虽然现代安全工具不断提高保护组织网络和端点的有效性,但攻击者总是在寻找新的入侵方法。
确保安全团队能够快速响应威胁并有效地恢复正常运营至关重要。 因此,这些团队不仅需要配备正确的工具,还需要了解如何有效应对安全事件。 可以自定义事件响应模板等资源,以创建包含角色和职责、流程步骤和特定操作列表的计划。
根据Digital Consulting的说法,准备工作不应止步于此。 安全团队还必须不断接受培训,以适应快速演变的威胁。 每一次安全事件都是一个很好的培训机会,可以帮助组织更好地准备甚至预防未来的安全事件。
SANS 研究所为成功的应急响应定义了一个六步框架。
1.准备准备。
2.识别检测。
3.遏制。
4、eradication **
5. 恢复。
6 经验教训 尽管此应急响应步骤是流程的逻辑顺序,但可能仍需要返回到流程中的前一个阶段,以重复第一次错误或未完成的特定步骤。
当然,这会减慢整个应急响应过程,但确保每个阶段都充分完成比节省时间更重要。
制备
目标:使团队能够更高效地处理事件。
不仅是应急响应团队,每个有权访问该系统的人都需要为安全事件做好准备。 事实上,大多数网络安全漏洞都归咎于人为错误。 因此,在IR(事件响应)过程中,最重要和最要做的就是提高员工的意识。 组织需要利用模板化的事件响应计划来明确所有参与者(安全领导者、运营经理、身份和访问经理以及审计、合规性、通信和高层管理人员)的角色和职责,以确保有效协调。
攻击者不断改进他们的社会工程攻击和鱼叉式网络钓鱼技术,目的是在受害者接受培训和提高网络安全意识之前找到新的攻击方法以保持领先地位。 虽然今天大多数人都知道要提防诸如“微不足道的电子邮件”和“承诺在支付少量预付款后获得奖励”之类的事件,但攻击者仍然可能假装是目标的老板,并在非工作时间向他们发送短信以处理紧急任务,以便为受害者制造“陷阱”。 为了应对不断升级的攻击媒介的不断发展,必须定期更新安全团队的内部培训,以提高员工应对潜在威胁的意识和能力。
如果团队配备了事件响应者或 SOC(安全运营中心),则还需要定期培训,最好基于基于实际事件的模拟培训。 紧张的桌面演练可以激发团队成员的紧迫感,让他们对实际事件感到更加真实。 在演练过程中,我们可以发现,在压力下,一些团队成员表现良好,而另一些人可能需要额外的培训和指导。
准备工作的另一部分是制定具体的应对策略。 执行此操作的最常见方法之一是包含和清理事件。 另一种选择是观察正在发生的事件,以评估攻击者的行为并确定他们的目标,前提是这不会造成无法弥补的损害。
除了培训和策略之外,技术在事件响应中也发挥着重要作用。 日志记录是其中的关键组成部分。 简而言之,您拥有的记录越多,事件响应团队在调查事件时就越容易、越高效。
此外,使用具有集中控制功能的端点检测和响应 (EDR) 平台或扩展检测和响应 (XDR) 工具可帮助团队快速采取防御措施,例如隔离计算机、断开计算机与网络的连接以及大规模执行对抗性命令。
可应用于事件响应的技术还包括虚拟环境,该环境可用于分析日志、文件和其他数据,并提供足够的存储空间来存储该信息。 需要注意的是,此虚拟环境和存储空间应在事件发生之前准备好,而不是浪费时间设置虚拟机或在紧急情况下分配存储空间。 这确保了当事件发生时,团队可以快速有效地分析和存储数据,从而更有效地响应事件。
最后,安全团队需要一个系统来记录事故发现,无论是以电子方式还是使用专用的 IR 文档工具。 文档应记录事件的时间表、受影响的系统和用户,以及组织在事件发生时和事件发生后发现的恶意文件和威胁指标 (IOC)。
检波
目标:检测是否发生了入侵并收集威胁情报
