加快網(wǎng)絡(luò)安全事件響應(yīng)的六個(gè)步驟

安全團(tuán)隊(duì)必須能夠盡快阻止威脅并恢復(fù)正常運(yùn)營(yíng)，這就是網(wǎng)絡(luò)安全團(tuán)隊(duì)不僅要有正確的工具，還要了解如何有效地應(yīng)對(duì)事件的原因，這一點(diǎn)至關(guān)重要，可以自定義諸如事件響應(yīng)模板之類的資源，以定義具有角色和職責(zé)、流程和行動(dòng)項(xiàng)核對(duì)清單的計(jì)劃。

但準(zhǔn)備工作不能止步于此，團(tuán)隊(duì)必須不斷進(jìn)行培訓(xùn)，以適應(yīng)威脅的快速發(fā)展，必須利用每一次安全事件作為教育機(jī)會(huì)，幫助企業(yè)更好地為未來(lái)的事件做好準(zhǔn)備，甚至預(yù)防。

SANS研究所定義了一個(gè)框架，包括成功的網(wǎng)絡(luò)安全事件響應(yīng)的六個(gè)步驟。

• 準(zhǔn)備工作
• 身份識(shí)別
• 遏制
• 根除
• 追回
• 吸取的教訓(xùn)

雖然這些階段遵循邏輯流程，但你可能需要返回到流程中的前一個(gè)階段，以重復(fù)第一次錯(cuò)誤或不完全完成的特定步驟。

是的，這會(huì)減慢速度，但更重要的是徹底完成每個(gè)階段，而不是試圖節(jié)省時(shí)間加快步驟。

1、準(zhǔn)備工作

目標(biāo)：讓你的團(tuán)隊(duì)做好高效處理事件的準(zhǔn)備

有權(quán)訪問(wèn)你的系統(tǒng)的每個(gè)人都需要為事件做好準(zhǔn)備，而不僅僅是事件響應(yīng)團(tuán)隊(duì)。大多數(shù)網(wǎng)絡(luò)安全漏洞都應(yīng)歸咎于人為錯(cuò)誤。因此，網(wǎng)絡(luò)安全事件響應(yīng)的第一步也是最重要的一步是教育人員要尋找什么，利用模板化的事件響應(yīng)計(jì)劃為所有參與者(安全負(fù)責(zé)人、運(yùn)營(yíng)經(jīng)理、幫助臺(tái)團(tuán)隊(duì)、身份和訪問(wèn)經(jīng)理以及審計(jì)、合規(guī)性、溝通和管理人員)確定角色和責(zé)任，可以確保高效的協(xié)調(diào)。

攻擊者將繼續(xù)發(fā)展他們的社會(huì)攻擊和魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)技術(shù)，試圖在培訓(xùn)和認(rèn)知活動(dòng)中領(lǐng)先一步。雖然現(xiàn)在大多數(shù)人都知道不理睬一封寫(xiě)得很糟糕的電子郵件，因?yàn)樗兄Z用一小筆預(yù)付款來(lái)?yè)Q取獎(jiǎng)勵(lì)，但一些目標(biāo)會(huì)成為非工作時(shí)間短信的受害者，假裝成他們的老板，請(qǐng)求幫助完成一項(xiàng)緊急的任務(wù)。為了適應(yīng)這些變化，你的內(nèi)部培訓(xùn)必須定期更新，以反映最新的趨勢(shì)和技術(shù)。

你的事件響應(yīng)人員-或安全操作中心(SOC，如果你有的話)-也需要定期培訓(xùn)，理想情況下是基于實(shí)際事件的模擬。高強(qiáng)度的桌面練習(xí)可以提高警惕，讓你的團(tuán)隊(duì)有一種體驗(yàn)真實(shí)世界事件的感覺(jué)。你可能會(huì)發(fā)現(xiàn)，一些團(tuán)隊(duì)成員在熱度很高時(shí)表現(xiàn)出色，而其他一些成員則需要額外的培訓(xùn)和指導(dǎo)。

你準(zhǔn)備的另一個(gè)部分是勾勒出具體的應(yīng)對(duì)策略，最常見(jiàn)的方法是遏制和根除這一事件，另一種選擇是觀察正在進(jìn)行的事件，這樣你就可以評(píng)估攻擊者的行為并確定他們的目標(biāo)，前提是這不會(huì)造成不可挽回的傷害。

