來源：CISA Cyber Incident Scoring System腹暖，https://www.us-cert.gov/CISA-Cyber-Incident-Scoring-System

一祝迂、概述

許多事件分類法和分類方案在單個企業(yè)的安全操作中心(SOC)范圍內(nèi)提供了很好的指導(dǎo)撵颊。然而，這類系統(tǒng)并沒有從全國的角度處理事件優(yōu)先級或風(fēng)險評估尖淘，這可能涉及大量不同的企業(yè)奕锌。國土安全部(DHS)下屬的國家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)等大型國家網(wǎng)絡(luò)安全運(yùn)營中心需要評估風(fēng)險，同時為不同類型的私營關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運(yùn)營商以及美國政府部門和機(jī)構(gòu)提供服務(wù)德澈。NCCIC網(wǎng)絡(luò)事件評分系統(tǒng)(NCISS)旨在提供一種可重復(fù)和一致的機(jī)制歇攻，用于在這種情況下評估事件的風(fēng)險。

NCISS是基于美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的特別出版物800-61 Rev. 2梆造，計(jì)算機(jī)安全事件處理指南缴守，并根據(jù)具體實(shí)體的潛在影響類別進(jìn)行了調(diào)整，使NCCIC人員能夠從全國的角度評估風(fēng)險的嚴(yán)重程度和事件的優(yōu)先級镇辉。NCISS允許兩個不同的利益相關(guān)者經(jīng)歷類似的事件屡穗，根據(jù)每個受影響實(shí)體的國家級潛在影響，得到顯著不同的分?jǐn)?shù)忽肛。該系統(tǒng)不打算成為與事件相關(guān)的風(fēng)險的絕對評分村砂。

NCISS使用加權(quán)算術(shù)平均值來產(chǎn)生從0到100的分?jǐn)?shù)。這個分?jǐn)?shù)驅(qū)動NCCIC事件分類和升級流程屹逛，并幫助確定有限事件響應(yīng)資源的優(yōu)先級和每個事件的必要支持水平础废。該系統(tǒng)目前的設(shè)計(jì)目的不是支持多個相關(guān)事件可能增加整體風(fēng)險的情況，例如某個特定部門或地區(qū)的多個組織同時受到損害罕模。然而评腺，在專家的干預(yù)下，這類事件仍然可以隨時升級淑掌。

評分系統(tǒng)的輸入是離散和分析性評估的混合蒿讥。雖然每一次嘗試都是通過訓(xùn)練和鍛煉來盡量減少個人偏見，但不同的得分者在回答某些得分問題時不可避免地會有略微不同的觀點(diǎn)。使用幾個離散的芋绸、可驗(yàn)證的輸入減少了來自任何單個分析因素的影響媒殉，增加了系統(tǒng)的整體可靠性。

NCISS與網(wǎng)絡(luò)事件嚴(yán)重程度模式(CISS)一致摔敛，因此NCISS中的嚴(yán)重程度水平直接映射到CISS水平廷蓉。

二、公式

NCISS使用以下加權(quán)算術(shù)平均值得出0到100之間的分?jǐn)?shù):

（1）每個類別都有一個權(quán)重马昙，每個類別的響應(yīng)都有一個相關(guān)的分?jǐn)?shù)苦酱。類別:

功能的影響,

觀察到的活動,

觀測活動的位置，

actor描述,

信息的影響,

可恢復(fù)性,

跨部門的依賴,

潛在的影響给猾。

（2）每個應(yīng)答得分乘以類別權(quán)重，加權(quán)得分相加颂跨。

（3）計(jì)算可能的最小加權(quán)分?jǐn)?shù)和敢伸，并從之前計(jì)算的加權(quán)分?jǐn)?shù)和中減去這個數(shù)字。將結(jié)果除以范圍:可能的最大加權(quán)分?jǐn)?shù)和和可能的最小加權(quán)分?jǐn)?shù)和之間的差恒削。最后池颈，將得到的分?jǐn)?shù)乘以100得到最終結(jié)果。