有几种方法可以确定是否发生了安全事件或事件是否正在进行中
内部测试:安全事件的发现可以归因于内部监控团队,也可以归因于组织其他成员在进行安全意识培训后的敏锐意识。 他们甚至可以在主动威胁搜寻演练期间通过来自一个或多个安全产品的警报来检测它。 •外部检测:第三方顾问或托管服务提供商可以使用安全工具或威胁搜寻技术代表安全团队检测安全事件。 此外,业务合作伙伴还可以通过检测异常行为来检测可能的安全事件。 •数据泄露披露:最坏的情况是,当您意识到发生了安全事件,并且数据已从组织内部泄露并发布在 Internet 或暗网上**。 当泄露的数据包含敏感的客户数据,并且整个事件在组织有机会准备协调的公共响应之前就泄露给**时,影响甚至更糟。 在威胁检测方面,不得不提到警报疲劳。
根据Digital Consulting的说法,如果安全产品的检测设置过于严格,组织将收到大量有关端点和网络上不重要活动的警报。 这可能会给团队带来很大的压力,导致更重要的警报被忽视。
相反,如果设置过于保守,也可能有问题,团队将错过许多关键事件。 平衡的安全策略提供适量的警报,以帮助团队识别需要进一步调查的安全事件,而不会感到疲惫。 同时,安全供应商可以帮助团队找到适当的平衡点,理想情况下,可以自动过滤警报,以便他们可以专注于重要的事情。
在检测阶段,安全团队需要记录从警报中收集的所有入侵指标 (IOC),例如受影响的主机和用户、恶意文件和进程、新的注册表项等。
一旦记录了所有威胁指标 (IOC),安全团队就会进入遏制阶段。
遏制
目标:将损失降到最低。
遏制不仅是IR中的一个明确步骤,也是一种策略。
安全团队需要建立一种适用于其组织的特定方法,同时具有安全性和业务影响。 虽然设备隔离和网络中断可以防止攻击在整个组织中传播,但它们也可能导致重大的财务损失或其他业务影响。 这些决定应提前做出,并在投资者关系战略中阐明。
遏制可以分为短期和长期步骤,每个步骤都有其独特的影响。
短期这包括安全团队当时可能采取的措施,例如关闭系统、断开设备与网络的连接以及主动观察攻击者的活动。 每个步骤都有其优点和缺点。 •长期的:理想情况下,应将受感染的系统隔离在网络之外,以便它可以安全地进入**阶段。 但是,此措施并不总是成功的,因此安全团队可能还需要采取其他措施,例如修补漏洞、更改密码、终止特定服务等。 在遏制阶段,安全团队需要确定关键设备的优先级,例如域控制器、文件服务器和备份服务器,以确保它们不会受到损害。
此阶段的其他步骤包括记录事件期间包含的资产和威胁,以及根据设备是否受到威胁对设备进行分组。 如果不确定,那么假设最坏的情况。 一旦所有设备都经过分类并符合安全团队的遏制定义,那么这个阶段就结束了。
奖励步骤:调查
目标:确定5w1h(攻击者、事件内容、攻击时间、攻击位置、攻击动机、攻击方式)。
在这个阶段,还有另一个值得注意的重要方面:调查
调查是贯穿始终的重要因素。 虽然调查本身不是一个单独的阶段,而是与整个过程交织在一起,但在进行每个具体步骤时,都应时刻保持重视和重视。 调查的目的是找出访问了哪些系统以及入侵的来源是什么。 一旦事件得到控制,团队就可以通过从磁盘和内存镜像和日志等内容中捕获尽可能多的相关数据来进行彻底的调查。
数字取证和事件响应 (DFIR) 一词广为人知,但值得注意的是,事件响应的取证目标与传统取证不同。 在 IR 中,取证的主要目标是帮助尽可能高效地过渡到下一阶段,以恢复正常的业务运营。
根据数字取证的说法,数字取证技术旨在从捕获的所有证据中提取尽可能多的有用信息,并将其转化为有用的情报,以帮助建立对事件的更全面理解,甚至帮助起诉攻击者。
