關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急響應(yīng)模型

1、關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急響應(yīng)模型技術(shù)創(chuàng)新，變革未來關(guān)于CyberSecurity Malaysia馬來西亞通訊和多媒體部下屬技術(shù)網(wǎng)絡(luò)安全機(jī)構(gòu)1997年作為馬來西亞計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)（MyCERT）開始運(yùn)作，后來于2007年更名為“CyberSecurity Malaysia”19972001200520072018馬來西亞通訊和多媒體部N I S E R 正式注冊為 “ 馬來西亞網(wǎng)絡(luò)安全（CSM）”，并隸屬 于馬來西亞科學(xué)技術(shù) 與創(chuàng)新部（MOSTI）。 2007 年 8 月 20 日 ， CSM由馬來西亞總理 創(chuàng)辦。2018年8月，CSM劃 入馬來西亞通訊和多 媒體部的管轄范圍第2頁人流程技術(shù)CE

2、RT/CSIRT數(shù)字取證與數(shù)據(jù)恢復(fù)ISOIEC 15408 ICT產(chǎn)品評(píng)估與認(rèn)證（通用標(biāo)準(zhǔn)）SCADA/ICS漏洞評(píng)估安全評(píng)估機(jī)構(gòu)安全管理與最佳實(shí)踐惡意軟件研究ISO IEC 27001 ISMS審核和認(rèn)證培訓(xùn)和專業(yè)認(rèn)證外展意識(shí)計(jì)劃產(chǎn)業(yè)發(fā)展計(jì)劃戰(zhàn)略和政策研究雙邊和多邊參與密碼學(xué)研究第3頁馬來西亞網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃技術(shù)過程人圖例：云和大數(shù)據(jù)安全CNII：對(duì)國家至關(guān)重要的資產(chǎn)、系統(tǒng)和職能部門，如果癱瘓或遭到破壞將會(huì)對(duì)以下方面產(chǎn)生破壞性影響：國防安全國家經(jīng)濟(jì)實(shí)力 國家形象政府職能公共健康與安全保護(hù)關(guān)鍵國家信息基礎(chǔ)設(shè)施（CNII）- 對(duì)馬來西亞電子主權(quán)至關(guān)重要第4頁馬來西亞的CNII國防和安全交通運(yùn)輸銀

3、行與金融衛(wèi)生服務(wù)緊急服務(wù)愿景“馬來西亞的國家關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)該是安全的、可恢復(fù)的，同時(shí)還是獨(dú)立的。安全文化的注入會(huì)推 進(jìn)社會(huì)穩(wěn)定，增進(jìn)人民福祉，促進(jìn)財(cái)富創(chuàng)造?！眹谊P(guān)鍵信息基礎(chǔ)設(shè)施對(duì)國家至關(guān)重要的資產(chǎn)（實(shí)物 和虛擬）、系統(tǒng)和職能部門， 如果癱瘓或遭到破壞將會(huì)對(duì)以 下方面產(chǎn)生破壞性影響國防安全國家經(jīng)濟(jì)實(shí)力國家形象政府職能公共健康與安全能源信息和通訊政府食品與農(nóng)業(yè)水第5頁對(duì)CNII的威脅：互相依賴電公用設(shè)施行業(yè)/服務(wù)第6頁對(duì)CNII的威脅：SCADA系統(tǒng)SCADA = 監(jiān)視控制與數(shù)據(jù)采集1234參考：使用ANSI/ISA-99標(biāo)準(zhǔn)提升Tofino安全公司控制系統(tǒng)的安全性第7頁對(duì)CNII的威脅：恐

4、怖分子利用ICT和網(wǎng)絡(luò)空間恐怖分子 利用網(wǎng)絡(luò) 空間心理戰(zhàn)公開和宣傳數(shù)據(jù)挖掘籌款招聘與人員 流動(dòng)社交網(wǎng)絡(luò)共享信息計(jì)劃和協(xié)調(diào)第8頁恐怖分子利用網(wǎng)絡(luò)空間心理戰(zhàn)公開和宣傳攻擊CNII籌款招聘與人員 流動(dòng)社交網(wǎng)絡(luò)共享信息計(jì)劃和協(xié)調(diào)第9頁犯罪分子可利用網(wǎng)絡(luò)空間對(duì)CNII進(jìn)行網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)威脅形式多種多樣技術(shù)相關(guān)威脅網(wǎng)絡(luò)內(nèi)容相關(guān)威脅黑客威脅入侵欺詐垃圾郵件惡意代碼拒絕服務(wù)攻擊國家安全威脅網(wǎng)絡(luò)騷擾兒童色情虛假新聞/誹謗第10頁按行業(yè)劃分的網(wǎng)絡(luò)事件第11頁向馬來西亞網(wǎng)絡(luò)安全機(jī)構(gòu)報(bào)告的安全事件811965273478606259129157541,3721,0382,1233,5668,09015,2189,986

