12月8日,国家互联网信息办公室发布了关于《网络安全事件报告管理办法(征求意见稿)》(简称《办法》),其中提到,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
奇安信网络安全事件响应专家、威胁情报中心负责人汪列军表示,《办法》提倡并鼓励有关单位及时、完整、准确地报告网络安全事件,对于迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,应按照相关法律进行处罚,这对于网络安全事件发生后的报告工作具有重要意义,在很大程度上能够减少网络安全事件造成的实际危害。
具体而言,有以下四方面影响需要重点关注。
第一是界定了事件范围,并要求主动报告。
这里的网络安全事件并非狭义上所指的由网络攻击或者其他蓄意破坏所造成的的安全事件,而是广义上所有对系统和网络安全造成影响的事件。《办法》第十二条规定,本办法所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。
《办法》第十一条规定,发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
第二是明确了报告对象,确立网信部门的监管作用。
《办法》第三条规定,国家网信部门负责统筹协调国家网络安全事件报告工作和相关监督管理工作。地方网信部门负责统筹协调本行政区域内网络安全事件报告工作和相关监督管理工作。具体如下:
网络和系统归属中央和国家机关各部门及其管理的企事业单位的,运营者应当向本部门网信工作机构报告;网络和系统为关键信息基础设施的,运营者应当向保护工作部门、公安机关报告;其他网络和系统运营者应当向属地网信部门报告;有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告;发现涉嫌犯罪的,运营者应当同时向公安机关报告。
第三是强调了“1小时”制度,安全事件应尽快上报。
显而易见的是,网络安全事件拖延时间越长,其危害性往往越大,后续的故障恢复以及消除影响等工作也更加困难。因此对于网络安全事件报告的时效性要求非常高。
《办法》规定,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。
此外,《办法》还专门针对重大、特别重大网络安全事件做出了特别规定。《办法》第四条指出,属于重大、特别重大网络安全事件的,有关单位在收到报告后,应于1小时内向上级部门报告。
第四是细化了报告内容,事件调查应全面、细致。
为准确评估网络安全事件造成的影响,为全面统筹后续的响应处置、溯源分析以及故障恢复提供有力支撑,报告内容至关重要。《办法》第五条明确规定,运营者应当按照《网络安全事件信息报告表》报告事件,至少包括事发单位名称及发生事件的设施、系统、平台的基本情况;事件发现或发生时间、地点、事件类型、已造成的影响和危害;初步分析的事件原因;下一步所需的线索以及进一步采取的应对措施等。
值得一提的是,美国近2年也在制定相关法律法规。早在2022年3月,美国总统签署了《2022 年关键基础设施网络事件报告法案》(CIRCIA),要求网络安全和基础设施安全局(CISA)制定和实施法规,对关键基础设施部门发生的网络安全事件和勒索事件提出了明确的报告时间要求,其中网络安全事件要求在72小时内报告,涉及支付赎金的勒索事件在24小时内报告。根据法案要求,CISA须在24个月内(即2024年3月之前)发布具体规则。
今年2023年7月,美国证券交易会员会(SEC)通过了网络安全事件披露规则,要求上市公司确定网络安全事件重大后4个工作日内提交。如果美国司法部长确定立即披露将对国家安全或公共安全构成重大风险,并以书面形式通知委员会该决定,则可以延迟披露。而就在今年11月初,ICBCFS发生勒索攻击后,找美国安全服务厂商MoxFive进行帮助,并立即向执法部门进行了报告。
汪列军特别提醒,想要全面掌握上述网络安全事件相关细节、正确做出下一步处置行动并非易事。尤其是在某些高水平网络攻击中,攻击者通常会采用技术手段,隐藏甚至擦除入侵的路径、恶意样本、行为日志等,为事件调查带来了非常大的挑战,要求运营单位必须具备准确的安全检测能力、全面的数据搜集能力、强大的关联分析能力。
前不久,奇安信发布的新版态势感知与安全运营平台(NGSOC),可将相关联告警自动汇聚形成完整事件卷宗,自动补充上下文证据,自动映射MITRE ATT CK攻击者战术和技术,自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象,1分钟内即可完成事件定性、5分钟完成影响面评估。
与此同时,奇安信威胁情报中心还拥有千万级终端的遥测数据、十亿级互联网资产及应用数据、万亿级历史Passive DNS数据以及全量漏洞情报库,可进一步补充网络安全事件中有关的上下文信息,确保运营单位能在1小时内完成安全事件报告,并对运营单位下一步处置动作提供关键的技术支撑。