九维团队-青队（处置）| 《事件响应和计算机取证》之为不可避免的事件做好准备（三）

准备和应对计算机安全事件是具有挑战性的。随着技术和变化不断加快，似乎我们很容易跟不上节奏。但是，在过去的30年中，我们在各种规模的组织中响应了数百起事件，学到了一些有趣的东西。关于本章，有两个具体的观点。首先，大多数事件响应的挑战是非技术性的。其次，调查计算机安全事件的核心原则与非技术性的调查没有区别。真正的挑战在于超越流行语和营销炒作，试图让你相信其他情况。

我们希望在本章中提供的信息将帮助您切入流行语，剁碎营销炒作，专注于构建坚实的事件响应程序的真正重要性。这其中将会涉及到一些基础知识，例如计算机安全事件是什么，响应的目标是什么以及谁参与了这个过程。然后，我们将涵盖调查生命周期、关键信息跟踪和报告。我们发现，花时间思考这些领域的组织比那些没有这样做的组织执行事件响应活动更成功。

定义计算机安全事件可以确定团队的工作范围并提供重点。建立这个定义很重要，这样每个人都能理解团队的责任。如果你还没有，你应该为你的组织创建一个“计算机安全事件”的定义。没有一个单一的公认定义，但我们认为计算机安全事件是具有以下特征的任何事件：

• 有意造成伤害

• 由人执行

• 涉及计算资源

让我们简要讨论一下这些特征。前两个特征与许多常见的非技术事件（如纵火、盗窃和攻击）一致。如果没有意图造成伤害，很难称之为事件。请记住，可能没有立即的伤害。例如，使用漏洞扫描的意图是恶意使用结果，这并不会立即造成可检测的伤害，但是恶意的意图肯定存在。第三个特征，需要人的参与，排除了随机的系统故障或我们无法控制的因素，例如天气。防火墙由于停电而失效并不一定是一个事件，除非有人导致它或利用它并做了他们未被授权的事情。

最后一个特征是使事件成为计算机安全事件的地方：事件涉及计算资源。我们使用“计算资源”这个术语，因为有广泛的计算机技术适用于这个范畴。有时计算资源容易被忽视，例如备份介质、电话、打印机、建筑通行证、双因素令牌、摄像头、自动化设备、GPS设备、平板电脑、电视等。计算设备无处不在，有时我们忘记了它们存储了多少信息、控制了什么以及它们连接到了什么。

在进行初始响应之前，可能并不清楚某个事件是否是一起安全事件。可疑的事件应被视为潜在的安全事件，直到证明否则为止。相反，事件调查可能会发现证据表明，一场事件根本不是安全事件。

一些常见的计算机安全事件示例包括：
• 数据盗窃，包括敏感个人信息、电子邮件和文档
• 资金盗窃，包括银行访问、信用卡和电汇欺诈
• 敲诈
• 未经授权访问计算资源
• 恶意软件存在，包括远程访问工具和间谍软件
• 拥有非法或未经授权的材料

这些事件的影响范围可能从需要重建几台计算机，到需要花费大量资金进行纠正，再到组织的完全解散。您在事件发生之前、期间和之后做出的决策将直接影响影响的程度。

事件响应的主要目标是有效地从组织的计算环境中消除威胁，同时尽可能地减少损害并尽快恢复正常运作。这个目标通过以下几个主要活动来实现：
• 调查
• 确定初始攻击向量
• 确定使用的恶意软件和工具
• 确定哪些系统受到影响，以及如何受到影响
• 确定攻击者完成了什么（损害评估）
• 确定事件是否仍在进行中
• 建立事件的时间范围

• Remediate (纠正)
• 使用调查获得的信息，制定并实施纠正计划

事件响应（IR）是一个多方面的学科。它需要来自组织中几个操作单位的资源，这些资源需要具备相关能力。如下文中图片所示，人力资源人员、法律顾问、IT工作人员、公共关系、安全专业人士、公司安全官员、业务经理、帮助台工作人员和其他员工可能会涉及到对计算机安全事件的响应。

在IR事件中，大多数公司会组建一个团队来执行调查和纠正。一位有经验的事件经理最好是一个有能力在调查过程中指导其他业务单位的人来领导调查团队。最后一点的重要性不言而喻。事件经理必须能够及时地从组织中的任何资源获得信息或请求采取行动。这个人通常是CIO、CISO或他们直接指派的人代表他们工作。这个人成为所有调查活动的焦点，并管理大量生成的任务和请求的状态。一位有经验的IT工作人员领导纠正团队。这个人是所有纠正活动的焦点，包括根据调查小组的发现得出的纠正措施、被盗数据的敏感性评估以及将改善组织安全姿态的战略变化。

