國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急響應(yīng)模型關(guān)于

CyberSecurity

Malaysia?

馬來(lái)西亞通訊和多媒體部下屬技術(shù)網(wǎng)絡(luò)安全機(jī)構(gòu)?

1997

年作為馬來(lái)西亞計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)（

MyCERT

）開(kāi)始運(yùn)作，后來(lái)于

2007

年更名為“

CyberSecurity

Malaysia

”19972001200520072018馬來(lái)西亞通訊和多媒體部NISER

正式注冊(cè)為“馬來(lái)西亞網(wǎng)絡(luò)安全（

CSM

）

”

，

并

隸

屬于馬來(lái)西亞科學(xué)技術(shù)與

創(chuàng)

新

部

（

MOSTI

）

。2007

年

8

月

20

日

，CSM

由

馬

來(lái)

西

亞

總

理創(chuàng)辦。2018

年

8

月，

CSM

劃入馬來(lái)西亞通訊和多媒體部的管轄范圍第

2

頁(yè)技術(shù)CERT/CSIRT數(shù)字取證與數(shù)據(jù)恢復(fù)惡意軟件研究密碼學(xué)研究戰(zhàn)略和政策研究云和大數(shù)據(jù)安全雙邊和多邊參與培訓(xùn)和專(zhuān)業(yè)認(rèn)證外展意識(shí)計(jì)劃產(chǎn)業(yè)發(fā)展計(jì)劃人流程IEC15408ICTISOIEC27001ISMS審核和認(rèn)證SCADA/ICS漏洞評(píng)估安全管理與最佳實(shí)踐安全評(píng)估機(jī)構(gòu)ISO

產(chǎn)品評(píng)估與認(rèn)證（通用標(biāo)準(zhǔn)）第

3

頁(yè)馬來(lái)西亞網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃技術(shù)過(guò)程人圖例：保護(hù)關(guān)鍵國(guó)家信息基礎(chǔ)設(shè)施（

CNII

）-

對(duì)馬來(lái)西亞電子主權(quán)至關(guān)重要

CNII

：

對(duì)國(guó)家至關(guān)重要的資產(chǎn)、系統(tǒng)和職能部門(mén)，如果癱瘓

或遭到破壞將會(huì)對(duì)以下方面產(chǎn)生破壞性影響：

國(guó)防安全

國(guó)家經(jīng)濟(jì)實(shí)力

國(guó)家形象

政府職能

公共健康與安全第

4

頁(yè)國(guó)防和安全交通運(yùn)輸銀行與金融衛(wèi)生服務(wù)緊急服務(wù)馬來(lái)西亞的

CNII

愿景

“馬來(lái)西亞的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)該是安全的、可恢復(fù)的，同時(shí)還是獨(dú)立的。安全文化的注入會(huì)推

進(jìn)社會(huì)穩(wěn)定，增進(jìn)人民福祉，促進(jìn)財(cái)富創(chuàng)造?！眹?guó)家關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)國(guó)家至關(guān)重要的資產(chǎn)（實(shí)物和虛擬）、系統(tǒng)和職能部門(mén)，如果癱瘓或遭到破壞將會(huì)對(duì)以下方面產(chǎn)生破壞性影響?

國(guó)防安全?

國(guó)家經(jīng)濟(jì)實(shí)力?

國(guó)家形象?

政府職能?

公共健康與安全能源信息和通訊政府食品與農(nóng)業(yè)水第

5

頁(yè)對(duì)

CNII

的威脅：互相依賴(lài)電公用設(shè)施

行業(yè)

/

服務(wù)第

6

頁(yè)對(duì)

CNII

的威脅：

SCADA

系統(tǒng)

SCADA

=

監(jiān)視控制與數(shù)據(jù)采集1234參考：

使用

ANSI/ISA-99

標(biāo)準(zhǔn)提升

Tofino

安全公司控制系統(tǒng)的安全性第

7

頁(yè)對(duì)

CNII

的威脅：恐怖分子利用

ICT

和網(wǎng)絡(luò)空間公開(kāi)和宣傳

數(shù)據(jù)挖掘

籌款

心理戰(zhàn)

恐怖分子

利用

網(wǎng)絡(luò)

空間招聘與人員

流動(dòng)

計(jì)劃和協(xié)調(diào)共享信息

社交網(wǎng)絡(luò)第

8

頁(yè)公開(kāi)和宣傳

攻擊

CNII

籌款

心理戰(zhàn)恐怖分子利用網(wǎng)絡(luò)空間招聘與人員

流動(dòng)

計(jì)劃和協(xié)調(diào)共享信息

社交網(wǎng)絡(luò)犯罪分子可利用網(wǎng)絡(luò)空間對(duì)

