关于长亭空间
超值服务提供卓越产品
安全团队必须能够尽快阻止威胁并恢复正常运营,这就是网络安全团队不仅要有正确的工具,还要了解如何有效地应对事件的原因,这一点至关重要,可以自定义诸如事件响应模板之类的资源,以定义具有角色和职责、流程和行动项核对清单的计划。
但准备工作不能止步于此,团队必须不断进行培训,以适应威胁的快速发展,必须利用每一次安全事件作为教育机会,帮助企业更好地为未来的事件做好准备,甚至预防。
SANS研究所定义了一个框架,包括成功的网络安全事件响应的六个步骤。
虽然这些阶段遵循逻辑流程,但你可能需要返回到流程中的前一个阶段,以重复次错误或不完全完成的特定步骤。
是的,这会减慢速度,但更重要的是彻底完成每个阶段,而不是试图节省时间加快步骤。
有权访问你的系统的每个人都需要为事件做好准备,而不仅仅是事件响应团队。大多数网络安全漏洞都应归咎于人为错误。因此,网络安全事件响应的步也是重要的一步是教育人员要寻找什么,利用模板化的事件响应计划为所有参与者(安全负责人、运营经理、帮助台团队、身份和访问经理以及审计、合规性、沟通和管理人员)确定角色和责任,可以确保高效的协调。
攻击者将继续发展他们的社会攻击和鱼叉式网络钓鱼技术,试图在培训和认知活动中领先一步。虽然现在大多数人都知道不理睬一封写得很糟糕的电子邮件,因为它承诺用一小笔预付款来换取奖励,但一些目标会成为非工作时间短信的受害者,假装成他们的老板,请求帮助完成一项紧急的任务。为了适应这些变化,你的内部培训必须定期更新,以反映的趋势和技术。
你的事件响应人员-或安全操作中心(SOC,如果你有的话)-也需要定期培训,理想情况下是基于实际事件的模拟。高强度的桌面练习可以提高警惕,让你的团队有一种体验真实世界事件的感觉。你可能会发现,一些团队成员在热度很高时表现出色,而其他一些成员则需要额外的培训和指导。
你准备的另一个部分是勾勒出具体的应对策略,常见的方法是遏制和根除这一事件,另一种选择是观察正在进行的事件,这样你就可以评估攻击者的行为并确定他们的目标,前提是这不会造成不可挽回的伤害。
除了培训和策略,技术在事件应对中发挥着巨大的作用,日志是一个关键组件。简单地说,日志记录越多,网络安全事件响应团队调查事件就越容易、越高效。
此外,通过使用具有集中控制的端点检测和响应(EDR)平台或扩展检测和响应(XDR)工具,你可以快速采取防御措施,如隔离计算机、断开它们与网络的连接以及大规模执行对抗命令。
网络安全事件响应需要的其他技术包括虚拟环境,可以在其中分析日志、文件和其他数据,以及足够的存储空间来存储这些信息。你不想在设置虚拟机和分配存储空间的过程中浪费时间。
,你需要一个系统来记录你对事件的调查结果,无论是使用电子表格还是专用的网络安全事件响应文档工具。你的文档应包括事件发生的时间线、受影响的系统和用户以及你发现的恶意文件和危害指示器(IOC)(包括当时和追溯的情况)。
有几种方法可以确定事件已经发生或当前正在进行。
如果不警惕警觉疲劳,任何关于身份识别的讨论都是不完整的。
如果你的安全产品的检测设置拨得太高,你将收到太多有关终端和网络上不重要活动的警报,这是一种让团队不知所措的好方法,可能会导致许多被忽视的警报。
相反的情况是,你的设置拨得太低,也同样有问题,因为你可能会错过关键事件。平衡的安全态势将提供恰到好处的警报数量,这样你就可以识别值得进一步调查的事件,而不会感到警报疲劳。你的安全供应商可以帮助你找到适当的平衡,理想情况下,还可以自动过滤警报,以便你的团队能够专注于重要的事情。