大多数组织采用分层和混合方法来配置调查和纠正团队。在调查过程中组建和专门的核心团队通常由高级IT人员组成，特别是那些具有日志审查、取证分析和恶意软件分类技能经验的人员。调查小组应该有能力迅速访问日志存储库、系统配置，如果有企业级IR平台可用，则有权搜索相关材料。这个核心小组中的个人可能还包括顾问，以填补运营空白。请注意，如果顾问的经验值得，那么他们领导战术调查可能是可以接受的。纠正团队应该有权指导组织进行必要的更改，以从事件中恢复过来。

在企业范围内进行搜索的授权可能是一件棘手的事情。地区和国家法律可能会限制搜索的范围，特别是在欧洲联盟（EU）。

按需组装的辅助团队通常不需要专门的调查或纠正人员。他们对项目的贡献通常是以任务为导向的，并根据事件经理的要求执行。辅助团队的常见成员包括：
• 来自内部和外部法律顾问的代表
• 行业合规官员（例如，PCI、HIPAA、FISMA和NERC）
• 台式机和服务器IT支持团队成员
• 网络基础设施团队成员
• 业务线管理人员
• 人力资源代表
• 公共关系工作人员

我们将在本书的第3章讨论核心调查和纠正团队的构成；但是，请记住，必须事先建立关系和期望。在调查中了解法律顾问或合规人员的要求是最糟糕的时间。如果您花时间确定适用于您行业的所有报告和流程要求，那么会做的更好。

从合规角度来看，您应该熟悉什么？如果您尚未与内部合规人员见面，他们很可能是您的总法律顾问，请花一天时间聊一下事件的生命周期。了解哪些信息系统属于范围内，以及现有的报告要求。

在某些情况下，范围问题已通过其他方式解决（例如PCI DSS评估）。了解应通知潜在入侵或违规行为的人员以及治理所定义的通知门槛。最重要的是，确定内部负责所有外部沟通的一方，并确保您的团队有能力向这些决策者坦率地发表意见。

您的内部法律顾问应该帮助确定他们感到舒适的报告门槛。各种参数（从事件识别的时间，数据曝光的可能性，潜在曝光的范围）可能与外部方所述的不匹配。

一个臭名昭著的行业是支付卡行业，它在调查中施加流程和标准。一旦卡品牌介入调查，你的恢复次于保护他们的品牌和激励你的组织合规PCI DSS的目标。

我们为一家为面临严峻信息安全问题的组织提供咨询服务的公司工作。鉴于这一点，您可能会期望我们全力支持雇用顾问来帮助解决事件。这有点像询问保时捷代表您是否真的需要他们的最新型号。对于您的公司是否应使用或完全依赖咨询公司的服务，我们的诚实答案取决于许多因素:

• 维护IR团队的成本，除非运营节奏高且可证明的结果得到了产生，否则许多公司无法负担或证明维护经验丰富的IR人员的开销。

• 外包文化许多组织外包业务功能，包括IT服务。令我们惊讶的是，许多财富50强公司中，绝大多数IT服务都是外包的。我们将在后面的章节中讨论这一趋势及其对成功IR的影响。

• 受监管或认证机构的强制执行外部方可以决定您如何应对，例如PCI安全标准委员会。如果您的公司与支付卡行业有关或参与其中，委员会可能会要求“认可”的公司进行调查。

• 调查经验不足雇用经验丰富的咨询公司的服务可能是引导您自己的IR团队的最佳方式。调查是一项高度体验性的技能，随着时间的推移而得到改善。

• 内部专业化不足或有限调查，特别是入侵调查，需要广泛的技能，从熟悉操作系统、应用程序和网络的内部工作方式，到恶意软件分析和纠正过程。

除了公司几乎没有内部IT能力的情况外，我们发现那些自己组建IR小组的组织（无论多么不正式），即使IR小组仅设置为处理调查的初始阶段而另行寻求外部协助，也有更好的机会进行成功的调查和及时的解决。这一点是正确的，即使IR小组仅设置为处理调查的初始阶段而另行寻求外部协助。

当雇用外部专业知识协助调查时，通常最好通过顾问建立合同，以使通信得到合理的保护，免于被披露。

对于大多数经理来说，雇用好的人是一项困难的任务。如果您已经有了一个团队并在成长，那么识别优秀人才可能会更容易：您有人能够评估申请人的技能和个性。此外，已经建立了一个先例，您已经熟悉需要填补的角色，并且已经考虑到每个理想的候选人。如果您处于常见的信息安全专业人士所面临的情况中，即负责创建一个小型IR团队，那么该怎么办？我们建议采用两个步骤的过程：找到候选人，然后评估他们是否符合您组织的要求。

