安全團(tuán)隊(duì)必須能夠盡快阻止威脅并恢復(fù)正常運(yùn)營(yíng),這就是網(wǎng)絡(luò)安全團(tuán)隊(duì)不僅要有正確的工具,還要了解如何有效地應(yīng)對(duì)事件的原因,這一點(diǎn)至關(guān)重要,可以自定義諸如事件響應(yīng)模板之類的資源,以定義具有角色和職責(zé)、流程和行動(dòng)項(xiàng)核對(duì)清單的計(jì)劃。
但準(zhǔn)備工作不能止步于此,團(tuán)隊(duì)必須不斷進(jìn)行培訓(xùn),以適應(yīng)威脅的快速發(fā)展,必須利用每一次安全事件作為教育機(jī)會(huì),幫助企業(yè)更好地為未來(lái)的事件做好準(zhǔn)備,甚至預(yù)防。
SANS研究所定義了一個(gè)框架,包括成功的網(wǎng)絡(luò)安全事件響應(yīng)的六個(gè)步驟。
- 準(zhǔn)備工作
- 身份識(shí)別
- 遏制
- 根除
- 追回
- 吸取的教訓(xùn)
雖然這些階段遵循邏輯流程,但你可能需要返回到流程中的前一個(gè)階段,以重復(fù)第一次錯(cuò)誤或不完全完成的特定步驟。
是的,這會(huì)減慢速度,但更重要的是徹底完成每個(gè)階段,而不是試圖節(jié)省時(shí)間加快步驟。
1、準(zhǔn)備工作
目標(biāo):讓你的團(tuán)隊(duì)做好高效處理事件的準(zhǔn)備
有權(quán)訪問你的系統(tǒng)的每個(gè)人都需要為事件做好準(zhǔn)備,而不僅僅是事件響應(yīng)團(tuán)隊(duì)。大多數(shù)網(wǎng)絡(luò)安全漏洞都應(yīng)歸咎于人為錯(cuò)誤。因此,網(wǎng)絡(luò)安全事件響應(yīng)的第一步也是最重要的一步是教育人員要尋找什么,利用模板化的事件響應(yīng)計(jì)劃為所有參與者(安全負(fù)責(zé)人、運(yùn)營(yíng)經(jīng)理、幫助臺(tái)團(tuán)隊(duì)、身份和訪問經(jīng)理以及審計(jì)、合規(guī)性、溝通和管理人員)確定角色和責(zé)任,可以確保高效的協(xié)調(diào)。
攻擊者將繼續(xù)發(fā)展他們的社會(huì)攻擊和魚叉式網(wǎng)絡(luò)釣魚技術(shù),試圖在培訓(xùn)和認(rèn)知活動(dòng)中領(lǐng)先一步。雖然現(xiàn)在大多數(shù)人都知道不理睬一封寫得很糟糕的電子郵件,因?yàn)樗兄Z用一小筆預(yù)付款來(lái)?yè)Q取獎(jiǎng)勵(lì),但一些目標(biāo)會(huì)成為非工作時(shí)間短信的受害者,假裝成他們的老板,請(qǐng)求幫助完成一項(xiàng)緊急的任務(wù)。為了適應(yīng)這些變化,你的內(nèi)部培訓(xùn)必須定期更新,以反映最新的趨勢(shì)和技術(shù)。
你的事件響應(yīng)人員-或安全操作中心(SOC,如果你有的話)-也需要定期培訓(xùn),理想情況下是基于實(shí)際事件的模擬。高強(qiáng)度的桌面練習(xí)可以提高警惕,讓你的團(tuán)隊(duì)有一種體驗(yàn)真實(shí)世界事件的感覺。你可能會(huì)發(fā)現(xiàn),一些團(tuán)隊(duì)成員在熱度很高時(shí)表現(xiàn)出色,而其他一些成員則需要額外的培訓(xùn)和指導(dǎo)。
你準(zhǔn)備的另一個(gè)部分是勾勒出具體的應(yīng)對(duì)策略,最常見的方法是遏制和根除這一事件,另一種選擇是觀察正在進(jìn)行的事件,這樣你就可以評(píng)估攻擊者的行為并確定他們的目標(biāo),前提是這不會(huì)造成不可挽回的傷害。
除了培訓(xùn)和策略,技術(shù)在事件應(yīng)對(duì)中發(fā)揮著巨大的作用,日志是一個(gè)關(guān)鍵組件。簡(jiǎn)單地說(shuō),日志記錄越多,網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊(duì)調(diào)查事件就越容易、越高效。