5、106361191899158334796240462,0004,0006,0008,00010,00012,00014,00016,000-1997199819992000200120022003200420052006200720082009201020112012201320142015201620172018前3大事件：欺詐入侵3.網(wǎng)絡(luò)騷擾事件類別第12頁入侵入侵企圖垃圾郵件DOS網(wǎng)絡(luò)騷擾欺詐內(nèi)容相關(guān)惡意代碼漏洞報(bào)告02004006008001000Banking & FinanceEmergency servicesEnergyFood & AgricultureGovernment

6、HealthInformation & CommunicationNational Defense & SecurityTransportationWater8521708827459220001868180016001476140012002139544092216492 1101725910 1 0 0 0 021 12 17 11 19 61 1 1 2 13 11925 2 6 6 33 65812 2 2 2 5 61 6 6 14 39 140 0 0 0 3 1201220132014201520162017按行業(yè)劃分的網(wǎng)絡(luò)事件（2012-2017）資料來源：.my2012201

7、32014201520162017總計(jì)銀行與金融852147618689549225916663信息與通信882592213401725812480政府170749211016492702能源2112171119686交通運(yùn)輸16614391480衛(wèi)生526633658食品與農(nóng)業(yè)1112131129國防和安全22225619水力0000314緊急服務(wù)0100001總計(jì)19342166220511391370130810122第13頁問題與挑戰(zhàn)跨境管轄權(quán)反取證技術(shù)聯(lián)合組織/有組織的網(wǎng)絡(luò)犯罪預(yù)算和資金物聯(lián)網(wǎng)技術(shù)互聯(lián)互通關(guān)系通報(bào)網(wǎng)絡(luò)事件不是強(qiáng)制性的1）法律挑戰(zhàn)身份識(shí)別/所有權(quán)匿名技術(shù)第14頁2）技術(shù)

8、挑戰(zhàn)3）監(jiān)管挑戰(zhàn)目標(biāo)馬來西亞的國家關(guān)鍵信息 基礎(chǔ)設(shè)施應(yīng)該是安全、可 恢復(fù)的，同時(shí)還是獨(dú)立 的。安全文化的注入會(huì)推 進(jìn)社會(huì)穩(wěn)定，增進(jìn)人民福 祉，促進(jìn)財(cái)富創(chuàng)造愿景由科技與創(chuàng)新部進(jìn)行 論證2006實(shí)施啟動(dòng)2008將政策遞交至國家安全理事會(huì)2010戰(zhàn)略與NCSP 2.0發(fā)展研究2018年及以后第15頁應(yīng)對(duì)國家關(guān)鍵信息基礎(chǔ)設(shè)施（CNII）面 臨的風(fēng)險(xiǎn)確保關(guān)鍵基礎(chǔ)設(shè)施受到保護(hù)，且保護(hù)力度 與安全風(fēng)險(xiǎn)相一致明確并制定全面的計(jì)劃和一系列安全框架國家網(wǎng)絡(luò)安全政策國家網(wǎng)絡(luò)安全政策 - 政策助力CyberSecurity Malaysia版權(quán)所有 2010國際合作NCSP網(wǎng)絡(luò)安全應(yīng)急準(zhǔn)備合規(guī)與執(zhí)行自主研發(fā)安全和能力