找到候选人

从其他IR团队中招募个人是一个明显的选择。在LinkedIn等网站上发布开放职位是一种好的但被动的方法，可以接触到潜在的候选人。然而，积极地针对技术群体、相关的社交网络网站和留言板将更快地产生结果。许多不同技能水平的IR和取证专业人员潜伏在留言板上，例如Forensic Focus。

如果您有资源与当地大学的职业办公室联系，可以从那些具有声誉良好的计算机科学、工程或计算机取证项目的人中招募入门级分析师和团队成员。从我们的经验来看，从计算机科学或工程的四年制学位开始并具有计算机取证辅修或证书的项目可以产生最全面的候选人，而不是那些试图在一个专业中提供所有东西的项目。提供最大效益的基本技能与大多数科学领域相同：观察、沟通、分类、测量、推断和预测。拥有这些技能的个人通常是最好的IR小组成员。如果您可以找到一个侧重于基本科学或工程技能并提供取证相关主题的研讨会或选修课程的本地大学，那么您就处于一个良好的状态。

评估适当的匹配：能力和素质

您的事件响应团队需要什么能力？通常，您需要一个充满多任务处理能力的团队——具有在调查的不同阶段之间移动的知识和能力的人。从我们自己的咨询团队中来看，我们可以提出许多相关的技能集。如果您正在招聘有经验的候选人，您需要考虑具有以下资格的人：

• 运行涉及技术的调查的经验 这是一种广泛的能力，包括信息和线索管理，与其他业务部门联络的能力，证据和数据管理以及基本技术技能。

• 进行计算机取证检查的经验 这包括了解操作系统基础知识，了解操作系统和应用程序工件，日志文件分析以及编写连贯文件的能力。

• 网络流量分析的经验 这包括有关网络流量和协议分析的经验以及将信息应用于检测系统的技术。

• 与您组织相关的行业应用程序的知识 大多数公司都有专门的信息系统，这些系统在特定平台上处理数据（例如，主机托管的金融交易）。

• 企业IT知识 在缺乏企业IR平台的情况下，最好的管理员是可以为其控制的每个服务器编写两行脚本的管理员。

• 恶意代码分析知识 恶意软件分析是团队必备的技能；但是，大多数IR团队可以通过在沙箱中进行基本的自动化分析来进行。

如果您有三个职位空缺，请聘请具有基本分诊技能的多任务处理程序。

我们在IR团队成员中寻找哪些素质？在面试中，我们尝试发现潜在候选人是否具有以下特征：
• 高度分析性
• 良好的沟通者
• 注意细节
• 结构化和组织化的解决问题方法
• 可证明的问题解决成功

我们经常被问及支配IR和计算机取证领域的各种行业认证的适用性或相关性。一般来说，需要定期重新测试和证明继续教育的认证是该人积极关注该领域的良好指示。当申请人的简历经验不足时，它可以帮助我们确定在面试期间应详细讨论其背景的领域。此外，如果可在线获取认证的论文，它们可以指示应用程序的沟通技巧和写作风格。但是，它似乎并不是申请人真正能力的一致指标。

事实上，当申请人的雇佣历史良好时，我们发现他们的知识深度和他们追求的认证数量之间存在反比关系。供应商的认证通常与招聘过程无关，因为它们证明了特定工具技能，而不是良好的理论和程序技能。

事件响应流程包括实现事件响应目标所需的所有活动。整个过程和活动应该被您的响应团队以及整个组织的利益相关者充分记录和理解。该过程包括三个主要活动，我们发现为每个活动都配备专门的人员最为理想：
• 初始响应
• 调查
• 纠正

初始响应通常是整个IR过程的开始活动。一旦团队确认存在事件并执行了初始收集和响应步骤，调查和纠正工作通常同时进行。调查小组的目的仅是执行调查任务。在调查期间，该小组不断生成我们称之为“线索”的列表。线索是有关被盗数据、网络指标、潜在主体的身份或导致妥协或安全事件的问题的可操作项。这些项目对于纠正小组立即有用，其自身的流程需要大量时间来协调和计划。在许多情况下，您的团队所见到的活动可能会迫使您立即采取行动以阻止入侵的进一步进展。

在这一步中，主要目标包括组建响应团队、审查基于网络和其他可读数据、确定事件类型以及评估潜在影响。目标是收集足够的初步信息，以允许团队确定适当的响应。

通常，此步骤不涉及直接从受影响系统收集数据。此阶段检查的数据通常涉及网络、日志和其他历史和背景证据。这些信息将为您提供必要的上下文，以帮助决定适当的响应。例如，如果在首席财务官的笔记本电脑上发现了一种银行木马程序，您的响应可能与在接待员的系统上发现的响应大不相同。此外，如果需要进行全面调查，此信息将是初始线索的一部分。您可能在此步骤中执行的一些常见任务是：