在识别阶段,你将记录从警报收集的所有危害指标(IOC),例如受危害的主机和用户、恶意文件和进程、新注册表项等。
一旦你记录了所有IOC,你将进入遏制阶段。
遏制既是一种战略,也是国际关系中的一个明显步骤。
你将希望建立一种适合你的特定企业的方法,同时考虑到安全和业务影响。尽管将设备与网络隔离或断开连接可以防止攻击在整个企业中传播,但也可能导致重大的财务损失或其他业务影响。这些决定应该提前做出,并在你的投资者关系战略中明确阐述。
遏制可以分为短期和长期两个步骤,每一个步骤都有独特的含义。
在遏制阶段,你需要确定域控制器、文件服务器和备份服务器等关键设备的优先顺序,以确保它们不会受到威胁。
此阶段的其他步骤包括记录事件期间包含的资产和威胁,以及根据设备是否受到攻击对设备进行分组。如果你不确定,就做坏的打算。一旦对所有设备进行了分类并满足你对遏制的定义,此阶段就结束了。
在这个阶段,值得注意的是事件响应的另一个重要方面:调查。
调查在整个事件响应过程中进行,虽然它本身不是一个阶段,但在执行每一步时都应该牢记这一点,调查旨在回答有关哪些系统被访问以及入侵来源的问题,当事件得到控制后,团队可以通过从磁盘和内存映像以及日志等来源捕获尽可能多的相关数据来促进彻底调查。
你可能熟悉术语数字取证和事件响应(DFIR),但值得注意的是,事件响应取证的目标不同于传统取证的目标,在信息检索中,取证的主要目标是帮助尽可能有效地从一个阶段进入下一个阶段,以便恢复正常的业务运营。
数字取证技术旨在从捕获的任何证据中提取尽可能多的有用信息,并将其转化为有用的情报,有助于建立事件的更完整图景,甚至有助于起诉坏人。
为已发现的构件添加上下文的数据点可能包括攻击者如何进入网络或四处移动、访问或创建了哪些文件、执行了哪些进程等。当然,这可能是一个耗时的过程,可能会与事件响应冲突。
值得注意的是,DFIR自这个术语首次被创造以来已经发生了演变。如今,企业拥有成百上千台计算机,每台计算机都有数百GB甚至数TB的存储空间,因此从所有受损计算机捕获和分析完整磁盘映像的传统方法已不再实用。
目前的情况需要一种更外科的方法,即捕获和分析来自每台受危害机器的特定信息。
遏制阶段完成后,你可以转移到根除,这可以通过磁盘清理、恢复到干净备份或完全磁盘重新映像来处理,清除需要删除恶意文件以及删除或修改注册表项,重新映像意味着重新安装操作系统。
在采取任何行动之前,事件响应团队需要参考任何组织策略,例如,要求在发生恶意软件攻击时重新映像特定计算机。
与前面的步骤一样,文件在根除过程中发挥了作用。事件响应团队应仔细记录在每台机器上采取的操作,以确保不会遗漏任何内容。作为另一项检查,你可以在根除过程完成后对系统执行主动扫描,以查找该威胁的任何证据。
你们所有的努力都引领着我们来到这里!恢复阶段是指你可以像往常一样恢复业务。在这一点上,确定何时恢复操作是关键决策。理想情况下,这可以毫不延迟地进行,但可能需要等待组织的非工作时间或其他静默期。
再检查一次,以验证恢复的系统上是否没有任何IOC。你还需要确定根本原因是否仍然存在,并实施适当的修复。
现在你已经了解了这种类型的事件,你将能够在未来对其进行监控并建立保护性控制。
现在事件已经过去了,是时候反思事件响应的每个主要步骤并回答关键问题了,有很多问题和方面需要提出和审查,下面是几个例子:
探讨这些问题将帮助你后退一步,重新考虑基本的问题,比如:我们有正确的工具吗?我们的员工是否接受了应对事故的适当培训?
然后循环返回到准备阶段,你可以在此进行必要的改进,例如更新事件响应计划模板、技术和流程,并为你的员工提供更好的培训。
让我们用4个的建议来结束吧,记住: