来源:CISA Cyber Incident Scoring System,https://www.us-cert.gov/CISA-Cyber-Incident-Scoring-System
一、概述
许多事件分类法和分类方案在单个企业的安全操作中心(SOC)范围内提供了很好的指导。然而,这类系统并没有从全国的角度处理事件优先级或风险评估,这可能涉及大量不同的企业。国土安全部(DHS)下属的国家网络安全和通信集成中心(NCCIC)等大型国家网络安全运营中心需要评估风险,同时为不同类型的私营关键基础设施资产所有者和运营商以及美国政府部门和机构提供服务。NCCIC网络事件评分系统(NCISS)旨在提供一种可重复和一致的机制,用于在这种情况下评估事件的风险。
NCISS是基于美国国家标准与技术研究院(NIST)的特别出版物800-61 Rev. 2,计算机安全事件处理指南,并根据具体实体的潜在影响类别进行了调整,使NCCIC人员能够从全国的角度评估风险的严重程度和事件的优先级。NCISS允许两个不同的利益相关者经历类似的事件,根据每个受影响实体的国家级潜在影响,得到显著不同的分数。该系统不打算成为与事件相关的风险的绝对评分。
NCISS使用加权算术平均值来产生从0到100的分数。这个分数驱动NCCIC事件分类和升级流程,并帮助确定有限事件响应资源的优先级和每个事件的必要支持水平。该系统目前的设计目的不是支持多个相关事件可能增加整体风险的情况,例如某个特定部门或地区的多个组织同时受到损害。然而,在专家的干预下,这类事件仍然可以随时升级。
评分系统的输入是离散和分析性评估的混合。虽然每一次尝试都是通过训练和锻炼来尽量减少个人偏见,但不同的得分者在回答某些得分问题时不可避免地会有略微不同的观点。使用几个离散的、可验证的输入减少了来自任何单个分析因素的影响,增加了系统的整体可靠性。
NCISS与网络事件严重程度模式(CISS)一致,因此NCISS中的严重程度水平直接映射到CISS水平。
二、公式
NCISS使用以下加权算术平均值得出0到100之间的分数:
(1)每个类别都有一个权重,每个类别的响应都有一个相关的分数。类别:
功能的影响,
观察到的活动,
观测活动的位置,
actor描述,
信息的影响,
可恢复性,
跨部门的依赖,
潜在的影响。
(2)每个应答得分乘以类别权重,加权得分相加。
(3)计算可能的最小加权分数和,并从之前计算的加权分数和中减去这个数字。将结果除以范围:可能的最大加权分数和和可能的最小加权分数和之间的差。最后,将得到的分数乘以100得到最终结果。
(4)权重和值是特定于单个组织的风险评估过程的。本文档附带一个具有代表性的工具,它演示了本系统中概述的概念的参考实现。
三、优先级
事件得分后,它被分配一个优先级。下面列出的6个级别与NCCIC、DHS和CISS一致,以帮助在讨论事件时提供通用词汇。这种优先级分配推动了NCCIC的紧迫性、预先批准的事件响应产品、报告要求和领导升级建议。通常,事件优先级分配应该遵循与下图类似的模式。
四、多个连接事件
目前,当对一系列关联事件或活动进行评估时,整个活动被赋予与任何关联组件事件的高水位标志相同的优先级。没有考虑到一场可能比任何单个事件产生更大总体影响的活动。为了在评估一个活动时考虑事件聚合,应用以下规则:如果三个或多个组成事件具有相同的高水位标记,则将整个活动的优先级提升到下一个级别。
例如,如果一个活动有三个“低(绿色)”和两个“基线——次要(蓝色)”的事件组成,那么整个战役将被设置为一个“中等(黄色)”的优先级。
五、类别描述
5.1功能的影响
功能影响是对组织实际的、持续的影响的度量。在许多情况下(例如,扫描和探测或成功防御的攻击),很少或没有受到事件的影响。
5.2观察活动
观察到的活动描述了对网络上的威胁行动者活动的了解。这些选项是根据国家情报主任办公室(ODNI)发布的指导规范的,并由情报部门使用。尽管ODNI指导文档更详细,但是观察到的活动被分为以下几个一般类别:准备、参与、存在和效果。
准备行动是为确立目标、意图和战略而采取的行动;识别潜在目标和攻击载体;确定资源需求;和发展能力。
参与行为是在获取目标之前对特定目标或目标集采取的行动,但目的是获取对受害者物理或虚拟计算机或信息系统、网络和数据存储的访问。
存在是指威胁行为人在进入目标物理或虚拟计算机或信息系统后所采取的一系列行动。这些操作为威胁行为人建立和维持对主机物理或虚拟计算机或信息系统、网络或数据存储执行预期操作或随意操作的条件。
影响是威胁行为人对受害者的物理或虚拟计算机或信息系统、网络和数据存储的行为的结果。
