雖然現代安全工具不斷提高保護組織網路和端點的有效性,但攻擊者總是在尋找新的入侵方法。
確保安全團隊能夠快速響應威脅並有效地恢復正常運營至關重要。 因此,這些團隊不僅需要配備正確的工具,還需要了解如何有效應對安全事件。 可以自定義事件響應模板等資源,以建立包含角色和職責、流程步驟和特定操作列表的計畫。
根據Digital Consulting的說法,準備工作不應止步於此。 安全團隊還必須不斷接受培訓,以適應快速演變的威脅。 每一次安全事件都是乙個很好的培訓機會,可以幫助組織更好地準備甚至預防未來的安全事件。
SANS 研究所為成功的應急響應定義了乙個六步框架。
1.準備準備。
2.識別檢測。
3.遏制。
4、eradication **
5. 恢復。
6 經驗教訓 儘管此應急響應步驟是流程的邏輯順序,但可能仍需要返回到流程中的前乙個階段,以重複第一次錯誤或未完成的特定步驟。
當然,這會減慢整個應急響應過程,但確保每個階段都充分完成比節省時間更重要。
製備
目標:使團隊能夠更高效地處理事件。
不僅是應急響應團隊,每個有權訪問該系統的人都需要為安全事件做好準備。 事實上,大多數網路安全漏洞都歸咎於人為錯誤。 因此,在IR(事件響應)過程中,最重要和最要做的就是提高員工的意識。 組織需要利用模板化的事件響應計畫來明確所有參與者(安全領導者、運營經理、身份和訪問經理以及審計、合規性、通訊和高層管理人員)的角色和職責,以確保有效協調。
攻擊者不斷改進他們的社會工程攻擊和魚叉式網路釣魚技術,目的是在受害者接受培訓和提高網路安全意識之前找到新的攻擊方法以保持領先地位。 雖然今天大多數人都知道要提防諸如“微不足道的電子郵件”和“承諾在支付少量預付款後獲得獎勵”之類的事件,但攻擊者仍然可能假裝是目標的老闆,並在非工作時間向他們傳送簡訊以處理緊急任務,以便為受害者製造“陷阱”。 為了應對不斷公升級的攻擊媒介的不斷發展,必須定期更新安全團隊的內部培訓,以提高員工應對潛在威脅的意識和能力。
如果團隊配備了事件響應者或 SOC(安全運營中心),則還需要定期培訓,最好基於基於實際事件的模擬培訓。 緊張的桌面演練可以激發團隊成員的緊迫感,讓他們對實際事件感到更加真實。 在演練過程中,我們可以發現,在壓力下,一些團隊成員表現良好,而另一些人可能需要額外的培訓和指導。
準備工作的另一部分是制定具體的應對策略。 執行此操作的最常見方法之一是包含和清理事件。 另一種選擇是觀察正在發生的事件,以評估攻擊者的行為並確定他們的目標,前提是這不會造成無法彌補的損害。
除了培訓和策略之外,技術在事件響應中也發揮著重要作用。 日誌記錄是其中的關鍵組成部分。 簡而言之,您擁有的記錄越多,事件響應團隊在調查事件時就越容易、越高效。
此外,使用具有集中控制功能的端點檢測和響應 (EDR) 平台或擴充套件檢測和響應 (XDR) 工具可幫助團隊快速採取防禦措施,例如隔離計算機、斷開計算機與網路的連線以及大規模執行對抗性命令。
可應用於事件響應的技術還包括虛擬環境,該環境可用於分析日誌、檔案和其他資料,並提供足夠的儲存空間來儲存該資訊。 需要注意的是,此虛擬環境和儲存空間應在事件發生之前準備好,而不是浪費時間設定虛擬機器或在緊急情況下分配儲存空間。 這確保了當事件發生時,團隊可以快速有效地分析和儲存資料,從而更有效地響應事件。
最後,安全團隊需要乙個系統來記錄事故發現,無論是以電子方式還是使用專用的 IR 文件工具。 文件應記錄事件的時間表、受影響的系統和使用者,以及組織在事件發生時和事件發生後發現的惡意檔案和威脅指標 (IOC)。
檢波
目標:檢測是否發生了入侵並收集威脅情報