• 面试报告事件的人员。收集他们可以提供的所有相关细节。
• 面试可能对事件技术细节有了解的IT工作人员。
• 面试可能对业务事件有所了解的业务部门人员，以提供事件的背景。
• 检查网络和安全日志，识别支持事件已发生的数据。
• 记录从您的来源收集到的所有信息。

例如，如果在首席财务官的笔记本电脑上发现了一种银行木马程序，您的响应可能与在接待员的系统上发现的响应大不相同。此外，如果需要进行全面调查，此信息将是初始线索的一部分。您可能在此步骤中执行的一些常见任务是：

• 面试报告事件的人员。收集他们可以提供的所有相关细节。
• 面试可能对事件技术细节有了解的IT工作人员。
• 面试可能对业务事件有所了解的业务部门人员，以提供事件的背景。
• 检查网络和安全日志，识别支持事件已发生的数据。
• 记录从您的来源收集到的所有信息。

调查的目标是确定描述发生了什么、如何发生以及在某些情况下谁负责的事实。作为商业IR团队，“谁”元素可能是无法达到的，但是知道何时寻求外部帮助或执法机构的帮助很重要。如果不知道攻击者首次如何访问您的网络，或者攻击者做了什么，那么您就没有处于良好的治疗位置。简单地拔掉包含恶意软件的系统的插头可能会让人感到安心，但是如果不知道攻击者如何访问以及他们所做的事情，您就可以睡个好觉吗？因为我们重视睡眠，所以我们开发和完善了一个五步骤的流程，如下文中的图片所示，以促进有效的调查。在接下来的几节中，我们详细介绍了这五个步骤。

最好不要行动得太快

在调查过程中，您可能会发现一些您认为需要立即采取行动的发现。通常，调查小组会立即向受影响组织内部的适当个人报告任何此类关键性发现。该个人必须权衡在没有足够理解情况的情况下采取行动的风险与进行额外的事实发现活动的风险。我们的经验是，在大多数情况下，进行进一步的事实发现是很重要的，这样您就可以了解更多情况并做出适当的决定。这种方法当然具有风险，因为它可能为攻击者提供进一步造成伤害的机会。但是，我们发现，根据不完整或不准确的信息采取行动的风险要大得多。没有最后的答案，在每次事件中，您的组织必须自行决定什么是可以接受的。

初始线索

没有线索的调查就像是一场钓鱼探险。因此，收集初始线索是任何调查的关键步骤。我们注意到许多组织中的常见调查失误：仅关注查找恶意软件。攻击者的唯一目标是安装恶意软件是不可能的。攻击者可能有其他目标，例如窃取电子邮件或文件、捕获密码、破坏网络或更改数据。一旦攻击者进入您的网络并获得有效凭据，他们就不需要使用恶意软件来访问其他系统。仅关注恶意软件可能会导致您错过关键发现。

请记住，任何调查的重点都应该是线索。我们曾应对过许多事件，其他团队完成的调查仅发现了很少的结果。在许多情况下，之前调查的失败是由于团队没有专注于开发有效的线索。相反，他们专注于与解决案件无关的“闪亮物品”。有许多事件，我们通过跟进有效线索发现了重要的额外发现，例如大量数据丢失或对敏感计算机系统的访问。

经常被忽视的是评估新线索以确保它们是合理的过程。您花费在评估线索上的额外时间将有助于使调查保持集中。根据我们的经验，良好线索具有三个共同的特点：

• 相关的。线索与当前事件有关。这似乎很明显，但经常被忽视。组织陷入的一个常见陷阱是将任何看起来可疑的东西归类为当前事件的一部分。此外，事件促使许多组织以前所未有的方式审视其环境，揭示了许多实际上是正常的“可疑活动”。这很快就会使团队不堪重负，从而破坏调查。

• 详细的。线索具有潜在调查课程的具体信息。例如，外部方可能会向您提供线索，表明您的环境中的计算机与托管恶意软件的外部网站进行了通信。尽管他们通知您非常好，但这个线索不是很具体。在这种情况下，您需要获取更多详细信息。询问事件发生的日期和时间以及IP地址，考虑谁、什么、何时、何地、为什么和如何。如果没有这些详细信息，您可能会浪费时间。

• 可操作的。线索包含您可以使用的信息，而且您的组织拥有跟进线索所需的手段。考虑一条线索，表明大量数据被传输到与僵尸网络相关的外部网站。您具有确切的日期、时间和目标IP地址。但是，您的组织没有可用的网络流或防火墙日志数据，以识别是数据来源的内部资源。在这种情况下，该线索不是很具操作性，因为没有办法将活动追溯到网络上的特定计算机。

