BIS正在完成对许可证例外ACE的修改，以及对出口管理条例（EAR）定义部分的相应修改，以回应公众对2021年10月21日临时规则的意见。该规则基于国家安全（NS）和反恐（AT）的原因对某些网络安全项目建立了新的控制，并增加了新的许可例外授权网络安全出口（ACE），授权这些项目出口到大多数目的地，除非在某些情况下。这些项目需要控制，因为这些工具可能被用于监视、间谍活动或其他破坏、拒绝或降低网络或网络上的设备的行为。本规则还更正了《商业管制清单》中的出口管制分类编号（ECCN)）5D001。

1 背景

2013年，瓦森纳尔协定（WA）决定对网络安全项目进行新的控制。这些控制包括对“入侵软件”的指挥和交付平台的硬件和软件控制、指挥和交付平台的“开发”、“生产”或“使用”技术以及“入侵软件”的“开发”技术。2015年5月20日，BIS公布了题为“瓦森纳吸顶2013全体会议协议实施：入侵和监视项目”的拟议规则（80 FR 28853），建议实施这些控制，并就其影响征求意见。

作为对拟议规则的回应，BIS收到了近300条建议，这些建议对拟议规则的范围以及拟议规则将对合法的网络安全研究和事件响应活动产生的影响提出了重大疑问。BIS还与安全行业、金融机构和管理网络安全的政府机构进行了广泛的联系。

对先前公布的拟议规则的评论集中在三个主要问题上。首先，许多评论者断言，条目过于宽泛，所包含的内容超出了预期，并且，作为技术问题，未能准确描述用于控制的项目。其次，许多评论者断言，该规则的书面形式给有助于网络安全的合法交易施加了沉重且不必要的许可负担。第三，许多评论者认为，拟议规则对“入侵软件”“开发”技术的控制可能会削弱合法的网络安全研究。

基于这些意见，美国决定不修改拟议的规则，而是在2016年和2017年回到西澳谈判修改文本。2017年12月，WA公布了这些谈判带来的变化。有三个重大变化：首先，在硬件和软件的控制语言中使用“命令和控制”，解决了网络安全公司对可能被恶意使用的控制工具的担忧；第二，在“入侵软件”的“开发”技术的控制条目中增加一项说明，将用于“漏洞披露”或“网络事件响应”的“技术”排除在条目之外；第三，在“软件”生成、命令和控制或交付条目中添加注释，将设计并仅限于提供基本软件更新和升级的产品排除在该条目之外。

在2021年10月21日（86 FR 58205），工业与安全局（BIS)）公布了一项临时最终规则（10月 21日的规则）为国家安全（NS)）和反垄断的某些网络安全项目建立了新的控制。

1.1 事故应对流程

如图1所示，事件响应过程从宣布事件开始。在这里，"声明"指的是识别事件并与CISA和机构网络维护者沟通，而不是正式宣布适用法律和政策中定义的重大事件。接下来的章节按照IR生命周期的各个阶段，更详细地描述了每个步骤。许多活动是反复进行的，可能会不断发生和发展，直到事件结束。图1从这些阶段的角度说明了事件响应活动，附录B提供了一份配套的检查表，以跟踪活动的完成情况。

1.2 准备阶段

在重大事件发生前做好准备，以减轻对组织的任何影响。准备活动包括

记录并理解事件响应的政策和程序

对环境进行检测，以发现可疑的和恶意的活动

制定人员配置计划

对用户进行网络威胁和通知程序方面的教育

利用网络威胁情报（CTI）来主动识别潜在的恶意活动。

在事件发生前确定基线采统和网络，以了解"正常"活动的基本情况。建立基线使防御者能够识别偏差。准备工作还包括

拥有处理复杂事件的基础设施，包括机密和带外通信

制定和测试遏制和根除的行动方案

建立收集数字取证和其他数据或证据的手段

这些项目的目标是确保有弹性的架构和系统，以便在受损的状态下维持关键业务。采用重定向和监测对手活动等方法的主动防御措施也可以在制定强有力的事件应对措施中发挥作用。

1.3  检测与分析

事件响应过程中最具挑战性的方面往往是准确检测和评估网络安全事件：确定是否发生了事件，如果是，则确定云、操作技术（OT）、混合、主机和网络系统内的损害的类型、程度和规模。为了检测和分析事件，实施确定的流程、适当的技术和足够的基线信息，以监测、检测和警告异常和可疑的活动。确保有程序将潜在事件与授权活动相分离（例如，确认可疑事件不只是网络管理员使用远程管理工具进行软件更新）。作为美国政府的资产响应领导机构，CISA将在检测和分析过程的所有方面与受影响的机构合作。

1.4 遏制

遏制是事件响应的重中之重，特别是对于重大事件。其目的是防止进一步的损害，并通过消除对手的接触来减少事件的直接影响。特定的情景将驱动所使用的遏制策略的类型。例如，针对使用无文件恶意软件的活跃的复杂对手的遏制方法将不同于遏制勒索软件的方法。