CNII

進(jìn)行網(wǎng)絡(luò)攻擊第

9

頁(yè)網(wǎng)絡(luò)威脅形式多種多樣

技術(shù)相關(guān)威脅

黑客威脅入侵欺詐垃圾郵件惡意代碼拒絕服務(wù)攻擊網(wǎng)絡(luò)內(nèi)容相關(guān)威脅

國(guó)家安全威脅網(wǎng)絡(luò)騷擾兒童色情虛假新聞

/

誹謗第

10

頁(yè)按行業(yè)劃分的網(wǎng)絡(luò)事件第

11

頁(yè)向

馬來(lái)西亞網(wǎng)絡(luò)安全機(jī)構(gòu)

報(bào)告的

安全事件811965273478606259129157541,3721,0382,1233,5668,09015,2189,98610636119189915833479624046-2,0008,0006,0004,00010,00012,00016,00014,0001997199819992000200120022003200420052006200720082009201020112012201320142015201620172018前

3

大事件：1.

欺詐2.

入侵3.

網(wǎng)絡(luò)騷擾事件類(lèi)別

入侵

入侵企圖

垃圾郵件

DOS

網(wǎng)絡(luò)騷擾

欺詐

內(nèi)容相關(guān)

惡意代碼

漏洞報(bào)告第

12

頁(yè)201220132014201520162017總計(jì)銀行與金融852147618689549225916663信息與通信882592213401725812480政府170749211016492702能源2112171119686交通運(yùn)輸16614391480衛(wèi)生526633658食品與農(nóng)業(yè)1112131129國(guó)防和安全22225619水力0000314緊急服務(wù)0100001總計(jì)1934216622051139201213701308101220200400600800100014001200180016002000Banking

&

FinanceEmergency

servicesEnergyFood

&

AgricultureGovernmentHealthInformation

&CommunicationNational

Defense

&SecurityTransportationWater85217088214767459218682135

2

6

6401

6

6

14954

92233172395910

1

0

0

0

021

12

17

11

19

61

1

1

2

13

11

16492

110

9265812

2

2

2

5

6142013201420152016

20170

0

0

0

3

1按行業(yè)劃分的網(wǎng)絡(luò)事件（

2012-2017

）資料來(lái)源：

.my第

13

頁(yè)問(wèn)題與挑戰(zhàn)跨境管轄權(quán)反取證技術(shù)預(yù)算和資金聯(lián)合組織

/

有組

織的

網(wǎng)絡(luò)

犯罪物聯(lián)網(wǎng)技術(shù)1

）法律挑戰(zhàn)

通報(bào)網(wǎng)絡(luò)事件不是強(qiáng)

制性的身份識(shí)別

/

所有權(quán)匿名技術(shù)2

）技術(shù)挑戰(zhàn)3

）監(jiān)管挑戰(zhàn)

互聯(lián)互通關(guān)系第

14

頁(yè)愿景

馬來(lái)西亞的

國(guó)家關(guān)鍵信息

基礎(chǔ)設(shè)施

應(yīng)該是安全、可

恢復(fù)的，同時(shí)還是獨(dú)立

的。安全文化的注入會(huì)推

進(jìn)社會(huì)穩(wěn)定，增進(jìn)人民福

祉，促進(jìn)財(cái)富創(chuàng)造

2006由科技與創(chuàng)新部進(jìn)行論證2008

實(shí)施啟動(dòng)2010

將政策遞交至國(guó)家安全理事

會(huì)2018

年及以后

戰(zhàn)略與

NCSP

2.0

發(fā)展研究目標(biāo)

i.

應(yīng)對(duì)

國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施（

CNII

）

面

臨的風(fēng)險(xiǎn)

ii.

確保關(guān)鍵基礎(chǔ)設(shè)施受到保護(hù)，且保護(hù)力度

與安全風(fēng)險(xiǎn)

相一致

iii.

明確并制定

全面的計(jì)劃和一系列

安全

框架?chē)?guó)家網(wǎng)絡(luò)安全政策第

15

頁(yè)國(guó)家網(wǎng)絡(luò)安全政策

-

政策助力NCSP

國(guó)際合作網(wǎng)絡(luò)安全應(yīng)急準(zhǔn)備

合規(guī)與執(zhí)行

自主

研發(fā)CyberSecurity

Malaysia

版權(quán)所有?

2010

法律和監(jiān)管框架

網(wǎng)絡(luò)安全技術(shù)框架安全和能力文化建設(shè)有效監(jiān)管12

3

45

87

6第

16

頁(yè)政策助力

7

：國(guó)家網(wǎng)絡(luò)危機(jī)管理計(jì)劃通過(guò)公共和私人合作與協(xié)調(diào)，為馬來(lái)西亞

CNII

制定出緩解和應(yīng)對(duì)網(wǎng)絡(luò)攻擊的策略框架練習(xí)目標(biāo)：1.

檢查有效性，找出差距并改進(jìn)

NCCMP

的溝通程序、響應(yīng)能力和協(xié)調(diào)性2.

了解

CNII

機(jī)構(gòu)的網(wǎng)絡(luò)事件處理機(jī)制3.

了解

CNII

機(jī)構(gòu)在網(wǎng)絡(luò)事件發(fā)生期間的溝通。第

17

頁(yè)對(duì)馬來(lái)西亞組建計(jì)算機(jī)安全事件響應(yīng)小組（

CSIRT

）的要求該指令規(guī)定，各政府機(jī)構(gòu)應(yīng)建立自己的

CSIRT

作為管理網(wǎng)絡(luò)事件的一個(gè)舉措

1.

A

16.1.5

對(duì)信息安全事件的響應(yīng)

2.

A

16.1.6

從信息安全事件中學(xué)習(xí)

3.

A

16.1.7

證據(jù)收集

2013

年，馬來(lái)西亞國(guó)家安全委員會(huì)

（

NSC

）發(fā)布了指導(dǎo)方針“

NSC

指令

24

：國(guó)家網(wǎng)絡(luò)危機(jī)管理機(jī)制?！?013

年，最新版本的

ISMS

標(biāo)準(zhǔn)（

27001

：

2013

（

E

））在

A16.1

段中附加了三個(gè)子條款，強(qiáng)調(diào)對(duì)信息安全事件的響應(yīng)和評(píng)估：第

18

頁(yè)1.

我們的服務(wù)：

CyberDEFDEF“檢測(cè)網(wǎng)絡(luò)威脅”“消除網(wǎng)絡(luò)威脅”“網(wǎng)絡(luò)威脅的取證分析”

此階段可迭代，返回“

D

”

或“

E

”

進(jìn)一步

改進(jìn)技術(shù)第

19

頁(yè)CyberDEF

（續(xù)）取證CyberDEF檢測(cè)消除典型

CSIRT檢測(cè)消除第

20

頁(yè)CyberDEF

（續(xù)）

檢測(cè)識(shí)別任何漏洞、缺陷和現(xiàn)有威脅1.

傳感器2.

沙箱3.

分析4.

可視化

消除修復(fù)漏洞、修補(bǔ)缺陷并應(yīng)對(duì)現(xiàn)有威脅開(kāi)展網(wǎng)絡(luò)威脅演習(xí)或演練，以測(cè)試新型防御

/

預(yù)防系統(tǒng)的可行性與靈活性

取證1.

電子取證2.

根本原因分析3.

調(diào)查4.

取證準(zhǔn)備5.

取證合規(guī)第

21

頁(yè)3.

馬來(lái)西亞計(jì)算機(jī)應(yīng)急響應(yīng)小組（

MyCERT

）CyberDEF

（續(xù)）

技術(shù)

部門(mén)

由

3

個(gè)技術(shù)部門(mén)組成

：

1.

安全技術(shù)服務(wù)部門(mén)（

STS

）

2.

數(shù)字取證部門(mén)（

DF

）3為何網(wǎng)絡(luò)防御

與眾不同

?

集中

管制

有效的

集中管制

，因?yàn)樗?/p>

3

個(gè)部門(mén)

都?xì)w屬于網(wǎng)絡(luò)安全響應(yīng)服務(wù)部門(mén)

取證

元素取證元素

包含

在提供的服務(wù)中第

22

頁(yè)計(jì)算機(jī)安全事件響應(yīng)小組（

CSIRT

）的管理工作流程通知高層

管理者M(jìn)YCERTSTSDFC

級(jí)

持續(xù)監(jiān)控

檢測(cè)威脅在

OTRS

中登記案例

分析威脅持續(xù)監(jiān)控檢測(cè)威脅識(shí)別設(shè)備

向團(tuán)隊(duì)成員進(jìn)行匯報(bào)通知可疑設(shè)備所有者的部門(mén)主管（

HoD

）

使用實(shí)際設(shè)備驗(yàn)證威脅

保留內(nèi)存轉(zhuǎn)儲(chǔ)

收集設(shè)備

安全分析生成安全分析報(bào)告

保留設(shè)備

證據(jù)分析生成根本原因分析報(bào)告根據(jù)建議消除威脅

恢復(fù)設(shè)備

退還設(shè)備

檢測(cè)響應(yīng)時(shí)間

=

0.5

小時(shí)

驗(yàn)證響應(yīng)時(shí)間

=

3

小時(shí)

抑制響應(yīng)時(shí)間

=

1

小時(shí)

保存響應(yīng)時(shí)間

=

16

小時(shí)

