利用 NIST SP 800-61 为下一次第三方安全事件做好准备

更多的第三方意味着网络犯罪分子有更多的攻击途径来攻击您的组织。以下是《NIST 计算机安全事件处理指南》如何帮助您为下一次攻击做好准备。

Mitratech 员工
Mitratech 员工 11月18,2021 6 分钟阅读

贵组织的第三方生态系统可能比以往任何时候都要庞大,这增加了其面对勒索软件、凭证和数据暴露、技术中断、拒绝服务攻击和其他威胁的脆弱性。如果您阅读过最新的漏洞相关头条新闻,就不会对攻击您的合作伙伴、供应商和服务提供商会对您的声誉和底线造成破坏性影响感到惊讶。幸运的是,美国国家标准与技术研究院(NIST)就如何处理影响企业及其第三方的网络攻击提供了实用指南。

将 NIST SP 800-61 事件处理框架应用于第三方风险

NIST 的《计算机安全事件处理指南》(SP 800-61)规定了安全团队在事件处理计划中应考虑的四个基本阶段。以下是每个阶段的摘要,以及有关第三方风险管理的补充说明。请务必参阅 NIST 出版物,以获取完整、详细的指导。

准备工作

  • 沟通计划:从建立联系人名单、沟通计划和升级程序开始。确保将关键第三方纳入沟通计划,并收集有关其紧急联系人和升级路径的信息。这也将有助于第 2 阶段:检测和分析。
  • 设施:建立内部作战室和安全储存设施。
  • 技术:确保响应团队能够使用事件分析硬件(笔记本电脑、服务器、备份设备)和软件(例如,数据包嗅探器、协议分析仪、取证软件、问题跟踪以及用于恢复和复原的干净安装的图像)。
  • 文档:记录事件分析资源,包括端口列表、技术(如使用中的操作系统和应用程序)、网络图、预期网络活动基线等。
  • 预防: 实施主机、网络和恶意软件安全软件。进行内部和第三方风险评估,建立安全意识培训计划。

检测和分析

  • 攻击载体: 考虑到攻击者到达贵组织的所有途径(如网络应用程序攻击、网络钓鱼、冒充、不当使用、设备丢失/被盗等)。在此过程中,请务必映射您与第三方和第四方的连接和关系。
  • 事件迹象: 寻找未来潜在事件的前兆和已发生事件的迹象。这就是第三方风险监控服务的作用所在,可用于分析公共和私人威胁情报来源
  • 事件分析: 通过调查上一步所述前兆和指标的准确性,尝试确定事件是否已
    事件分析:通过调查上一步所述前兆和指标的准确性,尝试确定事件是否已实际发生。NIST SP 800-61 提出了几项建议,使分析工作更轻松、更有效。
  • 事件记录: 实施问题跟踪系统,记录每个事件的所有相关信息。第三方风险管理平台通常会为供应商事件跟踪提供文档管理功能。
  • 事件优先级: 由于不可避免的资源限制,NIST 建议根据事件的功能影响、信息影响和可恢复性确定事件的优先级。在前端对供应商进行分层监控和评估,可帮助您在事件发生时做好适当的应对准备。

遏制、根除和恢复

  • 遏制:这是指安全团队尝试 "止血",将事件的影响降至最低。遏制策略因事件类型而异,可能涉及暂停违规用户账户、阻止网络流量、隔离系统、将攻击者重定向到沙盒以及其他行动。决定行动方案需要权衡多个标准,包括潜在损害、保存证据的需要、服务可用性、可用资源等。
  • 收集证据:证据收集是解决事件的必要条件,同时也是为后续法律程序提供信息的关键。在证据收集和记录保存要求方面获得法律意见非常重要,以确保证据可被法庭采纳。
  • 识别攻击者:虽然 NIST SP 800-61 强调需要重点关注遏制、根除和恢复,但该指南确实指出了几种可能识别攻击主机的方法。这些方法包括验证攻击主机的 IP 地址、搜索引擎研究、事件数据库以及监控攻击者的通信渠道。第三方风险监控解决方案可以协助这些工作。
  • 根除和恢复:根除是指删除恶意软件、禁用被入侵账户和减少被利用漏洞的过程,而恢复是指恢复系统正常运行的过程。第三方风险管理提供商通常会提供补救服务,协助解决安全问题。

事故后活动

  • 总结经验教训:召开情况通报会,回顾事件、处理方式以及今后如何改进事件处理。由此产生的报告可用于内部沟通和培训,也可用于对记录在案的流程进行更新。
  • 利用事件数据:事件数量、处理事件所花费的时间、客观和主观事件评估等数据可用于多种目的,包括确定系统安全弱点和证明额外投资的合理性。第三方风险管理的一个应用就是确定额外的控制措施,以便在供应商风险评估中进行询问。
  • 制定证据保留政策: 最后一步是根据法律案件中的潜在用途、更广泛的数据保留政策和成本限制,确定事件证据的保留政策。第三方风险管理平台可帮助存储、标记和编目与特定第三方相关的证据和文档。

在事件处理策略中考虑第三方因素

准备好在事件处理计划中考虑供应商和供货商了吗?首先考虑两个简单的问题:

  1. 您的网络是否连接了第三方组织?它们可能是恶意软件的感染源吗?
  1. 是否有任何第三方在其环境中拥有您的数据?如果勒索软件感染并劫持了他们的数据存储和备份,您会受到影响吗?

如果您对这两个问题的回答都是 "是",那么在事件处理流程中考虑第三方风险就至关重要--如上述 NIST 800-61 摘要所述。

同时,确保在第三方风险评估中纳入有关事件处理流程的问题。在寻找和选择供应商时,从广泛的问题入手。例如,潜在供应商是否有事件响应计划?然后,在后续评估中加入有关其具体攻击预防、检测和响应策略的问题。固有风险评估应在入职前发现任何明显的弱点。

最后,通过持续的外部监控对定期评估进行补充,以便潜在的第三方风险和事件对组织造成影响之前将其识别出来。

确保应对第三方漏洞的复原力和可用性

我们越来越依赖于其他公司的产品和服务,但在很多情况下,我们并没有调整我们的事件处理控制和流程,以包括与第三方事件和违规有关的 "万一 "情景。至少,您的第三方风险管理实践应侧重于在面临恶意软件感染、数据暴露、非法访问或供应链受损(如SolarWinds和其他公司)时保持复原力和可用性。

有关此主题的更多指导,请观看我的网络研讨会点播版《如何为下一次第三方攻击做好准备》,或查看Prevalent 的第三方事件响应服务,该服务可帮助您快速发现、评估和补救供应商漏洞带来的风险。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。