（4）權(quán)重和值是特定于單個組織的風(fēng)險評估過程的钓丰。本文檔附帶一個具有代表性的工具躯砰，它演示了本系統(tǒng)中概述的概念的參考實(shí)現(xiàn)。

三携丁、優(yōu)先級

事件得分后琢歇，它被分配一個優(yōu)先級。下面列出的6個級別與NCCIC梦鉴、DHS和CISS一致李茫，以幫助在討論事件時提供通用詞匯。這種優(yōu)先級分配推動了NCCIC的緊迫性肥橙、預(yù)先批準(zhǔn)的事件響應(yīng)產(chǎn)品魄宏、報告要求和領(lǐng)導(dǎo)升級建議。通常存筏，事件優(yōu)先級分配應(yīng)該遵循與下圖類似的模式宠互。

四、多個連接事件

目前椭坚，當(dāng)對一系列關(guān)聯(lián)事件或活動進(jìn)行評估時予跌，整個活動被賦予與任何關(guān)聯(lián)組件事件的高水位標(biāo)志相同的優(yōu)先級。沒有考慮到一場可能比任何單個事件產(chǎn)生更大總體影響的活動藕溅。為了在評估一個活動時考慮事件聚合匕得，應(yīng)用以下規(guī)則:如果三個或多個組成事件具有相同的高水位標(biāo)記，則將整個活動的優(yōu)先級提升到下一個級別。

例如汁掠，如果一個活動有三個“低(綠色)”和兩個“基線——次要(藍(lán)色)”的事件組成略吨，那么整個戰(zhàn)役將被設(shè)置為一個“中等(黃色)”的優(yōu)先級。

五考阱、類別描述

5.1功能的影響

功能影響是對組織實(shí)際的翠忠、持續(xù)的影響的度量。在許多情況下(例如乞榨，掃描和探測或成功防御的攻擊)秽之，很少或沒有受到事件的影響。

5.2觀察活動

觀察到的活動描述了對網(wǎng)絡(luò)上的威脅行動者活動的了解吃既。這些選項(xiàng)是根據(jù)國家情報主任辦公室(ODNI)發(fā)布的指導(dǎo)規(guī)范的考榨，并由情報部門使用。盡管ODNI指導(dǎo)文檔更詳細(xì)鹦倚，但是觀察到的活動被分為以下幾個一般類別:準(zhǔn)備河质、參與、存在和效果震叙。

準(zhǔn)備行動是為確立目標(biāo)掀鹅、意圖和戰(zhàn)略而采取的行動;識別潛在目標(biāo)和攻擊載體;確定資源需求;和發(fā)展能力。

參與行為是在獲取目標(biāo)之前對特定目標(biāo)或目標(biāo)集采取的行動媒楼，但目的是獲取對受害者物理或虛擬計(jì)算機(jī)或信息系統(tǒng)乐尊、網(wǎng)絡(luò)和數(shù)據(jù)存儲的訪問。

存在是指威脅行為人在進(jìn)入目標(biāo)物理或虛擬計(jì)算機(jī)或信息系統(tǒng)后所采取的一系列行動划址。這些操作為威脅行為人建立和維持對主機(jī)物理或虛擬計(jì)算機(jī)或信息系統(tǒng)扔嵌、網(wǎng)絡(luò)或數(shù)據(jù)存儲執(zhí)行預(yù)期操作或隨意操作的條件。

影響是威脅行為人對受害者的物理或虛擬計(jì)算機(jī)或信息系統(tǒng)猴鲫、網(wǎng)絡(luò)和數(shù)據(jù)存儲的行為的結(jié)果对人。

5.3觀測活動位置

觀測活動的位置描述了在網(wǎng)絡(luò)中檢測到的觀測活動的位置。觀察到的活動的選項(xiàng)基于普渡大學(xué)企業(yè)參考體系結(jié)構(gòu)的修改版本拂共。為這個類別選擇了一組靈活的定義牺弄，因?yàn)槊總€受影響的實(shí)體可能對哪些系統(tǒng)對其企業(yè)至關(guān)重要有不同的看法。在事件發(fā)生過程中宜狐，觀察到的活動位置可能會發(fā)生變化势告，應(yīng)在獲得新信息時予以更新。

0級-不成功

現(xiàn)有的網(wǎng)絡(luò)防御擊退了所有觀察到的活動抚恒。

一級-商業(yè)非軍事區(qū)

在業(yè)務(wù)網(wǎng)絡(luò)的非軍事區(qū)(DMZ)觀察到活動咱台。這些系統(tǒng)通常是不受信任的，并且被設(shè)計(jì)成暴露在Internet上俭驮。例如公司的Web服務(wù)器或電子郵件服務(wù)器回溺。

二級-業(yè)務(wù)網(wǎng)絡(luò)

在受害者的業(yè)務(wù)或公司網(wǎng)絡(luò)中觀察到活動春贸。這些系統(tǒng)將是公司用戶工作站、應(yīng)用程序服務(wù)器和其他非核心管理系統(tǒng)遗遵。

三級-企業(yè)網(wǎng)絡(luò)管理

在管理用戶工作站萍恕、active directory服務(wù)器或其他信任存儲等業(yè)務(wù)網(wǎng)絡(luò)管理系統(tǒng)中觀察到活動。

四級-關(guān)鍵系統(tǒng)DMZ

在存在于業(yè)務(wù)網(wǎng)絡(luò)和關(guān)鍵系統(tǒng)網(wǎng)絡(luò)之間的DMZ中觀察到活動车要。這些系統(tǒng)可能在內(nèi)部面對服務(wù)允粤，如SharePoint站點(diǎn)、金融系統(tǒng)或中繼“跳”箱到更關(guān)鍵的系統(tǒng)翼岁。

第5級-關(guān)鍵系統(tǒng)管理

在高級關(guān)鍵系統(tǒng)管理中类垫，如工業(yè)控制系統(tǒng)中的人機(jī)接口(HMIs)，觀察到活動琅坡。

六級-關(guān)鍵系統(tǒng)

在操作關(guān)鍵過程的關(guān)鍵系統(tǒng)中觀察到活動悉患，如工業(yè)控制系統(tǒng)環(huán)境中的可編程邏輯控制器。

第7級-安全系統(tǒng)

在確保環(huán)境安全運(yùn)行的關(guān)鍵安全系統(tǒng)中觀察到活動榆俺。關(guān)鍵安全系統(tǒng)的一個例子是滅火系統(tǒng)购撼。

未知的

觀察到活動，但網(wǎng)絡(luò)段無法識別谴仙。

5.4actor描述

事件響應(yīng)中最大的挑戰(zhàn)之一是將事件歸因于特定的參與者集，并了解該參與者的技能水平和意圖碾盐。NCCIC可以利用其自身的知識分析體系以及其他任務(wù)伙伴的知識分析體系來確定參與者在特定目標(biāo)系統(tǒng)(如工業(yè)控制環(huán)境)方面的能力晃跺。

5.5信息的影響

除了功能上的影響外，事件還可能影響各個系統(tǒng)存儲或處理的信息的保密性和完整性毫玖。信息影響類別用于描述信息丟失掀虎、損壞或損壞的類型。

5.6可恢復(fù)性

可恢復(fù)性是指從事故中恢復(fù)所需要的資源范圍付枫。在許多情況下烹玉，一個實(shí)體的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)防御人員將能夠在沒有外部支持的情況下處理一個事件，從而導(dǎo)致可恢復(fù)性分類的規(guī)則阐滩。一個常規(guī)恢復(fù)的例子是一封被郵件服務(wù)器自動阻止的釣魚郵件二打。在可恢復(fù)性擴(kuò)展的情況下，可能需要多機(jī)構(gòu)掂榔、多組織的響應(yīng)工作隊(duì)等重要工作來進(jìn)行恢復(fù)继效。例如，如果一個實(shí)體請求NCCIC的支持装获，從本質(zhì)上來說瑞信，該事件是一個擴(kuò)展的恢復(fù)。最后穴豫，從某些類型的事件(如重大的機(jī)密性或隱私損害)中恢復(fù)可能是不可行的凡简。