5.3观测活动位置
观测活动的位置描述了在网络中检测到的观测活动的位置。观察到的活动的选项基于普渡大学企业参考体系结构的修改版本。为这个类别选择了一组灵活的定义,因为每个受影响的实体可能对哪些系统对其企业至关重要有不同的看法。在事件发生过程中,观察到的活动位置可能会发生变化,应在获得新信息时予以更新。
0级-不成功
现有的网络防御击退了所有观察到的活动。
一级-商业非军事区
在业务网络的非军事区(DMZ)观察到活动。这些系统通常是不受信任的,并且被设计成暴露在Internet上。例如公司的Web服务器或电子邮件服务器。
二级-业务网络
在受害者的业务或公司网络中观察到活动。这些系统将是公司用户工作站、应用程序服务器和其他非核心管理系统。
三级-企业网络管理
在管理用户工作站、active directory服务器或其他信任存储等业务网络管理系统中观察到活动。
四级-关键系统DMZ
在存在于业务网络和关键系统网络之间的DMZ中观察到活动。这些系统可能在内部面对服务,如SharePoint站点、金融系统或中继“跳”箱到更关键的系统。
第5级-关键系统管理
在高级关键系统管理中,如工业控制系统中的人机接口(HMIs),观察到活动。
六级-关键系统
在操作关键过程的关键系统中观察到活动,如工业控制系统环境中的可编程逻辑控制器。
第7级-安全系统
在确保环境安全运行的关键安全系统中观察到活动。关键安全系统的一个例子是灭火系统。
未知的
观察到活动,但网络段无法识别。
5.4actor描述
事件响应中最大的挑战之一是将事件归因于特定的参与者集,并了解该参与者的技能水平和意图。NCCIC可以利用其自身的知识分析体系以及其他任务伙伴的知识分析体系来确定参与者在特定目标系统(如工业控制环境)方面的能力。
5.5信息的影响
除了功能上的影响外,事件还可能影响各个系统存储或处理的信息的保密性和完整性。信息影响类别用于描述信息丢失、损坏或损坏的类型。
5.6可恢复性
可恢复性是指从事故中恢复所需要的资源范围。在许多情况下,一个实体的内部计算机网络防御人员将能够在没有外部支持的情况下处理一个事件,从而导致可恢复性分类的规则。一个常规恢复的例子是一封被邮件服务器自动阻止的钓鱼邮件。在可恢复性扩展的情况下,可能需要多机构、多组织的响应工作队等重要工作来进行恢复。例如,如果一个实体请求NCCIC的支持,从本质上来说,该事件是一个扩展的恢复。最后,从某些类型的事件(如重大的机密性或隐私损害)中恢复可能是不可行的。
常规的
利用现有资源,恢复时间是可以预测的。
补充
恢复的时间可以通过额外的资源来预测。
扩展
复苏的时间是不可预测的;可能需要额外的资源和外来援助。
不可恢复的
从事件中恢复是不可能的(例如,敏感数据被窃取并公开发布,展开调查)。
5.7跨部门的依赖
跨部门依赖性是一个权重因素,它是根据国土安全部关键基础设施分析办公室(OCIA)进行的跨部门分析确定的。
5.8潜在影响
潜在影响类别估计了受影响实体的服务全部损失所造成的整个国家影响。其他现有的网络安全事故风险评级标准缺乏对网络所有者和运营商以及NCCIC负责保护的美国政府部门和机构的独特和多样化的关键基础设施资产的考虑。在两个独立的利益相关者设施发生类似事件,可能对国家一级的运营产生显著不同的影响。因此,在全国范围内,每个事件的得分都与它所带来的风险有关。
潜在影响值是根据有关实体的已知统计数据,尽可能提前计算的。可以使用的一些统计数据示例包括:
组织内的授权用户数量,
报告年度收入或年度预算总额
服务的客户群或人口规模。
在计算单个实体的潜在影响值时,要考虑几个因素。适用于公用事业公司、医疗保健公司或金融服务机构的某些因素不适用于联邦政府机构,因此每种实体的加权因素将有所不同。在开发NCISS时,考虑了许多可能的因素,以便将其包括在潜在影响的计算中。评分系统的这一特定方面是继续研究和评价的主题。
最后,由于固有的困难占所有所涉及的各种情况下确定真正的潜在影响,尤其是这个值应该被视为一个最佳猜测估计事件响应优先级的目的,而不是全面的说明一个实体对国民福利的重要性。
结论
NCISS旨在为在国家范围内客观评估网络安全事件风险提供一个可重复和一致的机制。自2014年以来,NCCIC的工业控制系统网络应急响应小组(ICS-CERT)一直在定期使用该系统的一个试点。NCCIC的美国计算机应急准备小组正在采用NCISS的日常事件报告流程。该系统的建立,使NCCIC能够通过可重复的过程,对日常和高风险网络安全事件的国家级风险进行客观评估,从而更好地确定优先级,更及时地响应NCCIC成员和任务伙伴的需求。