除了培訓(xùn)和策略，技術(shù)在事件應(yīng)對(duì)中發(fā)揮著巨大的作用，日志是一個(gè)關(guān)鍵組件。簡(jiǎn)單地說(shuō)，日志記錄越多，網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊(duì)調(diào)查事件就越容易、越高效。

此外，通過(guò)使用具有集中控制的端點(diǎn)檢測(cè)和響應(yīng)(EDR)平臺(tái)或擴(kuò)展檢測(cè)和響應(yīng)(XDR)工具，你可以快速采取防御措施，如隔離計(jì)算機(jī)、斷開(kāi)它們與網(wǎng)絡(luò)的連接以及大規(guī)模執(zhí)行對(duì)抗命令。

網(wǎng)絡(luò)安全事件響應(yīng)需要的其他技術(shù)包括虛擬環(huán)境，可以在其中分析日志、文件和其他數(shù)據(jù)，以及足夠的存儲(chǔ)空間來(lái)存儲(chǔ)這些信息。你不想在設(shè)置虛擬機(jī)和分配存儲(chǔ)空間的過(guò)程中浪費(fèi)時(shí)間。

最后，你需要一個(gè)系統(tǒng)來(lái)記錄你對(duì)事件的調(diào)查結(jié)果，無(wú)論是使用電子表格還是專用的網(wǎng)絡(luò)安全事件響應(yīng)文檔工具。你的文檔應(yīng)包括事件發(fā)生的時(shí)間線、受影響的系統(tǒng)和用戶以及你發(fā)現(xiàn)的惡意文件和危害指示器(IOC)(包括當(dāng)時(shí)和追溯的情況)。

2、身份識(shí)別

目標(biāo)：檢測(cè)你是否被入侵，并收集IOC

有幾種方法可以確定事件已經(jīng)發(fā)生或當(dāng)前正在進(jìn)行。

• 內(nèi)部檢測(cè)：你的內(nèi)部監(jiān)控團(tuán)隊(duì)或企業(yè)的其他成員可以通過(guò)一個(gè)或多個(gè)安全產(chǎn)品發(fā)出的警報(bào)，或在主動(dòng)的威脅追蹤練習(xí)中發(fā)現(xiàn)事件。
• 外部檢測(cè)：第三方顧問(wèn)或托管服務(wù)提供商可以使用安全工具或威脅追蹤技術(shù)代表你檢測(cè)事件，或者，業(yè)務(wù)合作伙伴可能會(huì)看到指示潛在事件的異常行為。
• 泄露的數(shù)據(jù)：最糟糕的情況是，只有在發(fā)現(xiàn)數(shù)據(jù)從你的環(huán)境中滲出并發(fā)布到互聯(lián)網(wǎng)或暗網(wǎng)網(wǎng)站后，才會(huì)知道事件發(fā)生了。如果這樣的數(shù)據(jù)包括敏感的客戶信息，并且在你有時(shí)間準(zhǔn)備協(xié)調(diào)一致的公開(kāi)回應(yīng)之前就泄露給媒體，那么影響就更嚴(yán)重了。

如果不警惕警覺(jué)疲勞，任何關(guān)于身份識(shí)別的討論都是不完整的。

如果你的安全產(chǎn)品的檢測(cè)設(shè)置撥得太高，你將收到太多有關(guān)終端和網(wǎng)絡(luò)上不重要活動(dòng)的警報(bào)，這是一種讓團(tuán)隊(duì)不知所措的好方法，可能會(huì)導(dǎo)致許多被忽視的警報(bào)。

相反的情況是，你的設(shè)置撥得太低，也同樣有問(wèn)題，因?yàn)槟憧赡軙?huì)錯(cuò)過(guò)關(guān)鍵事件。平衡的安全態(tài)勢(shì)將提供恰到好處的警報(bào)數(shù)量，這樣你就可以識(shí)別值得進(jìn)一步調(diào)查的事件，而不會(huì)感到警報(bào)疲勞。你的安全供應(yīng)商可以幫助你找到適當(dāng)?shù)钠胶猓硐肭闆r下，還可以自動(dòng)過(guò)濾警報(bào)，以便你的團(tuán)隊(duì)能夠?qū)Ｗ⒂谥匾氖虑椤?/p>

在識(shí)別階段，你將記錄從警報(bào)收集的所有危害指標(biāo)(IOC)，例如受危害的主機(jī)和用戶、惡意文件和進(jìn)程、新注冊(cè)表項(xiàng)等。

