网络安全知识：什么是事件响应？事件框架概述

事件响应是解决和管理组织中的安全事件的系统方法，重点是最小化和调查事件的影响并恢复正常运行。

当事件被发现时（通常是通过警报或观察发现），响应团队会立即采取行动，解决任何损害并防止其蔓延。他们可能会断开受感染的系统、禁用服务或阻止可疑连接。响应团队还会对事件进行调查，收集证据并研究原因，以确定威胁的性质和任何被利用的漏洞。沟通至关重要，响应团队需要让所有人了解情况，包括管理层、IT 员工、受害者、执法机构和其他利益相关者。

事件响应如何运作？

组织内部的事件响应通常依赖于专门的安全团队，该团队的任务是快速识别和解决活跃的安全事件并通知企业潜在的安全风险。这些勤奋的防御者需要做好充分的准备并制定周密的响应计划。在较小的组织中，当事件发生时，IT人员可能不得不换岗。无论哪种情况，准备都至关重要。

如果组织想要阻止数据泄露和网络攻击，就必须实施事件响应。为了有效，事件响应必须快速确定攻击的类型和范围，调查受影响的系统，阻止攻击源，并通过隔离受影响的系统和网络来控制潜在损害，以避免进一步的危害。

在消除直接危险后，事件响应活动将转向彻底补救，确定问题的根本原因并采取紧急措施予以补救。这降低了将来再次发生此类事件的可能性。

事件响应还涉及对事件后果的深入评估，这是一个持续的学习过程。通过分析响应、评估措施的有效性和确定需要改进的领域，组织可以进一步增强其安全态势，并更好地准备应对未来的潜在事件。

10 种常见安全事故

了解网络威胁的动态性质非常重要，因为它们可能表现为单一的孤立攻击或同时发生的多个同时攻击。通过熟悉这 10 种常见的安全事件类型，我们可以提高防御能力，确保数字空间的安全。

• 内部威胁：这指的是组织内部的个人拥有授权访问权限但滥用该权限有意或无意地损害组织的安全、系统或数据所带来的风险。

• 恶意软件：恶意软件可以破坏计算机系统和数据，甚至窃取数据、凭证和其他关键信息。恶意软件有很多种类型，例如病毒、木马和勒索软件。

• 网络钓鱼攻击：欺骗性技术，例如欺诈性电子邮件或网站，诱骗个人泄露敏感信息，例如信用卡和付款信息、密码或登录凭据。

• 勒索软件攻击：勒索软件是一种勒索攻击，它会加密受害者的文件，要求受害者支付赎金以换取解密密钥，这通常会给公司造成严重破坏和数据丢失。最近的手段已经转向数据盗窃和威胁，如果不支付赎金，就会泄露敏感数据。

• 恶意广告：通过合法广告网络（包括付费搜索结果）分发的恶意广告，可以将用户引导至受感染的网站或触发恶意软件的下载。

• 分布式拒绝服务攻击： DDoS攻击通过大量传入流量淹没目标网络或网站，导致使用僵尸网络的合法用户无法访问。

• 社会工程攻击：这些攻击涉及操纵个人以获取对敏感信息或系统的未经授权的访问权限。示例包括诱骗、借口和冒充。

• 数据泄露：当未经授权的个人获取敏感数据（例如个人信息、信用卡或其他支付信息以及知识产权）时，就会发生数据泄露。

• 密码攻击：密码攻击涉及各种获取或破解密码的方法，包括暴力攻击、字典攻击或凭证填充。市场上有多种密码管理解决方案可供选择，它们可以帮助您保护密码，也可以使用密钥。

• Web 应用程序攻击：攻击者可以通过 Web 应用程序攻击和漏洞（例如跨站点脚本 ( XSS )、 SQL 注入、跨站点请求伪造 (CSRF) 和服务器端请求伪造 (SSRF)）未经授权访问敏感用户信息、窃取网站数据、操纵内容并破坏功能。

