正式的事件响应计划使网络安全团队能够限制或防止网络攻击或安全漏洞造成的损害。
事件响应(有时称为网络安全事件响应)是指组织用于检测和响应网络威胁、安全漏洞或网络攻击的流程和技术。事件响应的目标是在网络攻击发生之前预防网络攻击,并最大限度地减少因网络攻击而造成的成本和业务中断。
理想情况下,组织在正式的事件响应计划 (IRP) 中定义事件响应流程和技术,该计划准确指定应如何识别、遏制和解决不同类型的网络攻击。有效的事件响应计划可以帮助网络安全团队检测和遏制网络威胁并更快地恢复受影响的系统,并减少与这些威胁相关的收入损失、监管罚款和其他成本。IBM 的2022 年数据泄露成本报告发现,拥有事件响应团队和定期测试事件响应计划的组织的平均数据泄露成本比没有事件响应团队和 IRP 的组织低 266 万美元。
安全事件是指威胁组织信息系统或敏感数据的机密性、完整性或可用性的任何数字或物理破坏。安全事件的范围包括从黑客或未经授权用户的故意网络攻击到合法授权用户无意中违反安全策略。
一些最常见的安全事件包括:
勒索软件:勒索软件是一种恶意软件,它会锁定受害者的数据或计算设备,并威胁要保持其锁定状态(或更糟),除非受害者向攻击者支付赎金。根据IBM的《2022年数据泄露成本》报告,勒索软件攻击在2021年至2022年间增加了41%。有兴趣的可以查看最新版数据泄露成本报告。
网络钓鱼和社会工程:网络钓鱼攻击是数字或语音消息,试图操纵收件人共享敏感信息、下载恶意软件、将资金或资产转移给错误的人,或采取其他一些破坏性行动。诈骗者精心制作网络钓鱼消息,使其看起来或听起来像是来自受信任或可信的组织或个人(有时甚至是收件人认识的个人)。
根据 IBM 的《2022 年数据泄露成本》报告,网络钓鱼是造成数据泄露成本最高、也是第二常见的原因。也是最常见的社会工程形式——一类攻击人性而不是数字安全漏洞的攻击,以获得对敏感个人或企业数据或资产的未经授权的访问。
DDoS 攻击:在分布式拒绝服务 (DDoS) 攻击中,黑客远程控制大量计算机,并利用它们通过流量淹没目标组织的网络或服务器,使合法用户无法使用这些资源。
供应链攻击:供应链攻击是通过攻击目标组织的供应商来渗透的网络攻击,例如,通过从供应商的系统窃取敏感数据,或使用供应商的服务来分发恶意软件。2021年7月,网络犯罪分子利用 Kaseya VSA 平台中的缺陷,以合法软件更新为幌子向客户传播勒索软件。根据 IBM 的2021 年网络弹性组织研究,尽管供应链攻击的频率不断增加,但只有 32% 的组织针对这种特定网络威胁制定了事件响应计划。
内部威胁:内部威胁有两种类型。恶意内部人员是故意危害组织信息安全的员工、合作伙伴或其他授权用户。疏忽的内部人员是指未遵循安全最佳实践(例如使用弱密码或将敏感数据存储在不安全的地方)而无意中损害安全性的授权用户。
事件响应计划
如上所述,组织的事件响应工作以事件响应计划为指导。通常,这些由计算机安全事件响应团队 (CSIRT) 创建和执行,该团队由整个组织的利益相关者组成,包括首席信息安全官 (CISO)、安全运营中心 (SOC) 和 IT 人员,还包括来自执行领导层的代表、法律、人力资源、法规遵从和风险管理。
事件响应计划通常包括
-
CSIRT每位成员的角色和职责; -
将在整个企业范围内安装的安全解决方案(软件、硬件和其他技术)。 -
业务连续性计划概述了在发生中断时尽快恢复关键受影响系统和数据的程序; -
详细的事件响应方法,列出了事件响应过程每个阶段要采取的具体步骤(见下文)以及由谁采取; -
用于向公司领导、员工、客户甚至执法部门通报事件的沟通计划; -
收集信息和记录事件以供事后审查和(如有必要)法律程序的记录说明。
CSIRT 针对不同类型的事件起草不同的事件响应计划并不罕见,因为每种类型可能需要独特的响应。根据IBM的2021年网络弹性组织研究,大多数组织都有与DDoS攻击、恶意软件和勒索软件以及网络钓鱼相关的具体事件响应计划,近一半组织有针对内部威胁的计划。
一些组织通过提供事件响应服务的外部合作伙伴来补充内部 CSIRT。这些合作伙伴通常负责保留工作,协助事件管理流程的各个方面,包括准备和执行 IRP。
事件响应流程
大多数IRP遵循相同的通用事件响应框架,框架基于 SANS Institute、美国国家标准与技术研究院 (NIST) 以及网络安全和基础设施局 (CISA) 开发的事件响应模型。
准备:事件响应的第一阶段也是一个持续的阶段,以确保 CSIRT 始终拥有最佳的程序和工具来响应,以尽可能快地识别、遏制事件并在业务中断最小的情况下从事件中恢复。