此外,通過使用具有集中控制的端點(diǎn)檢測(cè)和響應(yīng)(EDR)平臺(tái)或擴(kuò)展檢測(cè)和響應(yīng)(XDR)工具,你可以快速采取防御措施,如隔離計(jì)算機(jī)、斷開它們與網(wǎng)絡(luò)的連接以及大規(guī)模執(zhí)行對(duì)抗命令。
網(wǎng)絡(luò)安全事件響應(yīng)需要的其他技術(shù)包括虛擬環(huán)境,可以在其中分析日志、文件和其他數(shù)據(jù),以及足夠的存儲(chǔ)空間來(lái)存儲(chǔ)這些信息。你不想在設(shè)置虛擬機(jī)和分配存儲(chǔ)空間的過程中浪費(fèi)時(shí)間。
最后,你需要一個(gè)系統(tǒng)來(lái)記錄你對(duì)事件的調(diào)查結(jié)果,無(wú)論是使用電子表格還是專用的網(wǎng)絡(luò)安全事件響應(yīng)文檔工具。你的文檔應(yīng)包括事件發(fā)生的時(shí)間線、受影響的系統(tǒng)和用戶以及你發(fā)現(xiàn)的惡意文件和危害指示器(IOC)(包括當(dāng)時(shí)和追溯的情況)。
2、身份識(shí)別
目標(biāo):檢測(cè)你是否被入侵,并收集IOC
有幾種方法可以確定事件已經(jīng)發(fā)生或當(dāng)前正在進(jìn)行。
- 內(nèi)部檢測(cè):你的內(nèi)部監(jiān)控團(tuán)隊(duì)或企業(yè)的其他成員可以通過一個(gè)或多個(gè)安全產(chǎn)品發(fā)出的警報(bào),或在主動(dòng)的威脅追蹤練習(xí)中發(fā)現(xiàn)事件。
- 外部檢測(cè):第三方顧問或托管服務(wù)提供商可以使用安全工具或威脅追蹤技術(shù)代表你檢測(cè)事件,或者,業(yè)務(wù)合作伙伴可能會(huì)看到指示潛在事件的異常行為。
- 泄露的數(shù)據(jù):最糟糕的情況是,只有在發(fā)現(xiàn)數(shù)據(jù)從你的環(huán)境中滲出并發(fā)布到互聯(lián)網(wǎng)或暗網(wǎng)網(wǎng)站后,才會(huì)知道事件發(fā)生了。如果這樣的數(shù)據(jù)包括敏感的客戶信息,并且在你有時(shí)間準(zhǔn)備協(xié)調(diào)一致的公開回應(yīng)之前就泄露給媒體,那么影響就更嚴(yán)重了。
如果不警惕警覺疲勞,任何關(guān)于身份識(shí)別的討論都是不完整的。
如果你的安全產(chǎn)品的檢測(cè)設(shè)置撥得太高,你將收到太多有關(guān)終端和網(wǎng)絡(luò)上不重要活動(dòng)的警報(bào),這是一種讓團(tuán)隊(duì)不知所措的好方法,可能會(huì)導(dǎo)致許多被忽視的警報(bào)。
相反的情況是,你的設(shè)置撥得太低,也同樣有問題,因?yàn)槟憧赡軙?huì)錯(cuò)過關(guān)鍵事件。平衡的安全態(tài)勢(shì)將提供恰到好處的警報(bào)數(shù)量,這樣你就可以識(shí)別值得進(jìn)一步調(diào)查的事件,而不會(huì)感到警報(bào)疲勞。你的安全供應(yīng)商可以幫助你找到適當(dāng)?shù)钠胶猓硐肭闆r下,還可以自動(dòng)過濾警報(bào),以便你的團(tuán)隊(duì)能夠?qū)W⒂谥匾氖虑椤?/p>
在識(shí)別階段,你將記錄從警報(bào)收集的所有危害指標(biāo)(IOC),例如受危害的主機(jī)和用戶、惡意文件和進(jìn)程、新注冊(cè)表項(xiàng)等。
一旦你記錄了所有IOC,你將進(jìn)入遏制階段。
3、遏制
目標(biāo):將損害降至最低
遏制既是一種戰(zhàn)略,也是國(guó)際關(guān)系中的一個(gè)明顯步驟。
