安全團隊必須能夠盡快阻止威脅并恢復正常運營，這就是網絡安全團隊不僅要有正確的工具，還要了解如何有效地應對事件的原因，這一點至關重要，可以自定義諸如事件響應模板之類的資源，以定義具有角色和職責、流程和行動項核對清單的計劃。

但準備工作不能止步于此，團隊必須不斷進行培訓，以適應威脅的快速發展，必須利用每一次安全事件作為教育機會，幫助企業更好地為未來的事件做好準備，甚至預防。

SANS研究所定義了一個框架，包括成功的網絡安全事件響應的六個步驟。

• 準備工作
• 身份識別
• 遏制
• 根除
• 追回
• 吸取的教訓

雖然這些階段遵循邏輯流程，但你可能需要返回到流程中的前一個階段，以重復第一次錯誤或不完全完成的特定步驟。

是的，這會減慢速度，但更重要的是徹底完成每個階段，而不是試圖節省時間加快步驟。

1、準備工作

目標：讓你的團隊做好高效處理事件的準備

有權訪問你的系統的每個人都需要為事件做好準備，而不僅僅是事件響應團隊。大多數網絡安全漏洞都應歸咎于人為錯誤。因此，網絡安全事件響應的第一步也是最重要的一步是教育人員要尋找什么，利用模板化的事件響應計劃為所有參與者(安全負責人、運營經理、幫助臺團隊、身份和訪問經理以及審計、合規性、溝通和管理人員)確定角色和責任，可以確保高效的協調。

攻擊者將繼續發展他們的社會攻擊和魚叉式網絡釣魚技術，試圖在培訓和認知活動中領先一步。雖然現在大多數人都知道不理睬一封寫得很糟糕的電子郵件，因為它承諾用一小筆預付款來換取獎勵，但一些目標會成為非工作時間短信的受害者，假裝成他們的老板，請求幫助完成一項緊急的任務。為了適應這些變化，你的內部培訓必須定期更新，以反映最新的趨勢和技術。

你的事件響應人員-或安全操作中心(SOC，如果你有的話)-也需要定期培訓，理想情況下是基于實際事件的模擬。高強度的桌面練習可以提高警惕，讓你的團隊有一種體驗真實世界事件的感覺。你可能會發現，一些團隊成員在熱度很高時表現出色，而其他一些成員則需要額外的培訓和指導。

你準備的另一個部分是勾勒出具體的應對策略，最常見的方法是遏制和根除這一事件，另一種選擇是觀察正在進行的事件，這樣你就可以評估攻擊者的行為并確定他們的目標，前提是這不會造成不可挽回的傷害。

除了培訓和策略，技術在事件應對中發揮著巨大的作用，日志是一個關鍵組件。簡單地說，日志記錄越多，網絡安全事件響應團隊調查事件就越容易、越高效。

此外，通過使用具有集中控制的端點檢測和響應(EDR)平臺或擴展檢測和響應(XDR)工具，你可以快速采取防御措施，如隔離計算機、斷開它們與網絡的連接以及大規模執行對抗命令。

網絡安全事件響應需要的其他技術包括虛擬環境，可以在其中分析日志、文件和其他數據，以及足夠的存儲空間來存儲這些信息。你不想在設置虛擬機和分配存儲空間的過程中浪費時間。

最后，你需要一個系統來記錄你對事件的調查結果，無論是使用電子表格還是專用的網絡安全事件響應文檔工具。你的文檔應包括事件發生的時間線、受影響的系統和用戶以及你發現的惡意文件和危害指示器(IOC)(包括當時和追溯的情況)。

2、身份識別

目標：檢測你是否被入侵，并收集IOC

有幾種方法可以確定事件已經發生或當前正在進行。

• 內部檢測：你的內部監控團隊或企業的其他成員可以通過一個或多個安全產品發出的警報，或在主動的威脅追蹤練習中發現事件。
• 外部檢測：第三方顧問或托管服務提供商可以使用安全工具或威脅追蹤技術代表你檢測事件，或者，業務合作伙伴可能會看到指示潛在事件的異常行為。
• 泄露的數據：最糟糕的情況是，只有在發現數據從你的環境中滲出并發布到互聯網或暗網網站后，才會知道事件發生了。如果這樣的數據包括敏感的客戶信息，并且在你有時間準備協調一致的公開回應之前就泄露給媒體，那么影響就更嚴重了。

如果不警惕警覺疲勞，任何關于身份識別的討論都是不完整的。

如果你的安全產品的檢測設置撥得太高，你將收到太多有關終端和網絡上不重要活動的警報，這是一種讓團隊不知所措的好方法，可能會導致許多被忽視的警報。

相反的情況是，你的設置撥得太低，也同樣有問題，因為你可能會錯過關鍵事件。平衡的安全態勢將提供恰到好處的警報數量，這樣你就可以識別值得進一步調查的事件，而不會感到警報疲勞。你的安全供應商可以幫助你找到適當的平衡，理想情況下，還可以自動過濾警報，以便你的團隊能夠專注于重要的事情。

在識別階段，你將記錄從警報收集的所有危害指標(IOC)，例如受危害的主機和用戶、惡意文件和進程、新注冊表項等。

一旦你記錄了所有IOC，你將進入遏制階段。

3、遏制

目標：將損害降至最低

遏制既是一種戰略，也是國際關系中的一個明顯步驟。

你將希望建立一種適合你的特定企業的方法，同時考慮到安全和業務影響。盡管將設備與網絡隔離或斷開連接可以防止攻擊在整個企業中傳播，但也可能導致重大的財務損失或其他業務影響。這些決定應該提前做出，并在你的投資者關系戰略中明確闡述。