一旦你記錄了所有IOC，你將進(jìn)入遏制階段。

3、遏制

目標(biāo)：將損害降至最低

遏制既是一種戰(zhàn)略，也是國(guó)際關(guān)系中的一個(gè)明顯步驟。

你將希望建立一種適合你的特定企業(yè)的方法，同時(shí)考慮到安全和業(yè)務(wù)影響。盡管將設(shè)備與網(wǎng)絡(luò)隔離或斷開(kāi)連接可以防止攻擊在整個(gè)企業(yè)中傳播，但也可能導(dǎo)致重大的財(cái)務(wù)損失或其他業(yè)務(wù)影響。這些決定應(yīng)該提前做出，并在你的投資者關(guān)系戰(zhàn)略中明確闡述。

遏制可以分為短期和長(zhǎng)期兩個(gè)步驟，每一個(gè)步驟都有獨(dú)特的含義。

• 短期：這包括你目前可能采取的措施，比如關(guān)閉系統(tǒng)、斷開(kāi)設(shè)備與網(wǎng)絡(luò)的連接，以及積極觀察威脅參與者的活動(dòng)。每一步都有利有弊。
• 長(zhǎng)期：最好的情況是讓受感染的系統(tǒng)離線，這樣你就可以安全地進(jìn)入根除階段。然而，這并不總是可能的，因此你可能需要采取修補(bǔ)、更改密碼、取消特定服務(wù)等措施。

在遏制階段，你需要確定域控制器、文件服務(wù)器和備份服務(wù)器等關(guān)鍵設(shè)備的優(yōu)先順序，以確保它們不會(huì)受到威脅。

此階段的其他步驟包括記錄事件期間包含的資產(chǎn)和威脅，以及根據(jù)設(shè)備是否受到攻擊對(duì)設(shè)備進(jìn)行分組。如果你不確定，就做最壞的打算。一旦對(duì)所有設(shè)備進(jìn)行了分類并滿足你對(duì)遏制的定義，此階段就結(jié)束了。

額外的一步：調(diào)查

目標(biāo)：確定誰(shuí)、什么、何時(shí)、何地、為什么、如何

在這個(gè)階段，值得注意的是事件響應(yīng)的另一個(gè)重要方面：調(diào)查。

調(diào)查在整個(gè)事件響應(yīng)過(guò)程中進(jìn)行，雖然它本身不是一個(gè)階段，但在執(zhí)行每一步時(shí)都應(yīng)該牢記這一點(diǎn)，調(diào)查旨在回答有關(guān)哪些系統(tǒng)被訪問(wèn)以及入侵來(lái)源的問(wèn)題，當(dāng)事件得到控制后，團(tuán)隊(duì)可以通過(guò)從磁盤和內(nèi)存映像以及日志等來(lái)源捕獲盡可能多的相關(guān)數(shù)據(jù)來(lái)促進(jìn)徹底調(diào)查。

你可能熟悉術(shù)語(yǔ)數(shù)字取證和事件響應(yīng)(DFIR)，但值得注意的是，事件響應(yīng)取證的目標(biāo)不同于傳統(tǒng)取證的目標(biāo)，在信息檢索中，取證的主要目標(biāo)是幫助盡可能有效地從一個(gè)階段進(jìn)入下一個(gè)階段，以便恢復(fù)正常的業(yè)務(wù)運(yùn)營(yíng)。

數(shù)字取證技術(shù)旨在從捕獲的任何證據(jù)中提取盡可能多的有用信息，并將其轉(zhuǎn)化為有用的情報(bào)，有助于建立事件的更完整圖景，甚至有助于起訴壞人。

為已發(fā)現(xiàn)的構(gòu)件添加上下文的數(shù)據(jù)點(diǎn)可能包括攻擊者如何進(jìn)入網(wǎng)絡(luò)或四處移動(dòng)、訪問(wèn)或創(chuàng)建了哪些文件、執(zhí)行了哪些進(jìn)程等。當(dāng)然，這可能是一個(gè)耗時(shí)的過(guò)程，可能會(huì)與事件響應(yīng)沖突。

值得注意的是，DFIR自這個(gè)術(shù)語(yǔ)首次被創(chuàng)造以來(lái)已經(jīng)發(fā)生了演變。如今，企業(yè)擁有成百上千臺(tái)計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)都有數(shù)百GB甚至數(shù)TB的存儲(chǔ)空間，因此從所有受損計(jì)算機(jī)捕獲和分析完整磁盤映像的傳統(tǒng)方法已不再實(shí)用。