通过定期风险评估,CSIRT可以识别网络漏洞,定义对网络构成风险的各种类型的安全事件,并根据每种类型对组织的潜在影响确定其优先级。根据此风险评估,CSIRT可能会更新现有的事件响应计划或起草新的计划。
检测与分析:在此阶段,安全团队成员监视网络是否存在可疑活动和潜在威胁。他们分析从设备日志和网络上安装的各种安全工具(防病毒软件、防火墙)收集的数据、通知和警报,过滤掉误报并按严重程度对实际警报进行分类。
如今,大多数组织使用一种或多种安全解决方案(例如 SIEM(安全信息和事件管理)和EDR(端点检测和响应))来帮助安全团队实时监控和分析安全事件,并自动化事件检测和响应流程。
沟通计划也在这一阶段发挥作用。一旦 CSIRT 确定了他们正在处理的威胁或违规类型,他们将在进入事件响应流程的下一阶段之前通知相应人员。
遏制:事件响应团队采取措施阻止违规行为对网络造成进一步损害。遏制活动可分为两类:
-
短期遏制措施的重点是通过隔离受影响的系统(例如使受感染的设备离线)来防止当前威胁蔓延。
-
长期遏制措施的重点是通过在未受影响的系统周围设置更强大的安全控制来保护它们,例如将敏感数据库与网络的其余部分分开。
在此阶段,CSIRT可以创建受影响和未受影响系统的备份,以防止额外的数据丢失,并捕获事件的取证证据以供将来研究。
根除:一旦威胁得到遏制,团队就会继续全面修复并从系统中彻底消除威胁。这涉及主动消除威胁本身,例如销毁恶意软件、从网络中启动未经授权或恶意用户,以及审查受影响和未受影响的系统,以确保不留下任何违规痕迹。
恢复:当事件响应团队确信威胁已完全消除时,他们会将受影响的系统恢复正常运行。这可能涉及部署补丁、从备份重建系统以及使修复后的系统和设备重新上线。
事后审查:在事件响应过程的每个阶段,CSIRT 都会收集违规证据并记录为遏制和消除威胁而采取的步骤。在此阶段,CSIRT 会审查此信息以更好地了解事件。CSIRT 致力于确定攻击的根本原因、确定攻击如何成功破坏网络并解决漏洞,以便今后不再发生此类事件。
CSIRT 还会审查哪些进展顺利,并寻找改进系统、工具和流程的机会,以加强针对未来攻击的事件响应计划。根据违规情况,执法部门也可能参与事件后调查。
如上所述,除了描述 CSIRT 在发生安全事件时应采取的步骤之外,事件响应计划通常还会概述事件响应团队应具备的安全解决方案,以执行或自动化关键事件响应工作流程,例如收集关联安全数据、实时检测事件并对正在进行的攻击做出响应。
一些最常用的事件响应技术包括:
-
SIEM(安全信息和事件管理):SIEM聚合并关联来自不同内部安全工具(例如防火墙、漏洞扫描器、威胁情报源)和网络上设备的安全事件数据。SIEM 可以帮助事件响应团队通过这些工具生成的大量通知中的实际威胁指标来应对“警报疲劳”。
-
SOAR(安全编排、自动化和响应): SOAR 使安全团队能够定义剧本(协调不同安全操作和工具以响应安全事件的正式工作流程),并在可能的情况下自动化部分工作流程。
-
EDR(端点检测和响应):EDR是一款软件,旨在自动保护组织的最终用户、端点设备和 IT 资产免受可绕过防病毒软件和其他传统端点安全工具的网络威胁。EDR从网络上的所有端点连续收集数据;实时分析数据以查找已知或可疑网络威胁的证据,并可以自动响应以防止或最大程度地减少其识别的威胁造成的损害。
-
XDR(扩展检测和响应): XDR 是一种网络安全技术,统一了混合 IT 环境(端点、网络、私有云和公共云)中的安全工具、控制点、数据和遥测源以及分析,以创建单一的中央企业系统用于威胁预防、检测和响应。XDR 是一项新兴技术,有潜力帮助过度扩展的安全团队和安全运营中心 (SOC)通过消除安全工具之间的孤岛和整个网络威胁杀伤链的自动化响应来事半功倍。
-
UEBA(用户和实体行为分析):( UEBA)使用行为分析、机器学习算法和自动化来识别异常和潜在危险的用户和设备行为。UEBA 在识别内部威胁(恶意内部人员或使用受损内部凭证的黑客)方面特别有效,这些威胁可以逃避其他安全工具,因为它们模仿授权的网络流量。UEBA功能通常包含SIEM、EDR 和 XDR解决方案。
-
ASM(连接表面管理):ASM解决方案可自动连续发现、分析、修复和监控组织攻击面中所有资产的漏洞和潜在攻击向量。ASM 可以发现以前未监控的网络资产、映射资产之间的关系。
|
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论