9、文化建設(shè)網(wǎng)絡(luò)安全技術(shù)框架法律和監(jiān)管框架有效監(jiān)管12345678第16頁政策助力7：國家網(wǎng)絡(luò)危機(jī)管理計(jì)劃通過公共和私人合作與協(xié)調(diào)，為馬來西亞CNII制定出緩解和應(yīng)對(duì)網(wǎng)絡(luò)攻擊的策略框架練習(xí)目標(biāo)：檢查有效性，找出差距并改進(jìn)NCCMP的溝通程序、響應(yīng)能力和協(xié)調(diào)性了解CNII機(jī)構(gòu)的網(wǎng)絡(luò)事件處理機(jī)制了解CNII機(jī)構(gòu)在網(wǎng)絡(luò)事件發(fā)生期間的溝通。第17頁對(duì)馬來西亞組建計(jì)算機(jī)安全事件響應(yīng)小組（CSIRT）的要求A 16.1.5 對(duì)信息安全事件的響應(yīng)A 16.1.6 從信息安全事件中學(xué)習(xí) 3.A 16.1.7 證據(jù)收集該指令規(guī)定，各政府機(jī)構(gòu)應(yīng)建立自己的 CSIRT作為管理網(wǎng)絡(luò)事件的一個(gè)舉措2013年，馬來西亞國家安

10、全委員會(huì)（NSC）發(fā)布了指導(dǎo)方針“NSC指令 24：國家網(wǎng)絡(luò)危機(jī)管理機(jī)制?！?013年，最新版本的ISMS標(biāo)準(zhǔn)（27001：2013（E）在A16.1段中附加了三個(gè)子 條款，強(qiáng)調(diào)對(duì)信息安全事件的響應(yīng)和評(píng)估：第18頁1.我們的服務(wù)：CyberDEFE F第19頁D “檢測網(wǎng)絡(luò)威脅”“消除網(wǎng)絡(luò)威脅”“網(wǎng)絡(luò)威脅的取證分析”此階段可迭代，返回 “D” 或“E” 進(jìn)一步 改進(jìn)技術(shù)CyberDEF（續(xù)）取證CyberDEF檢測 消除典型CSIRT檢測 消除第20頁CyberDEF（續(xù)）識(shí)別任何漏洞、缺陷和現(xiàn)有 威脅傳感器沙箱分析可視化檢測修復(fù)漏洞、修補(bǔ)缺陷并應(yīng)對(duì) 現(xiàn)有威脅開展網(wǎng)絡(luò)威脅演習(xí)或演練， 以測試新

11、型防御/預(yù)防系統(tǒng)的 可行性與靈活性消除電子取證根本原因分析調(diào)查取證準(zhǔn)備取證合規(guī)取證第21頁CyberDEF（續(xù)）為何網(wǎng)絡(luò)防御與眾不同?由 3個(gè)技術(shù)部門組成 ：安全技術(shù)服務(wù)部門（STS）數(shù)字取證部門（DF）馬來西亞計(jì)算機(jī)應(yīng)急響應(yīng)小組（MyCERT）有效的集中管制，因?yàn)樗?個(gè)部門都?xì)w屬于網(wǎng)絡(luò)安全響應(yīng)服務(wù)部門取證元素包含在提供的服務(wù)中技術(shù)部門3集中 管制取證元素第22頁計(jì)算機(jī)安全事件響應(yīng)小組（CSIRT）的管理工作流程分析威脅向團(tuán)隊(duì)成員進(jìn)行匯報(bào)收集設(shè)備通知高層 管理者M(jìn)YCERTSTSDFC級(jí)生成根本原因分析報(bào)告生成安全分析報(bào)告退還設(shè)備向高層管理者提交報(bào)告在OTRS中登記案例檢測威脅持續(xù)監(jiān)控識(shí)別設(shè)

12、備檢測威脅持續(xù)監(jiān)控保留內(nèi)存轉(zhuǎn)儲(chǔ)使用實(shí)際設(shè)備驗(yàn)證威脅通知可疑設(shè)備所有者的部門主管（HoD）安全分析證據(jù)分析保留設(shè)備恢復(fù)設(shè)備根據(jù)建議消除威脅檢測響應(yīng)時(shí)間 = 0.5 小時(shí)驗(yàn)證響應(yīng)時(shí)間 = 3 小時(shí)抑制響應(yīng)時(shí)間 = 1 小時(shí)保存響應(yīng)時(shí)間 = 16 小時(shí)分析響應(yīng)時(shí)間 = 5 天消除響應(yīng)時(shí)間 = 1 小時(shí)報(bào)告響應(yīng)時(shí)間 = 1 小時(shí)第23頁計(jì)算機(jī)安全事件響應(yīng)小組（CSIRT）的管理工作流程分析威脅向團(tuán)隊(duì)成員進(jìn)行匯報(bào)收集設(shè)備通知高層 管理者M(jìn)YCERTSTSDFC級(jí)在OTRS中登記案例檢測威脅持續(xù)監(jiān)控識(shí)別設(shè)備檢測威脅持續(xù)監(jiān)控保留內(nèi)存轉(zhuǎn)儲(chǔ)使用實(shí)際設(shè)備驗(yàn)證威脅通知可疑設(shè)備所有者的部門主管（HoD）檢測響應(yīng)時(shí)間