常規(guī)的

利用現(xiàn)有資源，恢復(fù)時間是可以預(yù)測的。

補(bǔ)充

恢復(fù)的時間可以通過額外的資源來預(yù)測秤涩。

擴(kuò)展

復(fù)蘇的時間是不可預(yù)測的;可能需要額外的資源和外來援助帜乞。

不可恢復(fù)的

從事件中恢復(fù)是不可能的(例如，敏感數(shù)據(jù)被竊取并公開發(fā)布溉仑，展開調(diào)查)挖函。

5.7跨部門的依賴

跨部門依賴性是一個權(quán)重因素，它是根據(jù)國土安全部關(guān)鍵基礎(chǔ)設(shè)施分析辦公室(OCIA)進(jìn)行的跨部門分析確定的浊竟。

5.8潛在影響

潛在影響類別估計(jì)了受影響實(shí)體的服務(wù)全部損失所造成的整個國家影響怨喘。其他現(xiàn)有的網(wǎng)絡(luò)安全事故風(fēng)險評級標(biāo)準(zhǔn)缺乏對網(wǎng)絡(luò)所有者和運(yùn)營商以及NCCIC負(fù)責(zé)保護(hù)的美國政府部門和機(jī)構(gòu)的獨(dú)特和多樣化的關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)的考慮。在兩個獨(dú)立的利益相關(guān)者設(shè)施發(fā)生類似事件振定，可能對國家一級的運(yùn)營產(chǎn)生顯著不同的影響必怜。因此，在全國范圍內(nèi)后频，每個事件的得分都與它所帶來的風(fēng)險有關(guān)梳庆。

潛在影響值是根據(jù)有關(guān)實(shí)體的已知統(tǒng)計(jì)數(shù)據(jù)，盡可能提前計(jì)算的卑惜「嘀矗可以使用的一些統(tǒng)計(jì)數(shù)據(jù)示例包括:

組織內(nèi)的授權(quán)用戶數(shù)量，

報告年度收入或年度預(yù)算總額

服務(wù)的客戶群或人口規(guī)模露久。

在計(jì)算單個實(shí)體的潛在影響值時更米，要考慮幾個因素。適用于公用事業(yè)公司毫痕、醫(yī)療保健公司或金融服務(wù)機(jī)構(gòu)的某些因素不適用于聯(lián)邦政府機(jī)構(gòu)征峦，因此每種實(shí)體的加權(quán)因素將有所不同。在開發(fā)NCISS時消请，考慮了許多可能的因素栏笆，以便將其包括在潛在影響的計(jì)算中。評分系統(tǒng)的這一特定方面是繼續(xù)研究和評價的主題臊泰。

最后,由于固有的困難占所有所涉及的各種情況下確定真正的潛在影響,尤其是這個值應(yīng)該被視為一個最佳猜測估計(jì)事件響應(yīng)優(yōu)先級的目的,而不是全面的說明一個實(shí)體對國民福利的重要性蛉加。

結(jié)論

NCISS旨在為在國家范圍內(nèi)客觀評估網(wǎng)絡(luò)安全事件風(fēng)險提供一個可重復(fù)和一致的機(jī)制。自2014年以來缸逃，NCCIC的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)一直在定期使用該系統(tǒng)的一個試點(diǎn)七婴。NCCIC的美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組正在采用NCISS的日常事件報告流程。該系統(tǒng)的建立察滑，使NCCIC能夠通過可重復(fù)的過程打厘，對日常和高風(fēng)險網(wǎng)絡(luò)安全事件的國家級風(fēng)險進(jìn)行客觀評估，從而更好地確定優(yōu)先級贺辰，更及時地響應(yīng)NCCIC成員和任務(wù)伙伴的需求户盯。