加快网络安全事件响应速度的6个步骤

尽管现代安全工具在不断提升对组织网络和端点的保护效能，但攻击者总能找到一些新的途径来进行入侵。
确保安全团队能够迅速应对威胁、并有效地恢复正常运营至关重要。因此，这些团队不仅需要配备适当的工具，还必须了解如何有效地应对安全事件。类似于《事件响应模板》这样的资源可以进行个性化定制，用于创建一个包括角色分工、责任分担、流程步骤以及具体操作事项清单的计划。
数世咨询认为，准备工作不能仅仅止步于此。安全团队还必须持续地接受培训，以适应迅速演变的威胁。每一次安全事件都是一次绝佳的培训机会，能够帮助组织更好地准备，甚至预防未来的安全事件。
SANS 研究所定义了一个成功应急响应的六步骤框架

1、Preparation 准备

2、Identification 检测

3、Containment 遏制

4、Eradication 根除

5、Recovery 恢复

6、Lessons learned 经验总结

尽管该应急响应步骤是一套具有逻辑顺序的流程，但实际操作过程中仍有可能需要返回到流程中的先前阶段，以重复在第一次执行时出现错误或不完整的特定步骤。
当然，这会使整个应急响应流程速度减缓，但相对于节省时间来说，确保每个阶段都得到充分的完成更为重要。

01

准备

目标：使团队能够更加高效地处理事件。
不仅仅是应急响应团队，每一个能够访问系统的人都需要为安全事件做好准备。实际上，大多数网络安全漏洞都归咎于人为错误。因此，IR（incident response ，应急响应）流程中最重要且需要首先执行的就是提升员工警觉性的培训。组织需要利用模板化的事件响应计划为所有参与者（安全领袖、运营经理、身份和访问管理人员，以及审计、合规、通信和高层管理人员）明确角色和责任，以确保高效的协调。
攻击者会不断改进他们的社交工程攻击方式和鱼叉钓鱼技术，目的是在受害者接受培训和提高网络安全意识之前找到新的攻击方法，以保持领先地位。尽管如今大多数人都知道要提防“意义不明的电子邮件”以及“承诺在支付小额预付款后提供奖励”等事件，但攻击者仍可能会伪装成攻击目标的上司在非工作时间向其发送短信，以处理紧急任务为名，来为受害者量身定制一个“陷阱”。为了应对持续更新升级的攻击手段，安全团队的内部培训必须定期更新，以提高员工对潜在威胁的察觉和处理能力。
数世咨询提醒，如果团队中配备的有事件响应人员或SOC（security operations center，安全运营中心）的话，也需要进行定期的培训，最好是基于实际事件的模拟培训。一场紧张的桌面演练能够激发团队成员的紧迫感，使他们更加真实地感受到实际事件的体验。并且在演练的过程中，我们可以发现，在压力下，一些团队成员表现出色，而其他人可能需要额外的培训和指导。
准备工作的另一部分是制定具体的响应策略。其中最常见的方法就是对事件进行遏制和清除。另一种选择是观察正在发生的事件，以便评估攻击者的行为并识别他们的目标，前提是这不会造成不可挽回的损害。
除了培训和策略以外，技术在事件响应中同样扮演着重要的角色。日志记录是其中一个关键组成部分。简单来说，记录得越多，事件响应团队调查事件时就会越轻松和高效。
此外，使用具有集中控制的EDR（endpoint detection and response，端点检测与响应）平台或XDR（extended detection and response，扩展检测与响应）工具有助于团队迅速采取防御性措施，如隔离机器、将其断开网络连接，并在规模上执行对抗性命令。
可应用于事件响应的技术还包括虚拟环境，它可以用来分析日志、文件和其他数据，并提供足够的存储空间来存储这些信息。需要注意的是，这个虚拟环境和存储空间应该在事件发生之前就已经准备好，而不是在紧急情况下再浪费时间来设置虚拟机或分配存储空间。这样能够确保在事件发生时，团队能够迅速而有效地进行数据分析和存储，提高应对事件的效率。
最后，安全团队需要一个用于记录事故调查结果的系统，可以使用电子表格，也可以是专用的IR文档工具。文档中应记录事故的时间线、受影响的系统和用户以及组织在事发当时和事后所发现的恶意文件和威胁指标（IOC）。