威胁指标（IOC）的创建

IOC（发音为“eye-oh-cee”）的创建是以结构化方式记录事件特征和工件的过程。这包括来自主机和网络方面的所有内容，超出了恶意软件的范畴。考虑项目，例如工作目录名称、输出文件名称、登录事件、持久性机制、IP地址、域名，甚至是恶意软件网络协议签名等内容。IOC的目标是帮助您有效地描述、传达和查找与事件相关的工件。因为IOC只是一个定义，所以它不提供查找匹配项的实际机制。您必须创建或购买可以利用IOC语言的技术。

在选择如何表示IOC时，一个重要的考虑因素是您在组织内使用该格式的能力。网络威胁指标最常以Snort规则的形式表示，有免费和商业级企业产品都可以使用它们。从主机角度来看，一些可用的IOC格式包括：

• Mandiant的OpenIOC (www.openioc.org)

• Mitre的CybOX (cybox.mitre.org)

• YARA(code.google.com/p/yara-project)

对于这两种格式中的两种，即OpenIOC和YARA，都有可用于创建IOC的免费工具。Mandiant创建了一个名为IOC Editor的基于Windows的工具，它将基于OpenIOC标准创建和编辑IOC。对于YARA，有许多工具可用于创建和编辑规则，甚至可以根据恶意软件的一部分自动创建规则。我们在第5章中更详细地讨论了什么构成了一个好的IOC以及如何创建它。

在网络上获取：

IOC Editor www.mandiant.com/resources/download/ioc-editorYARA工具 www.deependresearch.org/2013/02/yara-resources.html

*左右滑动查看更多

IOC部署

使用IOC记录指标很棒，但它们的真正威力在于使IR团队能够以自动化的方式查找恶意程序，无论是通过企业IR平台还是通过Visual Basic (VB)和Windows Management Instrumentation (WMI)脚本。调查的成功取决于您在全企业范围内搜索IOC并以自动化方式报告它们的能力-这就是我们所说的“IOC部署”。因此，您的组织必须具备实施IOC的某些能力，否则它们就没有多大用处。对于基于网络的IOC，方法很简单-大多数解决方案都支持Snort规则。但是，正如之前所讨论的那样，目前还没有被广泛接受的主机IOC标准。因此，有效地在调查过程中使用主机IOC可能会具有挑战性。现在，让我们来看看一些当前的选项。

行业和IOC格式

在主机威胁指标方面，计算机安全行业存在一个重大缺陷：没有公认的标准。尽管Snort作为网络威胁指标的事实标准已经被创建和接受，但是没有免费的基于主机的解决方案包括指标语言和有效地在企业中使用它的工具。没有解决方案，事件响应者将继续面临寻找主机IOC的重大挑战。

在我们撰写本书时，三个主要的基于主机的IOC定义是Mandiant的OpenIOC、Mitre的CybOX和YARA。让我们快速看一下每个选项。YARA提供了一种语言和工具，相当成熟; 然而，YARA覆盖的工件范围主要仅侧重于恶意软件。Mandiant的OpenIOC标准更为全面，并且具有名为Redline的公开可用的IR收集工具，可与OpenIOCs一起使用。但是，OpenIOC尚未成熟或被广泛接受。Mitre的CybOX标准也很全面，但除了IOC格式转换脚本之外，没有其他可用的工具。对于这三个选项中的所有三个，都没有像Snort一样的企业级或成熟的免费解决方案。

您不需要大量预算来使用IOC，尽管您有效地在企业范围内使用它们的能力可能需要大量资金。有免费和商业工具都可以使用YARA和OpenIOC标准来搜索IOC。在免费方面，YARA项目提供了搜索YARA规则的工具。此外，许多开源项目可以使用YARA规则，其中一些列在我们之前提供的YARA工具链接中。Mandiant提供了一款名为Redline的免费工具，您可以在系统上搜索OpenIOC。这些免费工具在小量系统上非常有效，但是不太容易扩展。为了有效地在企业中搜索IOC，您需要投资大规模的解决方案。例如，FireEye可以使用YARA规则，Mandiant的商业软件提供可以使用OpenIOC。但是请记住，支持使用IOC的软件和流程仍然不太成熟。安全行业的这一方面可能会在未来几年发生变化，请关注发展情况。

确定感兴趣的系统

部署IOC后，您将开始获得我们所称的“命中”。当IOC工具找到给定规则或IOC的匹配项时，就会出现命中。在对命中采取行动之前，您应该查看匹配信息以确定命中是否有效。这通常是必需的，因为某些命中的置信度很低，因为它们非常通用，或者因为出现了意外的误报。有时我们会检索少量其他数据以帮助将命中放入上下文中。除非命中的置信度很高，否则此时仍然不知道该系统是否真的属于事件的一部分。我们采取了许多步骤来确定系统是否真正感兴趣。