事件响应步骤

积极主动地规划突发事件可确保您的业务顺利运行，并有助于防范风险、安全漏洞和意外中断。制定全面的突发事件响应策略对于确定和纳入确保计划有效性的主要组成部分非常重要。

1. 准备：此步骤包括制定全面的事件响应计划、培训团队成员以及执行必要的预防步骤以限制潜在风险。

2. 识别：识别的目的是尽快发现和评估网络事件的类型和广度，以识别受影响的系统、网络或数据。

3. 遏制：一旦确认事件发生，需要采取紧急措施，通过隔离受影响的系统或网络来减轻其影响并防止其蔓延。

4. 根除：这需要解决事件的根本原因，消除任何有害存在，并使受影响的系统或网络恢复正常工作状态。

5. 恢复：这里的重点转移到恢复常规服务，包括数据恢复、系统重新配置和业务连续性。

6. 学习：事件解决后，进行详细分析以确定事件的原因，识别漏洞，并采取措施防止将来出现此类问题。

7. 重新测试：这是最后一步，仔细评估系统和网络，以评估安全修复的有效性以及事件响应计划的全面性和可靠性。

事件响应计划应包括哪些内容

贵组织的事件响应计划的范围和细节取决于多种因素，包括基础设施的规模和复杂性、业务运营的性质、数据的敏感度、监管要求以及与贵行业相关的特定威胁和漏洞。以下是事件响应计划中应包含的一些常见元素：

• 简介：事件响应计划的目的和主要参与方的摘要。

• 系统概述：对受事件响应影响的重要系统和网络基础设施的描述。

• 架构模型：用于了解可能的攻击面的网络和系统架构的图表或描述。

• 系统硬件清单：硬件组件、设备和配置的详细目录，有助于事件调查。

• 审计日志：用于跟踪系统活动和协助法医调查的日志系统信息。

• 系统联系人：相关联系人及其职责的列表，例如事件响应团队成员和外部利益相关者。

• 响应程序/过程：逐步指南，解释对一系列事件做出反应时应采取的步骤。

• 安全事件确认：确认和验证安全事件发生的标准和方法。

• 评估影响：评估事件对系统、数据和操作的直接影响的技术。

• 上报至 ISO：向更高级别管理层（例如信息安全官 (ISO)）报告问题的程序。

• P3/P4 数据事件响应活动：根据数据泄露协议协助响应涉及敏感数据 (P3/P4) 事件的程序。

• P1 系统的补救措施：处理和恢复影响 P1 系统（安全性较低）的最严重事件的指南，目标是快速解决问题。

6个事件响应计划模板

选择最适合您需求的事件响应模板取决于一系列因素，包括您组织的行业、规模、监管先决条件和特定需求。以下是一些最佳的事件响应计划模型，其中许多模型直接链接到可下载的文档，并附有其优势和用途。我们将在下一节中深入探讨其中两个最著名的模型——NIST 和 SANS。

• NIST（在此处获取免费模板）：美国国家标准与技术研究所 (NIST) 为网络安全和事件响应提供了全面且备受推崇的框架。

• SANS（在此处获取免费模板）： SANS 提供大量事件响应资源，包括模板和手册。他们的材料因其实用性和与实际场景的相关性而受到认可。

• Cynet 事件响应模板（在此处获取免费模板）： Cynet 提供了一个有用的模板，相对简单直接，同时也强调合规性。

• 加州科技部事件响应计划（在此处获取免费模板）：该计划仅有四页，提出了任何事件响应计划都应包含的重要问题。

• 加州大学伯克利分校（在此处获取免费模板）：另一个仅有七页的优秀模型，重点关注事件响应升级和敏感数据。

• 密歇根州（在此处获取免费模板）：非常好的模板；其对事件严重性的强调十分突出。

总体而言，NIST框架备受推崇，通常是制定事件响应计划的最佳起点，SANS也提供了备受推崇的指导。不过，所有这些都是一目了然的。最佳选择（或选择组合）将取决于您组织的具体需求和情况，任何模板都需要进行调整和定制以满足您的特定要求。

