美國國土安全部 （DHS） 網絡安全和基礎設施安全局 （CISA） 當地時間11月16日發布了新的網絡安全事件和漏洞響應手冊，完成了拜登總統網絡安全行政命令（EO） 的一項重要任務。這個手冊為聯邦文職行政部門 （FCEB） 機構提供了一套標準程序，以識別、協調、補救、恢復和跟蹤影響FCEB系統、數據和網絡的事件和漏洞的成功緩解措施。基于從以往事件中汲取的經驗教訓并結合行業最佳實踐，CISA 打算通過標準化共享實踐，將最佳的人員和流程整合在一起以推動協調一致的行動，從而使這個手冊有效提升聯邦政府的網絡安全響應實踐。

　　CISA 發布的手冊為兩部分內容的組合：一部分關于漏洞響應，另一部分關于網絡安全事件響應。手冊包括每類情形響應的決策樹以及每個情形的分步緩解和修復指南。手冊為發生網絡安全漏洞或事件的聯邦文職行政部門 （FCEB） 機構制定了操作程序。這份43頁的文件為由聯邦機構或 CISA 發起的任何響應活動制定了行動方針，并將指導分析和發現的實踐標準化，促進受影響各方之間更好的協調，使 CISA 能夠跟蹤成功的跨組織操作并允許事件編目。

　　CISA 在手冊發布的新聞稿中稱，FCEB 機構應該使用這本手冊來塑造他們的整體防御性網絡行動。這本手冊適用于 FCEB 機構、該機構的承包商或代表該機構的其他組織使用或運營的信息系統。

　　手冊的概述中說，事實證明，所有聯邦政府組織的合作是解決漏洞和事件的有效模式。基于從以往事件中汲取的經驗教訓并結合行業最佳實踐，CISA 打算通過標準化共享實踐，將最佳人員和流程聚集在一起以推動協調行動，從而使這些劇本發展聯邦政府的網絡安全響應實踐。

　　新手冊的大部分內容都側重于聯邦部門為應對未來網絡攻擊所做的準備工作，其中包括監控多種威脅情報來源，包括來自 CISA 的EINSTEIN入侵檢測系統和持續診斷和緩解 （CDM）計劃的警報。

　　如果機構遇到新的漏洞或網絡事件，這本手冊應該有助于加強聯邦安全態勢。CISA之前還發布了一項具有約束力的操作指令（BOD），其中包含需要聯邦機構修復的分類和風險排序漏洞。將手冊和BOD結合起來，可以修復當前已知的漏洞，并為未來的任何漏洞制定行動計劃。

　　安全事件響應流程

　　事件響應過程從事件的聲明開始，如下圖1所示。流程共分為六個階段，依次是準備、檢測分析、遏制、根除與恢復、事件后活動和協調聯動。在此背景下，“聲明”指的是對事件的識別和向CISA和機構網絡防御者的通信，而不是對適用法律和政策中定義的重大事件的正式聲明。后面的部分按IR生命周期的階段組織，更詳細地描述每個步驟。許多活動是迭代的，并且可能持續地發生和發展，直到事件結束。圖1根據這些階段說明了事件響應活動，而附錄B提供了一個伴隨檢查表來跟蹤活動直至完成。

　　圖1 CISA的安全事件響應流程

　　漏洞響應流程

　　標準的漏洞管理程序包括識別、分析、修復和報告漏洞的四個階段。下圖2根據標準漏洞管理程序階段描述了漏洞響應過程。

　　圖2 CISA的漏洞響應流程

　　手冊包含六個附錄，附錄A:關鍵術語 、附錄B:事件響應清單、附錄C:事件響應準備清單、附錄E:漏洞和事件分類、附錄F:報告源頭、附錄G:整個政府的角色和責任，為響應流程的細化落實提供了有力保障。