02

检测

目标：检测是否发生了入侵，并收集威胁情报
以下几种方式可以确定是否发生了安全事件或者事件是否正在进行中：

• 内部检测：安全事件的发现可以归功于内部监测团队，也可能是组织其他成员在进行安全意识培训后的敏锐觉察。他们通过一个或多个安全产品的告警，甚至可以在主动进行威胁搜索演练时察觉到。

• 外部检测：第三方顾问或托管服务提供商可以代替安全团队使用安全工具或威胁搜索技术来检测安全事件。此外，业务合作伙伴也可能会通过察觉到异常行为，来发现可能存在的安全事件。

• 数据外泄披露：最糟糕的情况是察觉到安全事件发生时，数据已经从组织内部泄露并被发布到了互联网或暗网网站中。若泄露的数据中包含客户的敏感数据，并且整个事件在组织有机会做好协调的公共回应之前就已经被泄露给了媒体，那么影响将更加严重。

说到威胁检测，就不得不提告警疲劳。
数世咨询指出，若安全产品的检测设置过于严格，那么组织将会收到大量关于终端和网络上不重要活动的告警。这会对团队造成巨大压力，导致更多重要告警被忽略。
相反，如果设置过于保守，同样会带来问题，该团队将会错过许多关键的事件。一个平衡的安全策略能够提供适量的告警，有助于团队识别值得进一步调查的安全事件，而不至于让团队感到告警疲劳。同时，安全供应商可以协助团队找到适当的平衡，并最好能够自动过滤警报，使团队能够专注于重要事项。
在检测阶段，安全团队需要记录从警报中收集到的所有威胁指标（indicators of compromise，IOC），例如受到影响的主机和用户、恶意文件和进程、新的注册表键等。
一旦记录了所有的威胁指标（IOCs），安全团队将进入遏制阶段。

03

遏制

目标：最大限度地减少损失。
遏制不仅是IR中的一个明确步骤，它更是一种战略。
安全团队需要建立一个适合自己组织的特定方法，要能够同时兼顾安全和业务方面的影响。尽管设备隔离以及断网能够阻止攻击在整个组织中蔓延，但这样也可能会导致显著的财务损失或其他业务影响。这些决策应该提前制定，并在IR策略中明确表达。
遏制可以分为短期步骤和长期步骤两种，每种步骤都有其独特的影响。

• 短期：这包括安全团队可能在当时采取的措施，例如关闭系统、将设备断开网络，以及主动观察攻击者的活动。每个步骤都有其利弊。

• 长期：最理想的情况是将感染的系统断网隔离，以便安全地进入根除阶段。然而，该措施并非总能成功，因此安全团队可能还需要采取其他措施，例如修补漏洞、更改密码、终止特定服务等。

数世咨询认为，在遏制阶段，安全团队需要优先考虑关键设备，如域控制器、文件服务器和备份服务器，以确保它们没有受到损害。
该阶段的附加步骤包括记录在事件期间被遏制的资产和威胁，以及根据设备是否受到威胁来分组。如果无法确定，那么就假设一下最坏的情况。一旦所有设备都被分类并符合安全团队对遏制的定义，那么这个阶段就结束了。
加分步骤: 调查
目标: 确定5W1H(攻击者 事件内容 攻击时间 攻击位置 攻击动机 攻击方式)
在此阶段，存在另外一个值得注意的重要方面：调查
调查是一个贯穿始终的重要元素。尽管调查本身并不是独立的阶段，而是与整个过程相互交织，但在执行每个具体的步骤时，都应该时刻保持对调查的关注和重视。调查的目标是搞清楚哪些系统被访问了以及入侵的起源是什么等问题。当事件被遏制后，团队可以通过从诸如磁盘和内存镜像以及日志等来源捕获尽可能多的相关数据来进行彻底的调查。
数字取证与事件响应（Digital Forensics and Incident Response，DFIR）这个术语是广泛为人所知的，但值得注意的是，事件响应的取证目标与传统取证的目标有所区别。在IR中，取证的主要目标是尽可能高效地帮助过渡到下一个阶段，以便恢复正常的业务运营。
数世咨询认为，数字取证技术的设计目的是从捕获到的所有证据中提取尽可能多的有用信息，并将其转化为有用的情报，从而帮助构建对事件更全面的认识，甚至有助于对攻击者进行起诉。
为了提供上下文以解释所发现的证据，安全团队可能需要的数据点包括攻击者如何进入网络或移动，访问或创建了哪些文件，执行了哪些进程等。当然，这可能是一个耗时的过程，可能与IR相冲突。
值得注意的是，自DFIR术语首次被提出以来，它已经发生了改变。当今的组织拥有数百甚至数千台机器，每台机器都有数百GB甚至多个TB的存储空间，因此从所有受损机器中捕获和分析完整磁盘镜像的传统方法已经不再适用。
当前情况需要更加精确的方法，即捕获和分析每台受损机器的特定信息。

