一、主要内容概览
2025年4月3日美国国家标准与技术研究院发布。该文件旨在协助组织根据NIST《网络安全框架2.0》(CSF2.0)的描述,将网络安全事件响应建议和注意事项纳入其网络安全风险管理活动中。这有助于组织做好事件响应的准备工作,降低事件发生的频率和影响,并提高其事件检测、响应和恢复的效率和效果。该文件探讨了事件响应的生命周期,并基于CSF2.0核心功能提出了一种新生命周期模型,根据新模型将事件响应建议和注意事项的社区配置文件分为两张表,其结构与CSF2.0框架核心(功能、类别、子类别)保持一致,并把所有关键安全要素在事件响应方面的优先级定为低、中、高。
文件链接:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf
二、网安罗盘简评
(一)CSF2.0回顾
CSF2.0由NIST于2024年2月发布,旨在为组织提供一种补充性的网络安全风险管理工具。它由框架核心(CSF Core)、配置文件(CSF Profile)和实施层级(CSF Tier)三部分内容构成。其中框架核心功能包括六项,即:治理(Govern, GV)、识别(Identify, ID)、保护(Protect, PR)、检测(Detect, DE)、响应(Respond, RS)和恢复(Recover, RC)。
图1 CSF2.0框架核心功能(图源:美国国家标准与技术研究院NIST)
(二)本次发布与CSF2.0的关联衔接
本次发布的《网络安全风险管理中的事件响应建议和注意事项:CSF 2.0 社区配置文件》(NIST SP 800-61r3)是CSF2.0的社区配置文件(由特定社区或行业组织开发的定制化管理工具,针对特定场景或行业提供详细指导)。其采用CSF2.0的功能、类别和子类别来组织其关于事件响应的建议、注意事项及其他信息,为组织提供了一个共同的语言框架,帮助组织更好地理解和应用CSF2.0,提升网络安全风险管理能力。
该版本取代了之前的《计算机安全事件处理指南》(NIST SP 800-61r2),更新了事件响应生命周期模型,强调了持续改进的重要性,并通过与CSF2.0的整合,提供了更为灵活、动态的事件响应方法,以更好地应对当前的网络安全威胁,提高事件响应的效率。
(三)本次发布内容要点
NIST SP 800-61r3主要内容包括以下四个方面:
一是基于CSF2.0六大核心功能的事件响应新生命周期模型。该模型由下至上分为准备工作(Preparation)、经验教训(Lessons Learned)及事件响应(Incident Response)三层。最底层的准备工作模型包括治理、识别和保护功能,它们并非事件响应本身的一部分,而是更广泛的网络安全风险管理活动,为事件响应提供支持。中间层经验教训模型通过对所有功能中经验教训的分析、优先排序,用于指导改进完善功能模块。最顶层的事件响模型包括检测、响应和恢复功能,它们帮助组织发现、管理、优先处理、遏制网络安全事件,并从中恢复,同时进行事件报告、通知和其他与事件相关的沟通。
图2 基于CSF2.0功能的事件响应新生命周期模型(图源:美国国家标准与技术研究院NIST)
二是事件响应的内外部角色和职责。模型列举了四类角色(包括但不限于)及其职责。领导团队:负责监督事件响应、分配资金、做出决策等;事件处理人员(在职员工、外包商等):负责核实事件是否发生,收集和分析数据,确定事件响应活动的优先级,并采取适当措施降低损失、查找原因并恢复运营;技术专业人员(网络安全、隐私保护、系统等技术领域的架构师、工程师和管理员以及软件开发人员等):参与事件响应和恢复工作;法律专家:负责审查事件响应计划、政策和程序,以确保其符合适用的法律法规。
三是事件响应制度、流程和程序。组织应当制定管理其网络安全事件响应的制度,虽然制度因组织而异,但大多数事件响应制度都需包含以下关键要素:管理承诺声明;制度的目的和目标;制度的适用范围;事件、网络安全事件等相关术语的定义;各角色的职责、权限和责任;确定事件优先级、启动恢复流程、维护以及其他关键操作的指南;绩效衡量标准等。流程和程序应基于事件响应制度,虽然无法为每种可能情况制定详细的程序,但组织应考虑为最常见的事件和威胁类型制定响应程序,还应制定紧急情况下可能急需的特别重要流程和维护程序。
四是事件响应建议和注意事项。根据新生命周期模型将事件响应建议和注意事项的社区配置文件分为两张表,准备工作和经验教训(Preparation and Lessons Learned)、事件响应(Incident Response)。每张表的结构与CSF2.0框架核心(功能、类别、子类别)保持一致,并把所有安全要素在事件响应方面的优先级定为低(Low)、中(Medium)、高(High)。两张表的最后一列均为事件响应的建议和注意事项等,包括建议(Recommendation)、注意事项(Consideration)和其他注释(Note),并分别用字母R、C、N来表示,例如“GV.OC-03.R1”是CSF子类别GV.OC-03的第一条建议。这些建议、注意事项等是对CSF2.0已有文档和在线资源的补充。
(四)影响简析
SP 800-61r3是NIST发布的技术性指南建议,本身不具有法律强制性,但在特定场景中,可能会被列为技术要求,从而具有一定的实践指导性和约束力。
就其影响来看,主要包括以下三个方面:一是对组织的影响。帮助组织做好事件响应的准备工作,降低事件发生的频率和影响,并提高其事件检测、响应和恢复的效率和效果。二是对事件响应生命周期的影响。SP 800-61r3 更新了事件响应生命周期模型,反映了当前事件响应的动态性,并强调了从所有活动中吸取经验教训并不断改进的必要性。三是对行业标准的影响。SP 800-61r3作为NIST CSF 2.0的社区配置文件,为组织提供了一个共同的语言框架,帮助其更好地理解和实施事件响应,推动了事件响应的标准化和最佳实践的普及。