为了提供上下文来解释发现的证据,安全团队可能需要数据点,例如攻击者如何进入或移动、访问或创建了哪些文件、执行了哪些流程等。 当然,这可能是一个耗时的过程,可能会与 IR 发生冲突。
需要注意的是,DFIR一词自首次提出以来已经发生了变化。 当今的组织拥有数百台甚至数千台计算机,每台计算机都有数百甚至数 TB 的存储空间,因此从所有受感染的计算机中捕获和分析完整磁盘映像的传统方法不再适用。
目前的情况需要一种更精确的方法来捕获和分析每台损坏机器的具体信息。
目标:确保威胁已完全消除。
遏制阶段完成后,安全团队将进入 ** 阶段,该阶段可以通过磁盘清理、还原到干净备份或重新映像整个磁盘来处理。 清理包括删除恶意文件以及删除或修改注册表项。 另一方面,重新映像意味着重新安装操作系统。
在采取任何行动之前,IR 团队需要参考所有组织策略,例如要求在发生恶意软件攻击时重新映像特定计算机。
与前面的步骤一样,文档在**阶段起着重要作用。 IR 团队应仔细记录在每台机器上采取的操作,以确保不会遗漏任何内容。 作为额外的检查,可以在该过程完成后主动扫描系统,寻找威胁的所有证据。
恢复
目标:恢复正常操作。
所有的辛勤工作都是为了这一刻!恢复阶段是系统可以恢复正常业务的最后阶段。 在此阶段,确定何时恢复运营是一个关键决定。 理想情况下,这一阶段的行动可以毫不拖延地采取,但在实践中,很可能要等到组织的非工作时间或其他更多的空闲时间才能采取行动。
根据Digital Consulting的说法,安全团队还需要进行最终检查,以验证系统上是否仍有任何IOC已恢复正常运行,并且主要问题已得到解决。
在整个事件发生后,安全团队对此类事件有了更深入的了解,这将有助于将来监控此类事件并建立保护控制措施。
经验 教训
目标:在事件发生时记录事件并提高系统性能。
成功解决事件后,接下来需要做的就是反思每个主要的 IR 步骤并回答关键问题。 有许多问题和方面需要仔细考虑和审查,以下是一些例子:
识别阶段:从第一次遭到入侵到检测到安全事件已经过去了多长时间?•收容阶段:控制安全事件需要多长时间?•阶段:威胁发生后是否仍会发现恶意软件或有任何入侵迹象?深入研究这些问题可以帮助安全团队重新思考基本问题,例如:他们有合适的工具吗?员工是否接受过充分的培训来应对安全事件?
然后,周期回到准备阶段,安全团队可以进行必要的改进,例如更新事件响应计划模板、技术和流程,并为团队提供更好的培训。
维护安全的 4 个专业技巧
最后,有四个建议需要牢记:
1. 记录的次数越多,调查就越容易。 确保尽可能多地记录以节省金钱和时间。 2. 通过模拟对自己系统的攻击来保持网络的就绪状态。 这有助于揭示组织中的 SOC 团队如何分析警报及其在实际事件中的通信能力。 3. 人员对组织的安全态势至关重要。 95% 的网络入侵是由人为错误引起的,这就是为什么对最终用户和安全团队进行定期培训至关重要的原因。 4. 考虑聘请专门的第三方投资者关系团队随时进行干预,以帮助解决可能超出安全团队解决能力范围的复杂事件。 这些团队可能已经解决了数百起事件,拥有丰富的 IR 经验,并拥有快速启动和运行以加速我们自己的 IR 流程的必要工具。
评论几代人的咨询
网络安全事件响应是一项复杂而紧迫的任务,需要全面、协调的策略,以确保安全团队在威胁出现时能够快速有序地做出响应。
建立完善的监控机制,实时跟踪网络流量和异常活动,是预防安全事件的第一步。
其次,制定明确的应急计划可以在紧急情况下提供强有力的指导。
此外,信息共享也是加强网络安全的关键,通过与其他组织合作及时获取威胁情报,可以帮助加快整体网络安全事件响应速度。
the end 】—