现代安全工具越来越能够保护公司网络和终端免受黑客攻击。但有时，不法分子仍然有办法入侵。

安全团队需要能够阻止风险并尽快恢复正常。因此，拥有合适的工具并了解如何妥善处理紧急情况至关重要。可以使用事件响应模板等资源来制定计划，其中包含方法、工作、职责以及需要执行的事项列表。

SANS研究所定义了一个包含六个步骤的框架，以实现成功的IR。

1. 准备
2. 鉴别
3. 遏制
4. 根除
5. 恢复
6. 经验教训

这些步骤按特定顺序进行是有道理的，但可能必须回到之前的步骤再次执行某些操作，因为第一次错过了。IR现在确实进展得慢了。但确保每一步都正确无误比跳过某些步骤来节省时间更重要。

1：准备

目标：让团队做好准备，高效、有效地处理事件。

不仅事件响应团队，所有能够访问系统的人员都需要做好应对准备。大多数计算机入侵都是人为失误造成的。在事件响应 (IR) 中，第一步也是最重要的一步是教会人们应该关注哪些方面。为了确保所有人能够良好协作，请使用模板化的事件响应计划来明确每个人的工作和职责。这包括高管、安全主管、运营经理、服务台团队、身份和访问经理、审计、合规、通信以及身份和访问经理。

攻击者会不断改进他们的鱼叉式网络钓鱼和社会工程方法，试图在人们学习这些威胁之前保持领先。现在大多数人都知道，如果一封写得不好，声称只需支付少量定金即可获得奖品的电子邮件会被忽略。然而，有些人仍然会在下班时间回复自称是老板、需要重要工作帮助的短信。由于这些变化，您的内部培训需要经常更新，以涵盖最新的攻击方法和趋势。

如果有事件响应中心或安全运营中心(SOC)，也需要定期进行培训，最好以模拟事件为基础。高强度的董事会演练可以激发团队成员的斗志，让他们感觉自己身临其境。可能会发现，有些团队成员在遇到困难时会尽力而为，而有些则需要更多帮助和培训。

制定具体的应对计划是准备工作的另一部分。最常见的方法是限制并消除问题。你也可以观察事件的发生，以便判断攻击者的行为，并弄清楚他们想要什么，只要这不会造成永久性损害。

技术是事件响应中非常重要的一部分，甚至比培训和计划更重要。日志是其中的重要组成部分。简而言之，记录的日志越多，事件响应团队调查事件的速度就越快、越容易。

如果使用端点检测和响应 (EDR) 平台或具有集中控制的扩展检测和响应 (XDR) 工具，还可以通过分离机器、将其与网络断开以及大规模运行对抗命令来快速保护自己。

对于事件响应 (IR)，还需要一个虚拟环境来查看日志、文件和其他数据，并留出足够的空间来存储这些数据。肯定不想在活动期间浪费时间设置文件和虚拟机。

最后，你需要一种方法来记录你从事件中学到的东西。这可以是一本笔记本，也可以是一个专门为此目的而制作的工具。你的记录应该包括事件发生的时间、受影响的系统和用户，以及你在事件发生时和之后发现的有害文件和入侵指标 (IOC)。

2：识别

目标：检测是否遭到入侵并收集 IOC。

可以通过几种方式来识别事件已经发生或正在进行中。

• 内部检测： 内部监控团队或组织的其他成员（得益于安全意识努力）可以通过来自一个或多个安全产品的警报或在主动威胁搜寻练习期间发现事件。
• 外部检测： 第三方顾问或托管服务提供商可以使用事件响应工具或威胁搜寻技术，代表检测事件。或者，业务合作伙伴可能会发现表明潜在事件的异常行为。
• 泄露数据被披露： 最糟糕的情况是，直到发现数据从环境中泄露并发布到互联网或暗网后才得知事件发生。如果这些数据包含敏感的客户信息，并且还没来得及准备协调一致的公开应对措施之前就被泄露给媒体，后果将更加严重。

当我们谈论身份认同时，不能忽略告警疲劳这个话题。

如果将安全产品的检测级别设置得太高，将收到太多关于终端和网络上不重要操作的警报。这会给团队带来很大困扰，而且很多警报可能无法被读取。

另一方面，如果选择太少，又可能会错过像第一种情况这样的重要事件。健康的安全策略会给你提供适量的警报，帮助你发现需要进一步研究的问题，而不会感到厌倦。你的安全提供商可以帮助你找到合适的组合，最好的系统会自动过滤警报，让团队专注于重要的事情。

在识别阶段，将记录在报告中发现的所有入侵迹象 (IOC)。这些迹象可能是被黑客入侵的主机和用户、恶意文件和进程、新的注册表项等等。

一旦所有 IOC 都记录下来，控制步骤就会开始。

3. 遏制

目标：尽量减少损害。

遏制不仅是 IR 的一个步骤，也是一种策略。

应该制定一个适合公司的计划，同时兼顾保护措施和业务问题。隔离设备或将其与网络断开或许可以阻止攻击在公司内部蔓延，但也可能造成巨额损失或对业务造成其他负面影响。应该做出这些选择，并在事件响应计划中清晰地阐明。