NIST和SANS事件响应框架

美国国家标准与技术研究所 (NIST) 和SANS研究所是网络安全领域的两个著名组织，在塑造格局和开发各种框架（包括事件响应）方面发挥着重要作用。通过遵循这些公认的框架，组织可以加强其安全态势，降低风险并构建更安全的数字环境。

NIST 事件响应步骤

成立事件响应团队、概述角色和职责、制定事件响应政策和程序以及进行常规培训和演习都是准备阶段的一部分。

在检测和分析阶段，组织会监控其网络和系统，以发现可能出现问题的迹象。一旦发现事件，就会对其进行调查，以确定其类型、程度和影响。这需要获取证据、找出原因并评估对公司的危险。

确认发生事件后，应采取紧急措施限制和减轻其影响（遏制、根除和恢复）。为此，必须隔离受感染的系统、消除恶意组件、恢复备份数据并恢复正常运行。

事件解决后，组织会开展事后活动，例如进行全面的事后审查、总结经验教训、更新事件响应计划和程序，以及与相关利益相关者共享信息以增强未来的事件响应能力。

SANS事件响应步骤

SANS 事件响应流程的第一步与NIST类似，都涉及做好准备。制定事件响应政策和程序、组建事件响应团队、定义角色和职责以及提供适当的工具和资源都是其中的一部分。

此步骤的目的是确定事件的位置和存在性。为了确定事件的性质和范围，组织需要收集数据、开展调查并执行分析。

事件确认发生后，立即采取措施阻止其蔓延并限制进一步损害。这些措施包括关闭易受攻击的系统、限制有害活动以及防止未经授权的入侵。

在此步骤中，企业会从受影响的系统中清除事件的所有证据，包括任何恶意软件或未经授权的访问点。为了阻止进一步的事件发生，可能需要修复漏洞、删除受感染的帐户或重新配置系统。

事件消除后，注意力将转向恢复受影响的系统并使其恢复正常运行状态。这包括重新配置系统、从备份中恢复数据以及彻底测试所有内容以确保其正常运行。

最后一步是进行事后评估，评估事件响应程序，找出需要改进的地方，并从事件中吸取教训。为了提高未来整个组织的事件响应能力，此阶段还包括升级事件响应计划和程序并记录经验教训。

什么软件用于事件响应？

用于事件响应的软件和安全工具多种多样，这取决于组织的具体需求和偏好。以下是一些常用的事件响应工具：

安全信息和事件管理 (SIEM) 系统

SIEM 系统汇总并分析来自各种来源的安全事件和日志，提供实时监控、威胁检测和事件响应功能。这些工具提供警报，帮助识别正在进行的攻击，并提供日志文件分析以调查攻击。

事件响应平台 (IRP)

事件响应平台提供集中式事件管理、协调和工作流自动化。它们协助记录、跟踪和协调事件响应活动。

取证工具

数字取证工具有助于收集和分析与事件相关的数字证据。日志文件等证据可确定事件的根本原因和影响。这些工具支持调查和攻击后分析，并为潜在的法律行动保留证据。

端点检测和响应 (EDR) 系统

端点检测和响应 (EDR)工具收集日志文件并分析端点活动以检测可疑行为或妥协指标，并可采取自动措施进行初步遏制。

威胁情报平台 (TIP)

威胁情报平台为组织提供有关新兴威胁、恶意行为者和攻击指标的最新信息。它们通过提供可操作的安全和情报来为可能发生的攻击做好准备，从而帮助增强事件响应能力。

综述：做好事件响应准备

事件响应是处理和管理安全问题的一种系统方法。准备、检测和分析、遏制和缓解、调查和取证、沟通和报告以及恢复都是该过程的一部分。良好的事件响应计划的目标是减少事件的影响、确定其原因并恢复正常运行。

事件响应策略应根据每个组织的需求量身定制，并由一系列安全和响应解决方案提供支持。最后，事件响应是一个迭代过程，需要不断测试、培训和改进，以有效管理未来的问题。

原文始发于微信公众号（河南等级保护测评）：网络安全知识：什么是事件响应？事件框架概述