有幾種方法可以確定是否發生了安全事件或事件是否正在進行中
內部測試:安全事件的發現可以歸因於內部監控團隊,也可以歸因於組織其他成員在進行安全意識培訓後的敏銳意識。 他們甚至可以在主動威脅搜尋演練期間通過來自乙個或多個安全產品的警報來檢測它。 •外部檢測:第三方顧問或託管服務提供商可以使用安全工具或威脅搜尋技術代表安全團隊檢測安全事件。 此外,業務合作夥伴還可以通過檢測異常行為來檢測可能的安全事件。 •資料洩露披露:最壞的情況是,當您意識到發生了安全事件,並且資料已從組織內部洩露並發布在 Internet 或暗網上**。 當洩露的資料包含敏感的客戶資料,並且整個事件在組織有機會準備協調的公共響應之前就洩露給**時,影響甚至更糟。 在威脅檢測方面,不得不提到警報疲勞。
根據Digital Consulting的說法,如果安全產品的檢測設定過於嚴格,組織將收到大量有關端點和網路上不重要活動的警報。 這可能會給團隊帶來很大的壓力,導致更重要的警報被忽視。
相反,如果設定過於保守,也可能有問題,團隊將錯過許多關鍵事件。 平衡的安全策略提供適量的警報,以幫助團隊識別需要進一步調查的安全事件,而不會感到疲憊。 同時,安全供應商可以幫助團隊找到適當的平衡點,理想情況下,可以自動過濾警報,以便他們可以專注於重要的事情。
在檢測階段,安全團隊需要記錄從警報中收集的所有入侵指標 (IOC),例如受影響的主機和使用者、惡意檔案和程序、新的登錄檔項等。
一旦記錄了所有威脅指標 (IOC),安全團隊就會進入遏制階段。
遏制
目標:將損失降到最低。
遏制不僅是IR中的乙個明確步驟,也是一種策略。
安全團隊需要建立一種適用於其組織的特定方法,同時具有安全性和業務影響。 雖然裝置隔離和網路中斷可以防止攻擊在整個組織中傳播,但它們也可能導致重大的財務損失或其他業務影響。 這些決定應提前做出,並在投資者關係戰略中闡明。
遏制可以分為短期和長期步驟,每個步驟都有其獨特的影響。
短期這包括安全團隊當時可能採取的措施,例如關閉系統、斷開裝置與網路的連線以及主動觀察攻擊者的活動。 每個步驟都有其優點和缺點。 •長期的:理想情況下,應將受感染的系統隔離在網路之外,以便它可以安全地進入**階段。 但是,此措施並不總是成功的,因此安全團隊可能還需要採取其他措施,例如修補漏洞、更改密碼、終止特定服務等。 在遏制階段,安全團隊需要確定關鍵裝置的優先順序,例如域控制器、檔案伺服器和備份伺服器,以確保它們不會受到損害。
此階段的其他步驟包括記錄事件期間包含的資產和威脅,以及根據裝置是否受到威脅對裝置進行分組。 如果不確定,那麼假設最壞的情況。 一旦所有裝置都經過分類並符合安全團隊的遏制定義,那麼這個階段就結束了。
獎勵步驟:調查
目標:確定5w1h(攻擊者、事件內容、攻擊時間、攻擊位置、攻擊動機、攻擊方式)。
在這個階段,還有另乙個值得注意的重要方面:調查
調查是貫穿始終的重要因素。 雖然調查本身不是乙個單獨的階段,而是與整個過程交織在一起,但在進行每個具體步驟時,都應時刻保持重視和重視。 調查的目的是找出訪問了哪些系統以及入侵的來源是什麼。 一旦事件得到控制,團隊就可以通過從磁碟和記憶體映象和日誌等內容中捕獲盡可能多的相關資料來進行徹底的調查。
數字取證和事件響應 (DFIR) 一詞廣為人知,但值得注意的是,事件響應的取證目標與傳統取證不同。 在 IR 中,取證的主要目標是幫助盡可能高效地過渡到下一階段,以恢復正常的業務運營。
根據數字取證的說法,數字取證技術旨在從捕獲的所有證據中提取盡可能多的有用資訊,並將其轉化為有用的情報,以幫助建立對事件的更全面理解,甚至幫助起訴攻擊者。