你將希望建立一種適合你的特定企業(yè)的方法,同時(shí)考慮到安全和業(yè)務(wù)影響。盡管將設(shè)備與網(wǎng)絡(luò)隔離或斷開連接可以防止攻擊在整個(gè)企業(yè)中傳播,但也可能導(dǎo)致重大的財(cái)務(wù)損失或其他業(yè)務(wù)影響。這些決定應(yīng)該提前做出,并在你的投資者關(guān)系戰(zhàn)略中明確闡述。
遏制可以分為短期和長(zhǎng)期兩個(gè)步驟,每一個(gè)步驟都有獨(dú)特的含義。
- 短期:這包括你目前可能采取的措施,比如關(guān)閉系統(tǒng)、斷開設(shè)備與網(wǎng)絡(luò)的連接,以及積極觀察威脅參與者的活動(dòng)。每一步都有利有弊。
- 長(zhǎng)期:最好的情況是讓受感染的系統(tǒng)離線,這樣你就可以安全地進(jìn)入根除階段。然而,這并不總是可能的,因此你可能需要采取修補(bǔ)、更改密碼、取消特定服務(wù)等措施。
在遏制階段,你需要確定域控制器、文件服務(wù)器和備份服務(wù)器等關(guān)鍵設(shè)備的優(yōu)先順序,以確保它們不會(huì)受到威脅。
此階段的其他步驟包括記錄事件期間包含的資產(chǎn)和威脅,以及根據(jù)設(shè)備是否受到攻擊對(duì)設(shè)備進(jìn)行分組。如果你不確定,就做最壞的打算。一旦對(duì)所有設(shè)備進(jìn)行了分類并滿足你對(duì)遏制的定義,此階段就結(jié)束了。
額外的一步:調(diào)查
目標(biāo):確定誰(shuí)、什么、何時(shí)、何地、為什么、如何
在這個(gè)階段,值得注意的是事件響應(yīng)的另一個(gè)重要方面:調(diào)查。
調(diào)查在整個(gè)事件響應(yīng)過程中進(jìn)行,雖然它本身不是一個(gè)階段,但在執(zhí)行每一步時(shí)都應(yīng)該牢記這一點(diǎn),調(diào)查旨在回答有關(guān)哪些系統(tǒng)被訪問以及入侵來(lái)源的問題,當(dāng)事件得到控制后,團(tuán)隊(duì)可以通過從磁盤和內(nèi)存映像以及日志等來(lái)源捕獲盡可能多的相關(guān)數(shù)據(jù)來(lái)促進(jìn)徹底調(diào)查。
你可能熟悉術(shù)語(yǔ)數(shù)字取證和事件響應(yīng)(DFIR),但值得注意的是,事件響應(yīng)取證的目標(biāo)不同于傳統(tǒng)取證的目標(biāo),在信息檢索中,取證的主要目標(biāo)是幫助盡可能有效地從一個(gè)階段進(jìn)入下一個(gè)階段,以便恢復(fù)正常的業(yè)務(wù)運(yùn)營(yíng)。
數(shù)字取證技術(shù)旨在從捕獲的任何證據(jù)中提取盡可能多的有用信息,并將其轉(zhuǎn)化為有用的情報(bào),有助于建立事件的更完整圖景,甚至有助于起訴壞人。
為已發(fā)現(xiàn)的構(gòu)件添加上下文的數(shù)據(jù)點(diǎn)可能包括攻擊者如何進(jìn)入網(wǎng)絡(luò)或四處移動(dòng)、訪問或創(chuàng)建了哪些文件、執(zhí)行了哪些進(jìn)程等。當(dāng)然,這可能是一個(gè)耗時(shí)的過程,可能會(huì)與事件響應(yīng)沖突。
值得注意的是,DFIR自這個(gè)術(shù)語(yǔ)首次被創(chuàng)造以來(lái)已經(jīng)發(fā)生了演變。如今,企業(yè)擁有成百上千臺(tái)計(jì)算機(jī),每臺(tái)計(jì)算機(jī)都有數(shù)百GB甚至數(shù)TB的存儲(chǔ)空間,因此從所有受損計(jì)算機(jī)捕獲和分析完整磁盤映像的傳統(tǒng)方法已不再實(shí)用。
目前的情況需要一種更外科的方法,即捕獲和分析來(lái)自每臺(tái)受危害機(jī)器的特定信息。
4、根除
目標(biāo):確保完全消除威脅