04

根除

目标：确保威胁已被完全消除。
在遏制阶段完成后，安全团队将进入根除阶段，可以通过磁盘清理、恢复到干净备份或重新映像整个磁盘来进行处理。清理包括删除恶意文件以及删除或修改注册表键。重新映像则意味着重新安装操作系统。
在采取任何行动之前，IR团队需要参考所有的组织政策，例如，在发生恶意软件攻击时要求重新映像特定机器。
同之前的步骤一样，文档在根除阶段也起着重要作用。IR团队应该仔细记录对每台机器采取的措施，以确保没有遗漏。作为额外的检查，可以在根除过程完成后对系统进行主动扫描，查找威胁的所有证据。

05

恢复

目标：恢复正常运作。
所有的努力都是为了这一刻！恢复阶段是系统得以恢复正常业务的最终阶段。在该阶段，确定何时恢复运营是一个关键的决定。理想情况下，该阶段的措施可以在没有延迟的情况下进行，但实际上大概率需要等到组织的非工作时间或其他较为空闲的时段才能够采取行动。
数世咨询认为，安全团队还需要进行最后一次检查，以验证已恢复正常运行的系统上是否还存在任何IOC，主要问题是否已经得到根除。
整个事件结束后，安全团队对此种类型的事件有了更加深刻的了解，这将有助于未来对此类事件进行监控，并建立保护性的控制措施。

06

经验总结

目标：记录所发生的事件并提升系统性能。
等到事件顺利解决，下面需要做的就是反思每个主要的IR步骤并回答关键问题。有许多问题和方面需要被仔细考虑和审查，以下是一些例子：

• 识别阶段：从首次受到威胁到检测到安全事件，经过了多长时间？

• 遏制阶段：遏制安全事件花费了多长时间？

• 根除阶段：在根除威胁之后，是否仍然发现恶意软件或受到威胁的任何迹象？

深入探讨这些问题能够帮助安全团队重新考虑基本问题，比如：自己是否拥有合适的工具？员工是否接受了足够的培训以应对安全事件？
然后，循环回到准备阶段，安全团队可以进行必要的改进，如更新事件响应计划模板、技术和流程，并为团队提供更好的培训。
维护安全的4个专业技巧
最后，请记住四个建议：

1、记录的次数越多，调查就会越容易。确保尽可能多地记录日志，以节省金钱和时间。

2、通过模拟攻击自己的系统来维持网络的备战状态。这有助于揭示组织中的SOC团队如何分析警报以及他们在真实事件中的沟通能力。

3、人员对于组织的安全态势十分关键。95%的网络入侵都是由人为错误引起的，这就是为什么对终端用户和安全团队进行定期培训至关重要。

4、考虑聘请一支专门的第三方IR团队，随时介入帮助解决可能超出安全团队解决能力范畴的复杂事件。这些团队可能已经解决了数百个事件，具备丰富的IR经验和必要的工具，能够迅速投入运行，加速我们自己的IR过程。

数世咨询点评

网络安全事件应急响应是一项复杂而紧迫的任务，需要全面、协同的策略，以确保安全团队在威胁出现时能够迅速、有序地应对。

建立完善的监测机制，实时追踪网络流量和异常活动，是预防安全事件的第一步。

其次，制定清晰的应急预案，能够在紧急情况下提供有力指导。

另外，信息共享也是加强网络安全的关键，通过与其他组织合作，及时获取威胁情报，有助于加快整个网络安全事件应急响应速率。

* 本文为茉泠编译，原文地址：https://thehackernews.com/2023/11/6-steps-to-accelerate-cybersecurity.html

注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

原文始发于微信公众号（数世咨询）：加快网络安全事件响应速度的6个步骤