术）、做什么（实现目标的机制，即技术）和怎么做（实现特定结果的方式，即程序）。

⑥验证和完善调查范围

利用现有信息和响应活动的结果，确定任何其他可能受影响的系统、设备和账户，根据这些信息确定入侵指标（IOC）和TTP，可以为检测工具提供反馈。

第三方技术支持

受攻击机构利用网络安全应急预案向上级主管部门或第三方技术支撑单位寻求技术支持。

调整工具

利用已经获得的攻击方的TTP信息，响应团队通过修改工具和防御策略延缓攻击方的攻击速度和攻击范围，提供攻击行为被发现的可能性。其重点在于预防和检测战术上，比如恶意执行、持久化、凭证访问、横向移动和2C（命令与控制），以最大化降低信息外泄或运营影响的概率。

三、遏制阶段

遏制阶段的目的是通过消除攻击者的访问权限来防止进一步的破坏，并减少攻击事件产生的直接影响。因此攻击的情境不同，遏制的策略和手段也不同，比如针对无文件的恶意代码的抑制手段不同于抑制勒索病毒。

考虑因素

在评估遏制行动方案时，应当考虑：

· 对任务运行、服务可用性的额外不利影响；

· 遏制过程的持续时间、所需资源和遏制效果（如完全遏制、部分遏制、程度未知）；

· 遏制操作对收集、保存、保护和记录攻击证据的影响。

同时，在选择遏制手段时应当了解和评估攻击者的能力和潜在反应，避免打草惊蛇。

遏制活动

遏制活动主要是指临时的缓解活动，以隔离、阻止攻击者的进一步行动，主要的遏制活动包括：

· 网络隔离；

· 更新防火墙策略；

· 更新访问控制列表，阻止未经授权的访问；

· 关闭服务器的特定端口和服务；

· 更改系统管理员的密码、凭证或取消访问权限；

· 将攻击者引导至蜜罐或蜜网，监控攻击者的行为，同时收集攻击证据。

如果在遏制阶段发现新的攻击迹象，则需要返回检测和分析阶段进行技术分析，同时遏制阶段的主要工作还包括对于攻击证据的电子取证，以备后续的执法调查。

四、根除和恢复阶段

根除和恢复阶段的目标是消除事件的入侵痕迹（如删除恶意代码），减少漏洞和漏洞利用条件，并恢复系统的正常运行。在进行根除和恢复操作之前，需要确保所有在环境中的持久化手段都已经被查明，攻击者的行为已经得到充分遏制，并且取证也完整。

执行根除计划

根除行动是消除所有入侵的证据和入侵的痕迹，防止攻击者继续在环境中存在，防止攻击者在环境中仍然留有后门等持久化的手段或工具。

根除手段包括：

· 修复所有受感染的IT环境，如云、系统、网络；

· 重新构建系统；

· 重新构建硬件环境；

· 用纯净版本替换受损文件；

· 安装补丁；

· 重置被入侵的账户和密码。

如果根除计划执行后没有发现新的入侵迹象，即可进入恢复系统阶段。

恢复系统和服务

这个阶段主要内容是重建系统和网络，恢复系统和业务的正常运行，并验证恢复计划是否成功执行，恢复过程中不存在任何攻击者的迹象。

五、事件后活动

事件后的活动是记录事件、撰写报告，向相关领导单位进行情况通报，强化环境防止类似事件的发生，并吸取经验教训，改进对未来应急事件的响应和处置。

这个阶段的活动包括调整监控系统和监测机制、撰写事件报告、经验教训总结。

其中，分析经验教训的内容包括基础设施问题、组织决策问题、流程问题、角色/职责/权限问题、技能培训问题、工具/系统问题。

作者：裴伟伟
2024年6月11日
洞源实验室