美国国土安全部 （DHS） 网络安全和基础设施安全局 （CISA） 当地时间11月16日发布了新的网络安全事件和漏洞响应手册，完成了拜登总统网络安全行政命令（EO） 的一项重要任务。这个手册为联邦文职行政部门 （FCEB） 机构提供了一套标准程序，以识别、协调、补救、恢复和跟踪影响FCEB系统、数据和网络的事件和漏洞的成功缓解措施。基于从以往事件中汲取的经验教训并结合行业最佳实践，CISA 打算通过标准化共享实践，将最佳的人员和流程整合在一起以推动协调一致的行动，从而使这个手册有效提升联邦政府的网络安全响应实践。

　　CISA 发布的手册为两部分内容的组合：一部分关于漏洞响应，另一部分关于网络安全事件响应。手册包括每类情形响应的决策树以及每个情形的分步缓解和修复指南。手册为发生网络安全漏洞或事件的联邦文职行政部门 （FCEB） 机构制定了操作程序。这份43页的文件为由联邦机构或 CISA 发起的任何响应活动制定了行动方针，并将指导分析和发现的实践标准化，促进受影响各方之间更好的协调，使 CISA 能够跟踪成功的跨组织操作并允许事件编目。

　　CISA 在手册发布的新闻稿中称，FCEB 机构应该使用这本手册来塑造他们的整体防御性网络行动。这本手册适用于 FCEB 机构、该机构的承包商或代表该机构的其他组织使用或运营的信息系统。

　　手册的概述中说，事实证明，所有联邦政府组织的合作是解决漏洞和事件的有效模式。基于从以往事件中汲取的经验教训并结合行业最佳实践，CISA 打算通过标准化共享实践，将最佳人员和流程聚集在一起以推动协调行动，从而使这些剧本发展联邦政府的网络安全响应实践。

　　新手册的大部分内容都侧重于联邦部门为应对未来网络攻击所做的准备工作，其中包括监控多种威胁情报来源，包括来自 CISA 的EINSTEIN入侵检测系统和持续诊断和缓解 （CDM）计划的警报。

　　如果机构遇到新的漏洞或网络事件，这本手册应该有助于加强联邦安全态势。CISA之前还发布了一项具有约束力的操作指令（BOD），其中包含需要联邦机构修复的分类和风险排序漏洞。将手册和BOD结合起来，可以修复当前已知的漏洞，并为未来的任何漏洞制定行动计划。

　　安全事件响应流程

　　事件响应过程从事件的声明开始，如下图1所示。流程共分为六个阶段，依次是准备、检测分析、遏制、根除与恢复、事件后活动和协调联动。在此背景下，“声明”指的是对事件的识别和向CISA和机构网络防御者的通信，而不是对适用法律和政策中定义的重大事件的正式声明。后面的部分按IR生命周期的阶段组织，更详细地描述每个步骤。许多活动是迭代的，并且可能持续地发生和发展，直到事件结束。图1根据这些阶段说明了事件响应活动，而附录B提供了一个伴随检查表来跟踪活动直至完成。

　　图1 CISA的安全事件响应流程

　　漏洞响应流程

　　标准的漏洞管理程序包括识别、分析、修复和报告漏洞的四个阶段。下图2根据标准漏洞管理程序阶段描述了漏洞响应过程。

　　图2 CISA的漏洞响应流程

　　手册包含六个附录，附录A:关键术语 、附录B:事件响应清单、附录C:事件响应准备清单、附录E:漏洞和事件分类、附录F:报告源头、附录G:整个政府的角色和责任，为响应流程的细化落实提供了有力保障。