分析

響應(yīng)時(shí)間

=

5

天

消除響應(yīng)時(shí)間

=

1

小時(shí)

報(bào)告響應(yīng)時(shí)間

=

1

小時(shí)向高層管理者提交報(bào)告

第

23

頁(yè)計(jì)算機(jī)安全事件響應(yīng)小組（

CSIRT

）的管理工作流程通知高層

管理者DFC

級(jí)

檢測(cè)威脅在

OTRS

中登記案例

分析威脅MYCERT

持續(xù)監(jiān)控檢測(cè)威脅

識(shí)別設(shè)備

STS持續(xù)監(jiān)控

向團(tuán)隊(duì)成員進(jìn)行匯報(bào)通知可疑設(shè)備所有者的部門(mén)主管（

HoD

）

使用實(shí)際設(shè)備驗(yàn)證威脅

保留內(nèi)存轉(zhuǎn)儲(chǔ)

收集設(shè)備

檢測(cè)響應(yīng)時(shí)間

=

0.5

小時(shí)

驗(yàn)證響應(yīng)時(shí)間

=

3

小時(shí)

抑制響應(yīng)時(shí)間

=

1

小時(shí)第

24

頁(yè)計(jì)算機(jī)安全事件響應(yīng)小組（

CSIRT

）的管理工作流程MYCERTSTSDFC

級(jí)

安全分析生成安全分析報(bào)告

保留設(shè)備

證據(jù)分析生成根本原因分析報(bào)告根據(jù)建議消除威脅

恢復(fù)設(shè)備

退還設(shè)備

保存響應(yīng)時(shí)間

=

16

小時(shí)

分析

響應(yīng)時(shí)間

=

5

天

消除響應(yīng)時(shí)間

=

1

小時(shí)

報(bào)告響應(yīng)時(shí)間

=

1

小時(shí)向高層管理者提交報(bào)告

第

25

頁(yè)案例研究：檢測(cè)

設(shè)

備

檢

測(cè)

到

受

害

者正

在

訪(fǎng)

問(wèn)

惡

意

網(wǎng)

站

“

”

并

下

載

惡意可執(zhí)行文件第

26

頁(yè)確定受影響

的設(shè)備案例研究：檢測(cè)（續(xù)

...

）第

27

頁(yè)消除惡意軟件案例研究：消除第

28

頁(yè)發(fā)現(xiàn)案例研究：取證

分析

從惡意文件中提取出元數(shù)據(jù)

和注冊(cè)表信息，并進(jìn)行取證

分析第

29

頁(yè)發(fā)現(xiàn)案例研究：取證（續(xù)

...

）第

30

頁(yè)收集?

檢測(cè)?

標(biāo)準(zhǔn)化?

豐富化?

相關(guān)性分析?

靜態(tài)?

動(dòng)態(tài)?

C2

識(shí)別識(shí)別?

惡意域名識(shí)別?

惡意

IP

識(shí)別?

受感染的主機(jī)識(shí)別阻斷?

抑制?

惡意軟件清除

/

根

除報(bào)告?

統(tǒng)計(jì)?

對(duì)比?

趨勢(shì)2.

我們的服務(wù)：

CMERP

協(xié)同惡意軟件根除與修復(fù)項(xiàng)目

目標(biāo)：

減少

馬來(lái)西亞感染

惡意軟件

的數(shù)量第

31

頁(yè)個(gè)人電腦

/IP

被清理，并

重新獲取和以往一樣的

互聯(lián)網(wǎng)訪(fǎng)問(wèn)權(quán)限

將采取適當(dāng)?shù)那宄胧?，以確保個(gè)人電腦

/IP

不受感染。阻斷

——用戶(hù)處于隔離狀態(tài)并且互聯(lián)網(wǎng)訪(fǎng)問(wèn)權(quán)

限受限

基于傳感器或安全源的

信息

在發(fā)生惡意軟件攻擊

時(shí)?；趤?lái)自

CMERP

平臺(tái)的信息來(lái)識(shí)別用戶(hù)

身份

用戶(hù)會(huì)被告知個(gè)人電腦/IP

已感染惡意軟件，信息通過(guò)電子郵件通知

/

門(mén)

戶(hù)網(wǎng)站分發(fā)CMERP

生態(tài)系統(tǒng)檢測(cè)通知恢復(fù)正常

恢復(fù)23監(jiān)控

1

4隔離65第

32

頁(yè)CMERP

網(wǎng)絡(luò)基礎(chǔ)架構(gòu)第

33

頁(yè)試點(diǎn)實(shí)施Carberp

參考：

/en-us/wdsi/threats/malware-encyclopedia-description?Name=Win32/Carberp位置

：大學(xué)校園活動(dòng)開(kāi)始于

：

2018

年

4

月活動(dòng)結(jié)束