当系统被确定时，您应该对新信息进行初步分类。这些步骤将有助于确保您花费时间在相关任务上，并保持调查的重点：

• 验证：检查匹配项的初始细节，并确定它们是否可靠。例如，如果IOC仅匹配文件名称，可能是误报吗？新详情是否与当前调查的已知时间范围一致？

• 分类：将确定的系统分配给一个或多个类别，以便保持调查的组织性。多年来，我们已经发现将系统标记为“受损”太模糊了，调查人员应尽可能避免使用这个术语。我们发现使用更清楚地指示发现类型和攻击者活动的类别更有帮助，例如“安装了后门”、“使用有效凭据访问”、“SQL注入”、“凭据收集”或“数据窃取”。

• 优先级：为确定的系统分配相对优先级，以进行进一步操作。许多组织内的常见做法是根据业务相关因素进行优先排序，例如主要用户或处理的信息类型。但是，这种方法缺少一个关键点，即它不考虑其他调查因素。例如，如果确定系统的初始细节与其他系统的发现一致，则进一步检查此系统可能不会提供任何新的调查线索，并且可能会被赋予较低的优先级。另一方面，如果详细信息表明有一些新的东西，例如不同的后门恶意软件，即使考虑其他因素也可能有益于为分析分配更高的优先级。

保留证据

一旦系统被确认并具有活动的威胁指标，下一步是收集额外的数据进行分析。您的团队必须创建一个收集和保留证据的计划，无论能力是内部还是外部外包。保留证据的主要目标是使用最小化系统更改、最小化与系统交互的过程，并创建适当的文档。您可以从正在运行的系统中收集证据，也可以决定关闭系统以进行成像。

因为任何一个团队都有有限的资源，所以收集可能永远不会被检查的大量数据是没有意义的（除非有充分的理由）。因此，针对每个新确定的系统，您必须决定要收集什么类型的证据。始终考虑每个系统的情况，包括系统是否有任何不同之处或者是否进行实时响应数据的审查会带来新的发现。如果您认为存在某些独特的方面或有其他令人信服的理由，请保留您认为有必要推进调查的证据。典型的证据保留类别包括实时响应、内存收集和法证磁盘映像，如下所述：

• 实时响应
实时响应是我们在事件响应中执行的最常见的证据收集过程。实时响应是使用自动化工具收集有关正在运行的系统的标准数据集的过程。数据包括易失性和非易失性信息，这将迅速提供调查问题的答案。通常收集的信息包括诸如进程列表、活动网络连接、事件日志、文件系统中的对象列表和注册表内容等项目。我们还可能收集特定文件的内容，例如日志文件或可疑恶意软件。由于该过程是自动化的且数据大小不是太大，因此我们会在大多数感兴趣的系统上执行实时响应。实时响应分析通常能够进一步确认妥协，提供有关攻击者在系统上所做的事情的额外详细信息，并揭示进一步的调查线索。

• 内存收集
内存收集在您怀疑攻击者正在使用隐藏其活动的机制（例如rootkit）且无法获得磁盘映像时最有用。内存还可用于仅驻留在内存中的恶意活动或在磁盘上留下非常少的物件的情况。在我们响应的大多数系统中，内存不是非常重要，因为分析内存对调查的收益有限，因为它提供的数据不足以回答高级别问题。虽然您可能能够确定恶意软件正在系统上运行，但您可能无法解释它是如何到达那里的，或者攻击者在该系统上一直在做什么。

• 取证磁盘映像
取证磁盘映像是系统硬盘驱动器的完全副本。在事件响应中，我们通常以“在线”模式收集映像，其中系统未脱机，我们在外部媒体上创建映像。由于磁盘映像很大且分析时间很长，因此我们通常仅在相信磁盘映像对调查有益时才收集它们。在攻击者长时间执行多项操作、其他证据无法帮助回答问题或希望恢复我们认为只能从磁盘映像中获得的其他信息的情况下，取证磁盘映像很有用。在不涉及疑似入侵的事件中，完全磁盘映像收集是常规操作。

数据分析

数据分析是对前一步骤中保留的证据进行检查以回答调查问题的过程。分析结果通常在正式报告中记录。在事件响应生命周期中，我们通常会花费大部分时间在该步骤上。您的组织必须决定自己进行哪些分析，以及是否外包任何部分。有三个主要的数据分析领域：

• 恶意软件分析
在大多数调查中，我们会遇到疑似恶意软件的文件。我们有一支专门的恶意软件分析团队来检查这些文件。他们制作包括威胁指标和功能详细描述的报告。虽然拥有专门的恶意软件团队不适用于大多数预算，但组织应考虑投资于基本的疑似恶意软件分类能力。