為了提供上下文來解釋發現的證據,安全團隊可能需要資料點,例如攻擊者如何進入或移動、訪問或建立了哪些檔案、執行了哪些流程等。 當然,這可能是乙個耗時的過程,可能會與 IR 發生衝突。
需要注意的是,DFIR一詞自首次提出以來已經發生了變化。 當今的組織擁有數百台甚至數千台計算機,每台計算機都有數百甚至數 TB 的儲存空間,因此從所有受感染的計算機中捕獲和分析完整磁碟映像的傳統方法不再適用。
目前的情況需要一種更精確的方法來捕獲和分析每台損壞機器的具體資訊。
目標:確保威脅已完全消除。
遏制階段完成後,安全團隊將進入 ** 階段,該階段可以通過磁碟清理、還原到乾淨備份或重新映像整個磁碟來處理。 清理包括刪除惡意檔案以及刪除或修改登錄檔項。 另一方面,重新映像意味著重新安裝作業系統。
在採取任何行動之前,IR 團隊需要參考所有組織策略,例如要求在發生惡意軟體攻擊時重新映像特定計算機。
與前面的步驟一樣,文件在**階段起著重要作用。 IR 團隊應仔細記錄在每台機器上採取的操作,以確保不會遺漏任何內容。 作為額外的檢查,可以在該過程完成後主動掃瞄系統,尋找威脅的所有證據。
恢復
目標:恢復正常操作。
所有的辛勤工作都是為了這一刻!恢復階段是系統可以恢復正常業務的最後階段。 在此階段,確定何時恢復運營是乙個關鍵決定。 理想情況下,這一階段的行動可以毫不拖延地採取,但在實踐中,很可能要等到組織的非工作時間或其他更多的空閒時間才能採取行動。
根據Digital Consulting的說法,安全團隊還需要進行最終檢查,以驗證系統上是否仍有任何IOC已恢復正常執行,並且主要問題已得到解決。
在整個事件發生後,安全團隊對此類事件有了更深入的了解,這將有助於將來監控此類事件並建立保護控制措施。
經驗 教訓
目標:在事件發生時記錄事件並提高系統效能。
成功解決事件後,接下來需要做的就是反思每個主要的 IR 步驟並回答關鍵問題。 有許多問題和方面需要仔細考慮和審查,以下是一些例子:
識別階段:從第一次遭到入侵到檢測到安全事件已經過去了多長時間?•收容階段:控制安全事件需要多長時間?•階段:威脅發生後是否仍會發現惡意軟體或有任何入侵跡象?深入研究這些問題可以幫助安全團隊重新思考基本問題,例如:他們有合適的工具嗎?員工是否接受過充分的培訓來應對安全事件?
然後,週期回到準備階段,安全團隊可以進行必要的改進,例如更新事件響應計畫模板、技術和流程,並為團隊提供更好的培訓。
維護安全的 4 個專業技巧
最後,有四個建議需要牢記:
1. 記錄的次數越多,調查就越容易。 確保盡可能多地記錄以節省金錢和時間。 2. 通過模擬對自己系統的攻擊來保持網路的就緒狀態。 這有助於揭示組織中的 SOC 團隊如何分析警報及其在實際事件中的通訊能力。 3. 人員對組織的安全態勢至關重要。 95% 的網路入侵是由人為錯誤引起的,這就是為什麼對終端使用者和安全團隊進行定期培訓至關重要的原因。 4. 考慮聘請專門的第三方投資者關係團隊隨時進行干預,以幫助解決可能超出安全團隊解決能力範圍的複雜事件。 這些團隊可能已經解決了數百起事件,擁有豐富的 IR 經驗,並擁有快速啟動和執行以加速我們自己的 IR 流程的必要工具。
評論幾代人的諮詢
網路安全事件響應是一項複雜而緊迫的任務,需要全面、協調的策略,以確保安全團隊在威脅出現時能夠快速有序地做出響應。
建立完善的監控機制,實時跟蹤網路流量和異常活動,是預防安全事件的第一步。
其次,制定明確的應急計畫可以在緊急情況下提供強有力的指導。
此外,資訊共享也是加強網路安全的關鍵,通過與其他組織合作及時獲取威脅情報,可以幫助加快整體網路安全事件響應速度。
the end 】—