近日,国家互联网信息办公室发布了关于《网络安全事件报告管理办法(征求意见稿)》(简称《办法》),再次明确了运营者在发生网络安全事件后的上报要求。
不同于以往更多强调事前防御的政策法规,《办法》对于安全事件发生后的监管单位、上报时效、报告要求、责任追究做了全方位详细界定,对运营者面对恶性网络安全事件的 “事中应战能力” 提出了更高要求。
(一) “1小时” 制度,重大安全事件直达国家部门
《办法》第4条规定,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。
按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。并对不同类型的运营者其上报渠道与时效,均做了明确要求。
(二)“事中” 报告有要求,上下文要能说清写明
《办法》第5、6、7条规定,运营者在报告事件时,需要按照网络安全事件信息报告要求进行上报。
其中特别强调了事件潜在危害、初步原因分析、调查所需线索等信息的填报,并明确要求运营者在最多24h内,提供可能的攻击者信息、攻击路径、存在漏洞等信息。
(三)“运营者”承担主体责任,迟报、漏报、谎报、瞒报将追责
《办法》第8、9、10、11条规定,为运营者提供服务的组织或个人、社会组织和个人、运营者都是上报安全事件的相关方。
其中运营者承担主体责任,未按《办法》规定上报安全事件者将面临一系列法律法规的处罚,涉嫌犯罪可能被追究刑事责任,同时《办法》也规定已按相关程序处置的有关责任人,可视情况免除或从轻追究。
(四)事件调查的挑战凸显,数据、工具、人员要求更高
在网络安全形势越来越严峻的当下,《办法》的出台势在必行,但是在真实对抗环境下,攻击者往往刻意隐藏或者擦除攻击痕迹,给事件调查分析带来了极大挑战。
**首先是数据的挑战。**数据是调查的基础,在海量的网络数据中有针对性地采集必要数据,尤其在操作系统本身的行为数据,才能在攻击者采用加密流量、清理操作记录等手段最坏情况下,仍然具备还原事件真相的能力。
**其次是工具的挑战。**工具是调查效率的保障,攻击发生后的12个小时是调查的黄金时间,工具需要能快速调取告警发生前后的上下文,并提供便捷的数据搜索匹配分析能力,同时还要能将数据中的关键证据和线索提取出来,从而将告警、线索、事件形成有机整体。
**最后是人员的挑战。**经过训练的安全人员,具备清晰的溯源调查思路和深厚的安全领域知识,才能在事件发生后,分析当前事件场景下的各种可能。
青藤从2014年成立以来,对于主机层面的安全事件检测和调查有深厚技术积累。其自主研发的青藤猎鹰产品,可以从系统及内核采集主机关键行为数据,一键对告警前后主机的上下文行为进行线索分析,极大地提高了调查效率,自投入市场以来,在多次国家级攻防演练活动中,发挥了关键作用。
未来,青藤会继续在各类安全事件调查专题领域深耕细作,为更多客户的网络安全保驾护航。
关于作者:
Hunter:青藤全端产品事业部-主机安全事件调查及狩猎专家,云安全一线作战指挥员、战斗员。
-完-
热门动态推荐