遏制措施包括短期和长期措施，每种措施都有其效果。

短期：这些是现在可以采取的措施，例如关闭连接到网络的系统和设备，并观察危险行为者的行为。这些措施各有利弊。

长期：最好的做法是让受感染的计算机保持离线状态，直到清除过程结束。但有时这是不可能的，所以可能需要采取一些措施，例如修复、更改密码、停止某些服务等等。

在遏制过程中，应该首先检查最重要的设备，例如域管理器、文件服务器和备份服务器，以确保它们没有被黑客入侵。

在此阶段，需要执行一些步骤，例如记录事件期间哪些资产和风险得到了控制，并根据设备是否遭到黑客攻击进行分组。如果不确定，请设想最坏的情况会发生。一旦所有设备都按定义的控制范围分组，此部分就结束了。

奖励步骤：调查

目标：确定谁、什么、何时、何地、为什么、如何。

在此阶段值得注意的是 IR 的另一个重要方面：调查。

调查贯穿于事件响应 (IR) 的整个过程。虽然调查本身并非独立的阶段，但在执行每个步骤时都应牢记这一点。调查旨在解答哪些系统被访问以及违规行为的根源。事件得到控制后，团队可以通过从磁盘和内存映像以及日志等来源获取尽可能多的相关数据来促进彻底调查。

数字取证方法旨在从发现的任何证据中获取尽可能多的有用信息，并将其转化为有用的数据，以帮助拼凑出更完整的事件经过，甚至帮助将罪犯绳之以法。

一些数据点有助于将发现的痕迹放在上下文中，例如攻击者如何进入或在网络中移动、访问或创建了哪些文件、运行了哪些进程等等。当然，这个过程可能耗费大量时间，并且可能会干扰事件响应 (IR)。

自 DFIR 这一术语首次使用以来，它已经发生了很大变化。如今，企业拥有数百甚至数千台计算机，每台计算机的存储空间高达数百 GB 甚至数 TB。这意味着，从所有受感染计算机中获取完整磁盘图片并进行研究的旧方法已不再适用。

目前，我们需要一种更精确的方法，收集并检查每台受感染机器的特定数据。

4. 根除

目标：确保威胁被彻底消除。

遏制阶段结束后，您可以继续进行根除，具体方法包括清理磁盘、从干净的备份中恢复或重新映像整个磁盘。清理是指删除有害文件并更改或删除注册表项。重新映像是指将操作系统重新安装到计算机上。

IR 团队在采取任何行动之前都会查看公司规定。例如，如果发生恶意软件攻击，某些机器需要重新镜像。

文档记录是清除过程中的重要环节，就像在之前的步骤中一样。IR 团队应该仔细记录他们在每台机器上执行的操作，以确保没有遗漏任何内容。在清除过程完成后，您可以对系统进行主动扫描，以查找任何威胁迹象，作为额外的检查。

5：恢复

目标：恢复正常运营。

你所做的一切都是为了让你走到今天！在康复阶段，一切可以恢复正常。此时，最重要的选择是何时恢复活动。这应该立即进行，但你可能需要等到公司下班时间或其他比较安静的时间。

只需再检查一次，确保恢复的系统不再有任何IOC。还必须检查根本原因是否仍然存在，并进行必要的修复。为了将来的参考，可以留意此类事件，并在了解后制定安全措施。

6. 经验教训

目标：记录发生的事情并提高能力。

现在事件已经顺利过去，是时候反思 IR 的每个主要步骤并回答关键问题了；有很多问题和方面需要询问和审查；以下是一些示例：

• 识别：最初的入侵发生后，需要多长时间才能检测到该事件？
• 遏制：遏制该事件花了多长时间？
• 根除：根除之后，是否仍然发现任何恶意软件或入侵的迹象？

探究这些问题将有助于你退一步思考一些基本问题，例如：我们是否拥有合适的工具？我们的员工是否接受过适当的培训，能够应对突发事件？

然后，循环回到准备阶段，可以进行必要的改进，例如更新事件响应计划模板、技术和流程，并为人员提供更好的培训。

确保安全的 4 个专业技巧

最后但同样重要的是，还有四件事需要考虑：

• 记录更多日志能让你更容易地调查事情。为了节省时间和金钱，请务必尽可能多地记录日志。
• 通过建模来应对网络攻击。这将展示SOC 团队如何看待报告，以及他们之间的沟通能力，这在实际事件中非常重要。
• 人员是组织安全的重要组成部分。您知道吗？95% 的网络事件都是由人为失误造成的。因此，定期对最终用户和安全团队进行培训至关重要。
• 可能需要安排一个专门的第三方内部调查团队随时待命，以便他们能够立即协助处理团队可能无法处理的棘手案例。这些团队可能已经处理过数百起事件，因此他们拥有您所需的事件响应 (IR) 知识和工具，能够立即启动并加快事件响应 (IR) 进程。

— 

原文始发于微信公众号（河南等级保护测评）：SANS网络事件响应处置六大步骤