国家关键信息基础设施应急响应模型

国家关键信息基础设施应急响应模型关于

CyberSecurity

Malaysia•

马来西亚通讯和多媒体部下属技术网络安全机构•

1997

年作为马来西亚计算机应急响应团队（

MyCERT

）开始运作，后来于

2007

年更名为“

CyberSecurity

Malaysia

”19972001200520072018马来西亚通讯和多媒体部NISER

正式注册为“马来西亚网络安全（

CSM

）

”

，

并

隶

属于马来西亚科学技术与

创

新

部

（

MOSTI

）

。2007

年

8

月

20

日

，CSM

由

马

来

西

亚

总

理创办。2018

年

8

月，

CSM

划入马来西亚通讯和多媒体部的管辖范围第

2

页技术CERT/CSIRT数字取证与数据恢复恶意软件研究密码学研究战略和政策研究云和大数据安全双边和多边参与培训和专业认证外展意识计划产业发展计划人流程IEC15408ICTISOIEC27001ISMS审核和认证SCADA/ICS漏洞评估安全管理与最佳实践安全评估机构ISO

产品评估与认证（通用标准）第

3

页马来西亚网络安全战略计划技术过程人图例：保护关键国家信息基础设施（

CNII

）-

对马来西亚电子主权至关重要

CNII

：

对国家至关重要的资产、系统和职能部门，如果瘫痪

或遭到破坏将会对以下方面产生破坏性影响：

国防安全

国家经济实力

国家形象

政府职能

公共健康与安全第

4

页国防和安全交通运输银行与金融卫生服务紧急服务马来西亚的

CNII

愿景

“马来西亚的国家关键信息基础设施应该是安全的、可恢复的，同时还是独立的。安全文化的注入会推

进社会稳定，增进人民福祉，促进财富创造。”国家关键信息基础设施对国家至关重要的资产（实物和虚拟）、系统和职能部门，如果瘫痪或遭到破坏将会对以下方面产生破坏性影响•

国防安全•

国家经济实力•

国家形象•

政府职能•

公共健康与安全能源信息和通讯政府食品与农业水第

5

页对

CNII

的威胁：互相依赖电公用设施

行业

/

服务第

6

页对

CNII

的威胁：

SCADA

系统

SCADA

=

监视控制与数据采集1234参考：

使用

ANSI/ISA-99

标准提升

Tofino

安全公司控制系统的安全性第

7

页对

CNII

的威胁：恐怖分子利用

ICT

和网络空间公开和宣传

数据挖掘

筹款

心理战

恐怖分子

利用

网络

空间招聘与人员

流动

计划和协调共享信息

社交网络第

8

页公开和宣传

攻击

CNII

筹款

心理战恐怖分子利用网络空间招聘与人员

流动

计划和协调共享信息

社交网络犯罪分子可利用网络空间对

CNII

进行网络攻击第

9

页网络威胁形式多种多样

技术相关威胁

黑客威胁入侵欺诈垃圾邮件恶意代码拒绝服务攻击网络内容相关威胁

国家安全威胁网络骚扰儿童色情虚假新闻

/

诽谤第

10

页按行业划分的网络事件第

11

页向

马来西亚网络安全机构

报告的

安全事件811965273478606259129157541,3721,0382,1233,5668,09015,2189,98610636119189915833479624046-2,0008,0006,0004,00010,00012,00016,00014,0001997199819992000200120022003200420052006200720082009201020112012201320142015201620172018前

3

大事件：1.

欺诈2.

入侵3.

网络骚扰事件类别

入侵

入侵企图

垃圾邮件

DOS

网络骚扰

欺诈

内容相关

恶意代码

漏洞报告第

12

页201220132014201520162017总计银行与金融852147618689549225916663信息与通信882592213401725812480政府170749211016492702能源2112171119686交通运输16614391480卫生526633658食品与农业1112131129国防和安全22225619水力0000314紧急服务0100001总计1934216622051139201213701308101220200400600800100014001200180016002000Banking

&

FinanceEmergency

servicesEnergyFood

&

AgricultureGovernmentHealthInformation

&CommunicationNational

Defense

&SecurityTransportationWater85217088214767459218682135

2

6

6401

6

6

14954

92233172395910

1

0

0

0

021

12

17

11

19

61

1

1

2

13

11

16492

110

9265812

2

2

2

5

6142013201420152016

20170

0

0

0

3

1按行业划分的网络事件（

2012-2017

）资料来源：

.my第

13

页问题与挑战跨境管辖权反取证技术预算和资金联合组织

/

有组

织的

网络

犯罪物联网技术1

）法律挑战

通报网络事件不是强

制性的身份识别

/

所有权匿名技术2

）技术挑战3

）监管挑战

互联互通关系第

14

页愿景

马来西亚的

国家关键信息

基础设施

应该是安全、可

恢复的，同时还是独立

的。安全文化的注入会推

进社会稳定，增进人民福

祉，促进财富创造

2006由科技与创新部进行论证2008

实施启动2010

将政策递交至国家安全理事

会2018

年及以后

战略与

NCSP

2.0

发展研究目标

i.

应对

国家关键信息基础设施（

CNII

）

面

临的风险

ii.

确保关键基础设施受到保护，且保护力度

与安全风险

相一致

iii.

明确并制定

全面的计划和一系列

安全

框架国家网络安全政策第

15

页国家网络安全政策

-

政策助力NCSP

国际合作网络安全应急准备

合规与执行

自主

研发CyberSecurity

Malaysia

版权所有©

2010

法律和监管框架

网络安全技术框架安全和能力文化建设有效监管12

3

45

87

6第

16

页政策助力

7

：国家网络危机管理计划通过公共和私人合作与协调，为马来西亚

CNII

制定出缓解和应对网络攻击的策略框架练习目标：1.