• 实时响应分析
检查收集的实时响应数据是调查中更关键的分析步骤之一。如果您正在查看实时响应数据，则通常是因为系统上存在可疑活动的迹象，但细节有限。在分析过程中，您将尝试找到更多的线索并解释发生了什么。如果在此阶段错过了细节，则结果可能是您忽略了攻击者活动的一部分或完全忽略了系统。实时响应分析的结果应帮助您了解未经授权访问系统的影响，并直接影响您的下一步操作。每个执行IT安全功能的组织都应具有基本的实时响应分析能力。

• 取证检查
在事件响应期间对磁盘映像执行的取证检查是一项非常专注和时间敏感的任务。当子弹飞过时，您没有时间逐步执行全面的检查。我们通常记录我们想要回答的一些现实问题，决定一个可能会揭示回答它们的信息的方法，然后执行。如果我们没有得到答案，我们可能会使用不同的方法，但这取决于时间和我们期望从中获得什么。这并不是说我们不花费大量时间进行检查——我们只是非常清楚地知道如何花费我们的时间。如果您正在响应的事件更为传统，例如不涉及入侵的内部调查，则您将花费大部分时间在此类分析上。对于传统媒体取证检查，大多数IR人员和公司都没有经验。

在执行入侵分析时，请记住您可能无法“找到所有证据”。我们与一些组织合作，这些组织遭受我们有时称之为“CSI效应”的影响，员工们认为他们可以使用“酷炫昂贵的工具”找到并解释所有内容。我们共同拥有几十年的经验，进行了数百次事件响应调查，在所有这些调查中，我们尚未遇到这样的神奇工具。当然，有一些工具可以极大地有益于您的团队。然而，使用的一些最好的工具是您已经拥有的工具——您正在使用它们阅读和理解此句。

纠正计划将因事件的情况和潜在影响而大不相同。计划应考虑情况的各个方面，包括法律，业务，政治和技术。该计划还应包括一个通信协议，定义组织中谁将在何时说什么。最后，纠正的时间非常重要。过早进行纠正，您可能会未能考虑到新的或尚未发现的信息。纠正太晚，则可能造成相当大的损害，或者攻击者可能会改变策略。我们发现，开始纠正的最佳时间是当您已配置的IOCs所具备的检测方法进入稳定状态时。也就是说，您已经配置的工具已不再向您警报新的唯一事件。

我们建议在事件响应过程的早期开始纠正计划，以避免使您的团队超负荷并犯错。有些事件的纠正活动所需的工作量甚至比实际调查还要多。任何组织都有许多不同方面的运作，协调消除威胁是一项不容易的任务。我们采取的方法是定义适当的活动，以执行以下三个方面之一：
• 姿态
• 战术（短期）
• 战略（长期）

姿态是采取措施以确保纠正成功的过程。这个步骤包括建立协议、交换联系信息、指定职责、提高可见度、安排资源和协调时间表等活动。战术包括采取被认为适当的行动来处理当前的事件。这些活动可能包括重建被入侵系统、更改密码、屏蔽IP地址、通知客户遭到侵犯、发布内部或公开声明以及更改业务流程。最后，在调查期间，组织通常会注意到他们可以改进的领域。但是，在事件期间发现的每个安全问题都不应尝试修复；制定一个待办事项列表，并在事件结束后处理它们。纠正的战略部分解决这些领域，这些领域通常是需要组织内重大变革的长期改进。尽管战略纠正不是标准IR生命周期的一部分，但我们在这里提到它，以便您了解这个类别，并用它来帮助保持注意力集中在重要事项上。

我们在本章的早期提到，许多有效的事件响应挑战是非技术的。保持组织有序是其中之一，也是一个特别大的挑战。我们不喜欢使用“情境意识”这个术语，但这就是我们在这里谈论的内容。您的调查必须有一种机制，可以轻松跟踪关键信息，并与辅助团队和组织领导共享。您还应该有一种方法来提及特定的事件，而不是“上周二开始的那件事”。建立事件编号或命名系统，并使用它来引用和记录与特定事件相关的任何信息和证据。

什么是“重要调查信息”？我们发现有几个数据点对于任何调查都至关重要。这些项目必须尽可能接近实时地跟踪，因为团队成员将使用它们作为当前调查状态的“基本真相”。当来自管理层的查询到来时，这些数据也将是团队成员首先引用的内容。

• 证据清单
此清单应包括收集的时间和日期以及数据来源，无论是实际人员还是服务器。确保为每个项目维护一条连锁记录。将连锁记录与项目一起保管，其存在于此列表中是您的指标，表明已正确处理项目。