遏制可以分為短期和長期兩個步驟，每一個步驟都有獨特的含義。

• 短期：這包括你目前可能采取的措施，比如關閉系統、斷開設備與網絡的連接，以及積極觀察威脅參與者的活動。每一步都有利有弊。
• 長期：最好的情況是讓受感染的系統離線，這樣你就可以安全地進入根除階段。然而，這并不總是可能的，因此你可能需要采取修補、更改密碼、取消特定服務等措施。

在遏制階段，你需要確定域控制器、文件服務器和備份服務器等關鍵設備的優先順序，以確保它們不會受到威脅。

此階段的其他步驟包括記錄事件期間包含的資產和威脅，以及根據設備是否受到攻擊對設備進行分組。如果你不確定，就做最壞的打算。一旦對所有設備進行了分類并滿足你對遏制的定義，此階段就結束了。

額外的一步：調查

目標：確定誰、什么、何時、何地、為什么、如何

在這個階段，值得注意的是事件響應的另一個重要方面：調查。

調查在整個事件響應過程中進行，雖然它本身不是一個階段，但在執行每一步時都應該牢記這一點，調查旨在回答有關哪些系統被訪問以及入侵來源的問題，當事件得到控制后，團隊可以通過從磁盤和內存映像以及日志等來源捕獲盡可能多的相關數據來促進徹底調查。

你可能熟悉術語數字取證和事件響應(DFIR)，但值得注意的是，事件響應取證的目標不同于傳統取證的目標，在信息檢索中，取證的主要目標是幫助盡可能有效地從一個階段進入下一個階段，以便恢復正常的業務運營。

數字取證技術旨在從捕獲的任何證據中提取盡可能多的有用信息，并將其轉化為有用的情報，有助于建立事件的更完整圖景，甚至有助于起訴壞人。

為已發現的構件添加上下文的數據點可能包括攻擊者如何進入網絡或四處移動、訪問或創建了哪些文件、執行了哪些進程等。當然，這可能是一個耗時的過程，可能會與事件響應沖突。

值得注意的是，DFIR自這個術語首次被創造以來已經發生了演變。如今，企業擁有成百上千臺計算機，每臺計算機都有數百GB甚至數TB的存儲空間，因此從所有受損計算機捕獲和分析完整磁盤映像的傳統方法已不再實用。

目前的情況需要一種更外科的方法，即捕獲和分析來自每臺受危害機器的特定信息。

4、根除

目標：確保完全消除威脅

遏制階段完成后，你可以轉移到根除，這可以通過磁盤清理、恢復到干凈備份或完全磁盤重新映像來處理，清除需要刪除惡意文件以及刪除或修改注冊表項，重新映像意味著重新安裝操作系統。

在采取任何行動之前，事件響應團隊需要參考任何組織策略，例如，要求在發生惡意軟件攻擊時重新映像特定計算機。

與前面的步驟一樣，文件在根除過程中發揮了作用。事件響應團隊應仔細記錄在每臺機器上采取的操作，以確保不會遺漏任何內容。作為另一項檢查，你可以在根除過程完成后對系統執行主動掃描，以查找該威脅的任何證據。

5、恢復

目標：恢復正常運營

你們所有的努力都引領著我們來到這里!恢復階段是指你可以像往常一樣恢復業務。在這一點上，確定何時恢復操作是關鍵決策。理想情況下，這可以毫不延遲地進行，但可能需要等待組織的非工作時間或其他靜默期。

再檢查一次，以驗證恢復的系統上是否沒有任何IOC。你還需要確定根本原因是否仍然存在，并實施適當的修復。

現在你已經了解了這種類型的事件，你將能夠在未來對其進行監控并建立保護性控制。

6、吸取的教訓

目標：記錄所發生的事情并提高自己的能力

現在事件已經過去了，是時候反思事件響應的每個主要步驟并回答關鍵問題了，有很多問題和方面需要提出和審查，下面是幾個例子：

• 識別：在最初的妥協發生后，需要多長時間才能檢測到事件?
• 遏制：花了多長時間才控制住事件?
• 根除：根除后，你是否仍發現惡意軟件或受攻擊的跡象?

探討這些問題將幫助你后退一步，重新考慮基本的問題，比如：我們有正確的工具嗎?我們的員工是否接受了應對事故的適當培訓?

然后循環返回到準備階段，你可以在此進行必要的改進，例如更新事件響應計劃模板、技術和流程，并為你的員工提供更好的培訓。

確保安全的4個專業提示

讓我們用4個最后的建議來結束吧，記住：

• 日志越多，調查就越容易。確保盡可能多地記錄日志，以節省金錢和時間。
• 通過模擬針對你網絡的攻擊來做好準備。這將揭示你的SOC團隊如何分析警報及其通信能力——這在實際事件中至關重要。
• 人是企業安全態勢不可或缺的一部分。你知道95%的網絡入侵都是人為錯誤造成的嗎?這就是定期對終端用戶和安全團隊這兩組人進行培訓很重要的原因。
• 考慮讓專門的第三方事件響應團隊隨叫隨到，他們可以立即介入，幫助你的團隊解決可能無法解決的更困難的事件，這些團隊可能已經解決了數百起事件，他們將擁有事件響應經驗和必要的工具，以迅速啟動并加速你的事件響應。