检查有效性，找出差距并改进

NCCMP

的沟通程序、响应能力和协调性2.

了解

CNII

机构的网络事件处理机制3.

了解

CNII

机构在网络事件发生期间的沟通。第

17

页对马来西亚组建计算机安全事件响应小组（

CSIRT

）的要求该指令规定，各政府机构应建立自己的

CSIRT

作为管理网络事件的一个举措

1.

A

16.1.5

对信息安全事件的响应

2.

A

16.1.6

从信息安全事件中学习

3.

A

16.1.7

证据收集

2013

年，马来西亚国家安全委员会

（

NSC

）发布了指导方针“

NSC

指令

24

：国家网络危机管理机制。”2013

年，最新版本的

ISMS

标准（

27001

：

2013

（

E

））在

A16.1

段中附加了三个子条款，强调对信息安全事件的响应和评估：第

18

页1.

我们的服务：

CyberDEFDEF“检测网络威胁”“消除网络威胁”“网络威胁的取证分析”

此阶段可迭代，返回“

D

”

或“

E

”

进一步

改进技术第

19

页CyberDEF

（续）取证CyberDEF检测消除典型

CSIRT检测消除第

20

页CyberDEF

（续）

检测识别任何漏洞、缺陷和现有威胁1.

传感器2.

沙箱3.

分析4.

可视化

消除修复漏洞、修补缺陷并应对现有威胁开展网络威胁演习或演练，以测试新型防御

/

预防系统的可行性与灵活性

取证1.

电子取证2.

根本原因分析3.

调查4.

取证准备5.

取证合规第

21

页3.

马来西亚计算机应急响应小组（

MyCERT

）CyberDEF

（续）

技术

部门

由

3

个技术部门组成

：

1.

安全技术服务部门（

STS

）

2.

数字取证部门（

DF

）3为何网络防御

与众不同

?

集中

管制

有效的

集中管制

，因为所有

3

个部门

都归属于网络安全响应服务部门

取证

元素取证元素

包含

在提供的服务中第

22

页计算机安全事件响应小组（

CSIRT

）的管理工作流程通知高层

管理者MYCERTSTSDFC

级

持续监控

检测威胁在

OTRS

中登记案例

分析威胁持续监控检测威胁识别设备

向团队成员进行汇报通知可疑设备所有者的部门主管（

HoD

）

使用实际设备验证威胁

保留内存转储

收集设备

安全分析生成安全分析报告

保留设备

证据分析生成根本原因分析报告根据建议消除威胁

恢复设备

退还设备

检测响应时间

=

0.5

小时

验证响应时间

=

3

小时

抑制响应时间

=

1

小时

保存响应时间

=

16

小时

分析

响应时间

=

5

天

消除响应时间

=

1

小时

报告响应时间

=

1

小时向高层管理者提交报告

第

23

页计算机安全事件响应小组（

CSIRT

）的管理工作流程通知高层

管理者DFC

级

检测威胁在

OTRS

中登记案例

分析威胁MYCERT

持续监控检测威胁

识别设备

STS持续监控

向团队成员进行汇报通知可疑设备所有者的部门主管（

HoD

）

使用实际设备验证威胁

保留内存转储

收集设备

检测响应时间

=

0.5

小时

验证响应时间

=

3

小时

抑制响应时间

=

1

小时第

24

页计算机安全事件响应小组（

CSIRT

）的管理工作流程MYCERTSTSDFC

级

安全分析生成安全分析报告

保留设备

证据分析生成根本原因分析报告根据建议消除威胁

恢复设备

退还设备

保存响应时间

=

16

小时

分析

响应时间

=

5

天

消除响应时间

=

1

小时

报告响应时间

=

1

小时向高层管理者提交报告

第

25

页案例研究：检测

设

备

检

测

到

受

害

者正

在

访

问

恶

意

网

站

“

”

并

下

载

恶意可执行文件第

26

页确定受影响

的设备案例研究：检测（续

...

）第

27

页消除恶意软件案例研究：消除第

28

页发现案例研究：取证

分析

从恶意文件中提取出元数据

和注册表信息，并进行取证

分析第

29

页发现案例研究：取证（续

...

）第

30

页收集•

检测•

标准化•

丰富化•

相关性分析•

静态•

动态•

C2

识别识别•

恶意域名识别•

恶意

IP

识别•

受感染的主机识别阻断•

抑制•

恶意软件清除

/

根

除报告•

统计•

对比•

趋势2.

我们的服务：

CMERP

协同恶意软件根除与修复项目

目标：

减少

马来西亚感染

恶意软件

的数量第

31

页个人电脑

/IP

被清理，并

重新获取和以往一样的

互联网访问权限

将采取适当的清除措施，以确保个人电脑

/IP

不受感染。阻断

——用户处于隔离状态并且互联网访问权

限受限

基于传感器或安全源的

信息

在发生恶意软件攻击

时。基于来自

CMERP

平台的信息来识别用户

身份

用户会被告知个人电脑/IP

已感染恶意软件，信息通过电子邮件通知

/

门

户网站分发CMERP

生态系统检测通知恢复正常

恢复23监控

1

4隔离65第

32

页CMERP

网络基础架构第

33

页试点实施Carberp

参考：

/en-us/wdsi/threats/malware-encyclopedia-description?Name=Win32/Carberp位置

：大学校园活动开始于

：

2018

年

4

月活动结束