• 受影响系统列表
跟踪系统的识别方式和时间。请注意，“受影响”包括被怀疑存在安全威胁的系统以及仅被可疑帐户访问的系统。

• 任何有趣的文件列表
此列表通常仅包含恶意软件，但也可能包含数据文件或捕获的命令输出。跟踪找到文件的系统以及文件系统元数据。

• 访问和窃取数据列表
包括文件名，内容和疑似曝光的日期。

• 重要攻击者活动列表
在进行实时响应或取证数据的检查时，您可能会发现重要的活动，例如登录和恶意软件执行。包括受影响的系统以及事件的日期和时间。

• 基于网络的IOCs列表
跟踪相关的IP地址和域名。

• 基于主机的IOCs列表
跟踪任何必要的特征以形成明确的指标。

• 受损帐户列表
请确保跟踪帐户访问的范围，本地或域范围。

• 团队正在进行和请求的任务列表
在我们的调查中，通常在任何时候都有数十项待处理的任务。从辅助团队请求的额外信息到取证检查，如果您没有组织，很容易让某些事情落入空子中。

在我们编写本书时，我们处于从我们经过验证的Microsoft Excel电子表格15个选项卡的过渡阶段，转向简化的多用户Web界面。我们决定构建自己的系统，因为我们找不到符合我们需求的现有案例和事件管理解决方案。这是一个漫长的过程，非常具有挑战性，因为Excel提供了难以在Web界面中复制的灵活性和易用性。无论您在组织中决定使用什么，它都需要尽可能地简化到您的流程中。

在网络上获取：

事件管理系统RTIRwww.bestpractical.com/rtir/

目击者报告
几年前，我们在一家拥有大约2,000个主机的小型防御承包商进行了调查。与我们进行的一些较大的调查相比，这些调查涉及超过100,000个主机的环境，这次调查似乎会很容易。我们开始问自己是否有必要完成所有正常文档的编写，特别是因为该组织非常注重成本。然而，事情一发不可收拾，接下来我们发现了近200个经过验证的恶意软件系统，还有更多使用有效凭据进行访问的系统！其中一些与我们被聘用调查的事件有关，一些则不是。如果没有我们通常的文档，调查将会失去焦点，并浪费比创建文档所花费的时间更多的时间。在那次事件中强化的教训是，在事件期间始终记录重要信息，无论大小。

作为顾问，我们的报告是客户的基本交付成果。创建良好的报告需要时间——您可能认为最好花在其他任务上的时间。然而，没有报告，很容易失去对您所做的事情的追踪。我们已经了解到，即使在单个调查中，也可能存在许多发现，如果没有正式的定期报告，沟通整个调查的总体情况将很困难。在许多调查中，高级别的发现都是基于众多技术事实的，如果没有适当的文档，可能难以沟通。

几乎每个人都经历过文档的有趣后果。这类似于当你考虑是否在待办事项清单上写下一个任务时会发生什么。如果你不把任务写下来，你遗忘它的可能性就更高。一旦你进行了写作的物理过程，你可能甚至不必回头看看清单——你就记住了。我们发现，无论是非正式的笔记还是正式的报告，写作都会帮助我们记住更多的信息，从而使我们成为更好的调查人员。

我们将会在本书的第17章中详细介绍报告写作。

在本章中，我们提供了一些信息，希望管理人员能够在建立或更新其事件响应能力时发现有用。以下清单包含了我们认为您在此过程中应首先考虑的任务：

• 在组织中定义“计算机安全事件”的含义。
• 确定关键数据，包括存储位置和负责人。
• 为识别不同事件创建事件跟踪进程和系统。
• 理解组织和您处理的数据的法律和合规要求。
• 定义您将在内部执行的功能以及将外包的功能。
• 找到并培训IR人才。
• 为事件响应过程创建正式文档模板。
• 为环境中常见操作系统的证据保全创建程序。
• 实施基于网络和基于主机的IOC创建和搜索解决方案。
• 建立报告模板和指南。
• 创建跟踪重要调查信息的机制或过程。

1.列出可能参与事件响应的组织内的群体。解释为什么在事件发生之前与这些群体交流很重要。

2.您的组织接到一家联邦执法机构的电话，告知您他们有证据表明涉及您的环境的数据泄露事件已发生。该机构提供了许多具体细节，包括敏感数据转移到您的网络之外的日期和时间，目标的IP地址以及内容的性质。这些信息是否符合良好线索的特征？为什么或为什么不？您还可以要求什么？如何将此信息转化为可操作的线索？

3.解释执行实时响应证据收集与取证磁盘映像的优缺点。为什么实时响应是IR期间最常见的证据保全方法？

（未完待续）