目前的情況需要一種更外科的方法，即捕獲和分析來(lái)自每臺(tái)受危害機(jī)器的特定信息。

4、根除

目標(biāo)：確保完全消除威脅

遏制階段完成后，你可以轉(zhuǎn)移到根除，這可以通過(guò)磁盤清理、恢復(fù)到干凈備份或完全磁盤重新映像來(lái)處理，清除需要?jiǎng)h除惡意文件以及刪除或修改注冊(cè)表項(xiàng)，重新映像意味著重新安裝操作系統(tǒng)。

在采取任何行動(dòng)之前，事件響應(yīng)團(tuán)隊(duì)需要參考任何組織策略，例如，要求在發(fā)生惡意軟件攻擊時(shí)重新映像特定計(jì)算機(jī)。

與前面的步驟一樣，文件在根除過(guò)程中發(fā)揮了作用。事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)仔細(xì)記錄在每臺(tái)機(jī)器上采取的操作，以確保不會(huì)遺漏任何內(nèi)容。作為另一項(xiàng)檢查，你可以在根除過(guò)程完成后對(duì)系統(tǒng)執(zhí)行主動(dòng)掃描，以查找該威脅的任何證據(jù)。

5、恢復(fù)

目標(biāo)：恢復(fù)正常運(yùn)營(yíng)

你們所有的努力都引領(lǐng)著我們來(lái)到這里!恢復(fù)階段是指你可以像往常一樣恢復(fù)業(yè)務(wù)。在這一點(diǎn)上，確定何時(shí)恢復(fù)操作是關(guān)鍵決策。理想情況下，這可以毫不延遲地進(jìn)行，但可能需要等待組織的非工作時(shí)間或其他靜默期。

再檢查一次，以驗(yàn)證恢復(fù)的系統(tǒng)上是否沒(méi)有任何IOC。你還需要確定根本原因是否仍然存在，并實(shí)施適當(dāng)?shù)男迯?fù)。

現(xiàn)在你已經(jīng)了解了這種類型的事件，你將能夠在未來(lái)對(duì)其進(jìn)行監(jiān)控并建立保護(hù)性控制。

6、吸取的教訓(xùn)

目標(biāo)：記錄所發(fā)生的事情并提高自己的能力

現(xiàn)在事件已經(jīng)過(guò)去了，是時(shí)候反思事件響應(yīng)的每個(gè)主要步驟并回答關(guān)鍵問(wèn)題了，有很多問(wèn)題和方面需要提出和審查，下面是幾個(gè)例子：

• 識(shí)別：在最初的妥協(xié)發(fā)生后，需要多長(zhǎng)時(shí)間才能檢測(cè)到事件?
• 遏制：花了多長(zhǎng)時(shí)間才控制住事件?
• 根除：根除后，你是否仍發(fā)現(xiàn)惡意軟件或受攻擊的跡象?

探討這些問(wèn)題將幫助你后退一步，重新考慮基本的問(wèn)題，比如：我們有正確的工具嗎?我們的員工是否接受了應(yīng)對(duì)事故的適當(dāng)培訓(xùn)?

然后循環(huán)返回到準(zhǔn)備階段，你可以在此進(jìn)行必要的改進(jìn)，例如更新事件響應(yīng)計(jì)劃模板、技術(shù)和流程，并為你的員工提供更好的培訓(xùn)。

確保安全的4個(gè)專業(yè)提示

讓我們用4個(gè)最后的建議來(lái)結(jié)束吧，記住：

• 日志越多，調(diào)查就越容易。確保盡可能多地記錄日志，以節(jié)省金錢和時(shí)間。
• 通過(guò)模擬針對(duì)你網(wǎng)絡(luò)的攻擊來(lái)做好準(zhǔn)備。這將揭示你的SOC團(tuán)隊(duì)如何分析警報(bào)及其通信能力——這在實(shí)際事件中至關(guān)重要。
• 人是企業(yè)安全態(tài)勢(shì)不可或缺的一部分。你知道95%的網(wǎng)絡(luò)入侵都是人為錯(cuò)誤造成的嗎?這就是定期對(duì)終端用戶和安全團(tuán)隊(duì)這兩組人進(jìn)行培訓(xùn)很重要的原因。
• 考慮讓專門的第三方事件響應(yīng)團(tuán)隊(duì)隨叫隨到，他們可以立即介入，幫助你的團(tuán)隊(duì)解決可能無(wú)法解決的更困難的事件，這些團(tuán)隊(duì)可能已經(jīng)解決了數(shù)百起事件，他們將擁有事件響應(yīng)經(jīng)驗(yàn)和必要的工具，以迅速啟動(dòng)并加速你的事件響應(yīng)。