1.5 根除与恢复

这一阶段的目标是通过消除事件的遗留物（如删除恶意代码，重新映像受感染的系统）和减轻被利用的漏洞或其他情况，使其恢复正常运行。在进入消除阶段之前，要确保所有持续进入网络的手段都已查明，对手的活动已被充分控制，并且所有证据都已收集。这通常是一个反复的过程。如果入侵的根本原因和/或最初的访问载体是已知的，它也可能涉及硬化或修改环境以保护目标系统。根除和恢复行动有可能同时执行。注意：在启动根除工作之前，要与ICT服务提供商、商业供应商和执法部门门协调。

1.6 事故发生后的活动

这一阶段的目标是记录事件，通知机构领导，加固环境以防止类似事件发生，并运用所学到的经验来改进对未来事件的处理。

1.7 协调

协调是有效应对事件的基础。在整个响应过程中，发生事件的联邦教育委员会机构和CISA尽早并经常进行协调，这一.点至关重要。同样重要的是，要了解一些机构拥有特殊的权力、专业知识和信息，这在事件发生时是非常有益的。本节强调了这些方面的协调。

2 漏洞应对策略手册

对于一个机构来说，确定漏洞响应的优先次序并保护自己不被破坏的最直接和有效的方法之一是关注那些已经在野外被积极利用的漏洞。本手册规范了机构在应对这些紧急和高优先级的漏洞时应遵循的高层次流程。它并不能取代机构现有的漏洞管理计划，而是相反，它建立在现有的漏洞管理实践之上。一个标准化的反应过程确保包括CISA在内的各机构能够了解这些关键和危险的漏洞对整个联邦政府的影响。

本操作程序解决的漏洞可以由受影响的机构、CISA、行业伙伴或相关任务领域的其他人观察到。大多数漏洞将有共同的漏洞和暴露（CVE）描述符。在其他情况下，机构可能会遇到尚未有CVE的新漏洞（例如，零日）或由错误配置导致的漏洞。附录D提供了一个配套的检查表，以跟踪响应活动的完成情况。

2.1 准备工作

有效的脆弱性反应建立在强大的脆弱性管理之上。确保遵循有效的脆弱性管理做法。这种做法包括建立和维护强有力的资产管理，包括清点。

            机构运营的采统和网络。

            涉及与其他组织合作的系统和网络，以及

            由他人运营的系统和网络，包括云、承包商和服务提供商系统。

有一个程序，通过跟踪所有系统的操作系统和其他应用程序，了解漏洞与环境的相关性。了解所有系统可能存在的漏洞以及潜在漏洞对操作的影响。

2.2 漏洞应对过程

标准的漏洞管理计划包括识别、分析、补救和报告漏洞的阶段。图4以标准漏洞管理计划的阶段来描述漏洞响应过程。

2.3 鉴定

通过监测威胁源和信息源，包括但不限于，主动识别在野外被积极利用的漏洞报告。

CISA资源；例如。

CISA/US-CERT国家网络意识系统（NCAS）产品，其中包括包含漏洞摘要的每周公告。

CISA具有约束力的操作指令（BOD）22-01，管理已知漏洞的不可接受的风险，该指令根据在野外被利用的漏洞不断更新。

外部威胁或漏洞资料，如NIST的国家漏洞数据库。也可以显示在FCEB机构以外的地方正在被利用的漏洞。

内部SOC监控和事件响应，可以检测到机构内被利用的漏洞。

捕获有关漏洞的额外信息，以帮助应对过程的其余部分，包括漏洞的严重程度、易受影响的软件版本，以及IOC或其他可用于确定是否被利用的调查步骤。

2.4 评价

首先，利用利益相关者特定漏洞分类（SSVC）等方法，确定环境中是否存在漏洞以及基础软件或硬件的重要性。32现有的补丁和资产管理工具至关重要，可用于自动检测大多数漏洞的过程。在极少数情况下，如一次性的错误配置和零日，可能需要进行额外的手动扫描。CISA发布的具有约束力的操作指令（BOD）或紧急指令（ED）也可能列出具体的技术步骤来评估是否存在漏洞。

2.5 补救措施

及时补救存在于环境中或环境中的所有主动利用的漏洞。在大多数情况下，补救措施应包括打补丁。在其他情况下，以下缓解措施可能是合适的。

限制访问。

隔离脆弱的系统、应用程序、服务、配置文件或其他资产；或

进行永久性的配置修改。

现有的补丁管理工具和流程可以用来定期修补所有的漏洞。使用"快速响应"程序——如上面评估部分所描述的--在这些工具中针对正在被积极利用的漏洞。

2.6 报告和通知

分享有关漏洞如何被对手利用的信息可以帮助整个联邦政府的防御者了解哪些漏洞是最关键的补丁。CISA与其他联邦机构合作，负责FCEB的整体安全态势。因此，CISA需要保持对被积极利用的漏洞响应状况的认识。这种意识使CISA能够帮助其他机构了解漏洞的影响，并缩短漏洞披露和漏洞利用之间的时间。各机构必须按照《联邦事件通知指南》、具有约束力的操作指令，或按照CISA在紧急指令中的指示，向CISA报告。

内容主要整理自相关网站资料。

        仅供学习参考，欢迎交流指正。

        公众号内回复“DP79”

        获取全文下载地址。