遏制階段完成后,你可以轉(zhuǎn)移到根除,這可以通過磁盤清理、恢復(fù)到干凈備份或完全磁盤重新映像來(lái)處理,清除需要?jiǎng)h除惡意文件以及刪除或修改注冊(cè)表項(xiàng),重新映像意味著重新安裝操作系統(tǒng)。
在采取任何行動(dòng)之前,事件響應(yīng)團(tuán)隊(duì)需要參考任何組織策略,例如,要求在發(fā)生惡意軟件攻擊時(shí)重新映像特定計(jì)算機(jī)。
與前面的步驟一樣,文件在根除過程中發(fā)揮了作用。事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)仔細(xì)記錄在每臺(tái)機(jī)器上采取的操作,以確保不會(huì)遺漏任何內(nèi)容。作為另一項(xiàng)檢查,你可以在根除過程完成后對(duì)系統(tǒng)執(zhí)行主動(dòng)掃描,以查找該威脅的任何證據(jù)。
5、恢復(fù)
目標(biāo):恢復(fù)正常運(yùn)營(yíng)
你們所有的努力都引領(lǐng)著我們來(lái)到這里!恢復(fù)階段是指你可以像往常一樣恢復(fù)業(yè)務(wù)。在這一點(diǎn)上,確定何時(shí)恢復(fù)操作是關(guān)鍵決策。理想情況下,這可以毫不延遲地進(jìn)行,但可能需要等待組織的非工作時(shí)間或其他靜默期。
再檢查一次,以驗(yàn)證恢復(fù)的系統(tǒng)上是否沒有任何IOC。你還需要確定根本原因是否仍然存在,并實(shí)施適當(dāng)?shù)男迯?fù)。
現(xiàn)在你已經(jīng)了解了這種類型的事件,你將能夠在未來(lái)對(duì)其進(jìn)行監(jiān)控并建立保護(hù)性控制。
6、吸取的教訓(xùn)
目標(biāo):記錄所發(fā)生的事情并提高自己的能力
現(xiàn)在事件已經(jīng)過去了,是時(shí)候反思事件響應(yīng)的每個(gè)主要步驟并回答關(guān)鍵問題了,有很多問題和方面需要提出和審查,下面是幾個(gè)例子:
- 識(shí)別:在最初的妥協(xié)發(fā)生后,需要多長(zhǎng)時(shí)間才能檢測(cè)到事件?
- 遏制:花了多長(zhǎng)時(shí)間才控制住事件?
- 根除:根除后,你是否仍發(fā)現(xiàn)惡意軟件或受攻擊的跡象?
探討這些問題將幫助你后退一步,重新考慮基本的問題,比如:我們有正確的工具嗎?我們的員工是否接受了應(yīng)對(duì)事故的適當(dāng)培訓(xùn)?
然后循環(huán)返回到準(zhǔn)備階段,你可以在此進(jìn)行必要的改進(jìn),例如更新事件響應(yīng)計(jì)劃模板、技術(shù)和流程,并為你的員工提供更好的培訓(xùn)。
確保安全的4個(gè)專業(yè)提示
讓我們用4個(gè)最后的建議來(lái)結(jié)束吧,記住:
- 日志越多,調(diào)查就越容易。確保盡可能多地記錄日志,以節(jié)省金錢和時(shí)間。
- 通過模擬針對(duì)你網(wǎng)絡(luò)的攻擊來(lái)做好準(zhǔn)備。這將揭示你的SOC團(tuán)隊(duì)如何分析警報(bào)及其通信能力——這在實(shí)際事件中至關(guān)重要。
- 人是企業(yè)安全態(tài)勢(shì)不可或缺的一部分。你知道95%的網(wǎng)絡(luò)入侵都是人為錯(cuò)誤造成的嗎?這就是定期對(duì)終端用戶和安全團(tuán)隊(duì)這兩組人進(jìn)行培訓(xùn)很重要的原因。
- 考慮讓專門的第三方事件響應(yīng)團(tuán)隊(duì)隨叫隨到,他們可以立即介入,幫助你的團(tuán)隊(duì)解決可能無(wú)法解決的更困難的事件,這些團(tuán)隊(duì)可能已經(jīng)解決了數(shù)百起事件,他們將擁有事件響應(yīng)經(jīng)驗(yàn)和必要的工具,以迅速啟動(dòng)并加速你的事件響應(yīng)。