13、= 0.5 小時(shí)驗(yàn)證響應(yīng)時(shí)間 = 3 小時(shí)抑制響應(yīng)時(shí)間 = 1 小時(shí)第24頁計(jì)算機(jī)安全事件響應(yīng)小組（CSIRT）的管理工作流程MYCERTSTSDFC級(jí)生成根本原因分析報(bào)告生成安全分析報(bào)告退還設(shè)備向高層管理者提交報(bào)告安全分析證據(jù)分析保留設(shè)備恢復(fù)設(shè)備根據(jù)建議消除威脅保存響應(yīng)時(shí)間 = 16 小時(shí)分析響應(yīng)時(shí)間 = 5 天消除響應(yīng)時(shí)間 = 1 小時(shí)報(bào)告響應(yīng)時(shí)間 = 1 小時(shí)第25頁設(shè)備檢測到受害者正在訪問惡意 網(wǎng)站“sl-”并下 載惡意可執(zhí)行文件案例研究：檢測第26頁確定受影響 的設(shè)備案例研究：檢測（續(xù).）第27頁消除惡意軟件第28頁案例研究：消除分析從惡意文件中提取出元數(shù)據(jù) 和注冊表信息，并進(jìn)行取證

14、 分析發(fā)現(xiàn)第29頁案例研究：取證發(fā)現(xiàn)案例研究：取證（續(xù).）第30頁收集檢測標(biāo)準(zhǔn)化豐富化相關(guān)性分析靜態(tài)動(dòng)態(tài)C2識(shí)別識(shí)別惡意域名識(shí)別惡意IP 識(shí)別受感染的主機(jī)識(shí)別阻斷抑制惡意軟件清除/根 除報(bào)告統(tǒng)計(jì)對(duì)比趨勢2.我們的服務(wù)：CMERP 協(xié)同惡意軟件根除與修復(fù)項(xiàng)目目標(biāo)：減少馬來西亞感染惡意軟件的數(shù)量第31頁將采取適當(dāng)?shù)那宄胧?，以確保個(gè)人電腦/IP 不受感染。個(gè)人電腦/IP被清理，并 重新獲取和以往一樣的 互聯(lián)網(wǎng)訪問權(quán)限阻斷用戶處于隔離 狀態(tài)并且互聯(lián)網(wǎng)訪問權(quán) 限受限基于傳感器或安全源的信息用戶會(huì)被告知個(gè)人電腦/IP已感染惡意軟件，信 息通過電子郵件通知/門 戶網(wǎng)站分發(fā)在發(fā)生惡意軟件攻擊 時(shí)?；趤碜訡

15、MERP 平臺(tái)的信息來識(shí)別用戶 身份CMERP生態(tài)系統(tǒng)檢測恢復(fù)正常通知恢復(fù)第32頁監(jiān)控1234隔離65CMERP網(wǎng)絡(luò)基礎(chǔ)架構(gòu)第33頁試點(diǎn)實(shí)施Carberp參考：/en-us/wdsi/threats/malware-encyclopedia-description?Name=Win32/Carberp位置活動(dòng)開始于 活動(dòng)結(jié)束于：大學(xué)校園：2018年4月：2018年5月惡意軟件名稱：Carberp 惡意軟件嚴(yán)重性 ：高惡意軟件描述：此類木馬可以從應(yīng)用程序中竊取網(wǎng)上銀行憑證以及用戶名和密碼。該惡意軟件還具有下載其它惡意軟件，并通過屏幕截圖或記錄鍵盤敲擊來竊取敏感信息的能力。第34頁試點(diǎn)結(jié)果活動(dòng)管理通過對(duì)惡意軟件分析識(shí)別出受損的跡象（IOC）信息通過匹配過程重定向所有C2通信在阻斷過程中隔離受感染的主機(jī)420-261412108主機(jī)計(jì)數(shù)Carberp惡意軟件感染InfectedCleaned第35頁試點(diǎn)結(jié)果結(jié)果分析：一些C