如图5所示,处理事件需要三种不同的活动:分析、缓解和通信。
分析与事件调查有关,以了解危害的程度和对系统(尤其是数据)的损害。如果数据丢失或被更改,则损害可能非常严重。因此,调查必须评估究竟哪些内容遭到了损害,哪些内容未受到损害,以及妥协发生的时间。这是非常困难的,因为某些攻击的持续时间(几个月),攻击者部署的隐蔽技术保持隐藏(擦除日志或系统,加密通信),以及冻结和与系统交互的难度(攻击者检测到交互可能会采取非常破坏性的行动)和收集证据。
缓解措施与部署可以控制事件并限制其影响的应急措施有关。缓解措施必须首先限制攻击者在被发现时可能触发的对系统造成的损害,例如信息擦除或泄露。它还必须确保攻击者不会传播到其他系统。遏制可能包括阻止某些外围的网络访问,或关闭服务、系统或通信。不幸的是,遏制可能会对理想的功能产生不利影响。例如,切断网络访问可以防止攻击者与受感染的系统进行通信,但也使修补或备份它们变得更加困难。
缓解措施通常会泄露有关攻击者、其方法和目标的其他信息。因此,图5包括分析和缓解之间的闭环,以强调分析和缓解应被理解为相互喂养的事实。
如第7.1节所述,通信是事件处理的一个组成部分。一旦确定了损害的程度,就有必要提醒当局并根据需要遵守法规。
事件响应的最后一步是验证是否已实现全部危害并清理系统。恢复系统也与可靠性工程有关,因为系统集成商必须进行规划,系统操作员必须维护以便在发生损坏时进行恢复。
事后活动的另一个重要方面是衡量团队和程序的绩效,以改进它们。这通常是困难的,艾哈迈德等人指出了与这一困难相关的几个因素。首先,这意味着牺牲短期目标(处理当前事件并恢复正常运营)来改善长期行为(例如,更快和/或更准确的缓解措施)。后续行动中应予考虑的另一个方面是事件的影响。虽然重大事件通常会导致事后分析和政策变化,但低影响事件可能被排除在后续程序之外。但是,通常情况下,这些低影响事件占据了用于事件管理的资源的主要部分,因此它们应该也探索过。
沟通也是后续行动的一个重要方面。从事件中吸取的经验教训应该会影响事件培训,以确保响应者掌握最新的攻击者方法。它还应该能够与同行共享信息,以便将最佳实践传播到整个社区,从影响事件以外的事件中学习。每个组织。
另一个相关主题是攻击归因。目的是了解攻击的来源和原因,特别是攻击者的动机。这将有助于将系统还原到工作状态,并防止以后受到损害。
一些关于归因的工作集中在恶意软件分析上,以提供攻击来源的技术证据。目的是在恶意软件代码中找到其根源的证据,例如代码重用或可能解释作者动机的评论。这实现了恶意软件家族的定义,这可能有助于定义更通用的IoC来检测恶意代码的传播,即使确切的变体未知。恶意软件作者确实使用了许多技术来使这变得困难,如第3.1节所述。
其他关于归因的工作观察网络活动以提取共性。攻击者群体可能共享命令和控制(C&C)基础设施,因此攻击可能来自相同的IP地址或使用相同的域名。他们可能会重用服务,从而使用外观相似的URL或命令。
然而,归因是非常昂贵的,特别是如果目标是使用取证技术来支持法律行动。目前,取证和归因仍然是一个非常具体的领域,不包括在安全运营和事件管理中,因为它们需要的专业知识,工具和时间超出了SIEM的范围。分析师配备控制台可以提供。
使用通过取证技术收集的信息的法律行动在取证关键领域描述中进行了讨论。
8 结论
“安全操作和事件管理”域包括许多主题。从技术角度来看,SOIM需要能够通过收集代表该活动的跟踪来观察信息系统或网络的活动。然后,它需要能够实时或几乎实时地分析这些跟踪,以检测这些跟踪中包含的恶意事件,并发送与这些事件相关的警报。恶意事件的定义取决于分析技术和用于执行检测的数据源。检测到攻击后,必须在SIEM平台上对其进行报告和分析,以评估攻击的影响并确定可用于阻止攻击或减轻其影响的潜在补救措施。影响。
从运营的角度来看,SOIM在很大程度上是一个过程,这个过程的定义需要强有力的管理。它依靠人员来执行许多任务,从配置检测器到分析警报,再到决定补救措施。因此,熟练的分析师是安全运营和事件管理的基石之一。另一个关键方面是规划,因为在任何事情发生之前,所有工具和人员都必须到位。最后,SOIM价格昂贵,既需要复杂的工具,也需要熟练的全天候人员来管理它们。然而,我们社会对数字工具的严重依赖以及监管环境要求这些工具和流程在任何地方都到位。
原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(二十九):处理:实际事件响应&后续行动:事后活动
评论