當面對現(xiàn)實生活中的網(wǎng)絡(luò)安全威脅時，很少有組織知道首先要采取哪些步驟來處理事件并將其對業(yè)務(wù)的影響降至最低。制定經(jīng)過深思熟慮的網(wǎng)絡(luò)安全事件響應(yīng)計劃(IRP)是讓自己為應(yīng)對這種情況做好充分準備的唯一方法。

在本文中，將詳細探討如何使用NIST事件響應(yīng)框架構(gòu)建完全符合業(yè)務(wù)需求的IRP。

事件響應(yīng)計劃什么、價值以及如何構(gòu)建？

什么是IRP？?

事件響應(yīng)計劃是包含用于處理和減輕安全事件、網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露后果的結(jié)構(gòu)化方法的文檔。

為什么制定事件響應(yīng)計劃很重要？?

強烈建議任何規(guī)模的企業(yè)使用IRP。在規(guī)劃事件響應(yīng)時，采用多層方法來保護組織的網(wǎng)絡(luò)和資產(chǎn)非常重要。

此外，始終需要在安全性與企業(yè)網(wǎng)絡(luò)和部署系統(tǒng)的生產(chǎn)力之間取得平衡。

用于構(gòu)建示例事件響應(yīng)計劃的清單

下面，我們探討十個技巧來建立或檢查事件響應(yīng)計劃。進一步閱讀詳細的NIST指南、關(guān)鍵步驟和尋找技術(shù)解決方案的提示。

• 指定需要遵循的主要事件響應(yīng)要求（NIST、HIPAA、PCI DSS等）以及與業(yè)務(wù)相關(guān)的要求（響應(yīng)時間、恢復(fù)策略等）。
• 進行安全審計，以確定公司網(wǎng)絡(luò)和部署系統(tǒng)中的弱點，可以立即解決這些弱點。
• 定義什么是安全事件。員工需要知道哪些事件被視為安全事件，如何定義其嚴重性等。
• 指定將在事件期間負責(zé)的負責(zé)人，并決定需要通知哪些各方并參與處理事件。
• 包括一個全面的溝通計劃。IRP必須指定在發(fā)生事件時首先給誰打電話、什么時候給他們打電話，以及在他們不可用時聯(lián)系誰。
• 列出組織最有可能面臨或過去曾面臨的安全事件的簡短列表。計劃處理事件的程序。然后一點一點地擴大涵蓋的安全事件的范圍。
• 向IRP添加各種選項：可能的數(shù)據(jù)泄露級別、事件嚴重性級別、受影響端點的類型等。
• 計劃恢復(fù)方案。整合備份解決方案并指定在發(fā)生安全事件時應(yīng)遵循的系統(tǒng)恢復(fù)和數(shù)據(jù)恢復(fù)程序。
• 向有關(guān)當局報告。包括在發(fā)生特定事件時應(yīng)通知的當局列表。例如，歐盟GDPR和美國加利福尼亞州的 SB1386要求在數(shù)據(jù)泄露的情況下發(fā)布公共通知。
• 根據(jù)以前的事件改進IRP。處理新事件后，深入分析它以使用更有效的響應(yīng)策略、程序和方案更新當前的 IRP。

現(xiàn)在，讓我們看看如何為組織構(gòu)建合適的 IRP。在確定如何應(yīng)對潛在的安全事件時，首先選擇要遵循的指南。

NIST作為構(gòu)建事件響應(yīng)計劃的指南

雖然有很多指導(dǎo)方針和現(xiàn)成的網(wǎng)絡(luò)事件響應(yīng)計劃模板，但并非所有這些模板都適用于所有類型的組織。

從頭開始創(chuàng)建事件響應(yīng)程序與構(gòu)建內(nèi)部威脅程序一樣具有挑戰(zhàn)性。對于每個組織，最有效的事件響應(yīng)方案的選擇將取決于特定的IT環(huán)境、組織面臨的威脅以及組織的業(yè)務(wù)需求。

但是，美國國家標準與技術(shù)研究院(NIST)提供了一系列指南，每個組織都可以將其用作構(gòu)建其事件響應(yīng)計劃的基準。

特別是，可以遵循計算機安全事件處理指南800-61修訂版2的建議來有效管理潛在的網(wǎng)絡(luò)安全事件。

根據(jù)NIST事件管理指南，事件響應(yīng)計劃應(yīng)包括以下主要階段：

每個階段都包括組織應(yīng)考慮添加到其IRP的多個步驟。讓我們仔細看看這些階段。

準備?

組織應(yīng)在網(wǎng)絡(luò)安全事件實際發(fā)生之前做好應(yīng)對準備，并提前計劃所有必要的響應(yīng)程序。準備階段還包括首先計劃如何防止數(shù)據(jù)泄露或攻擊發(fā)生。

檢測分析?

組織必須能夠檢測網(wǎng)絡(luò)事件，并擁有適當?shù)墓ぞ吆图夹g(shù)來收集、記錄和分析與事件相關(guān)的數(shù)據(jù)。為了更輕松地完成這項任務(wù)，NIST指定了八個攻擊向量（見下文）并列出了網(wǎng)絡(luò)安全事件的最常見跡象。

必要時，組織還應(yīng)該能夠根據(jù)事件的影響和可恢復(fù)性確定事件的優(yōu)先級，然后將違規(guī)情況通知有關(guān)當局。

遏制、根除和恢復(fù)?

組織必須能夠有效地處理攻擊、消除威脅并開始恢復(fù)受影響的系統(tǒng)和數(shù)據(jù)。

在這些階段，收集有關(guān)事件的證據(jù)以供日后用于解決事件和法律訴訟也很重要。

事后活動?

在有效處理安全事件后，組織應(yīng)使用從事件中獲得的信息來改進其當前的IRP。

NIST網(wǎng)絡(luò)安全框架的最佳之處在于它既靈活又適應(yīng)性強，因此大企業(yè)和小企業(yè)都可以有效地實施它。讓我們看看如何為組織構(gòu)建符合NIST的IRP。

實施符合NIST的事件響應(yīng)計劃的提示

NIST為構(gòu)建有效的IRP提供了非常詳細的事件響應(yīng)指南。這里的主要問題是信息太多，可能會發(fā)現(xiàn)自己在推薦中迷失方向。

以下是NIST事件響應(yīng)清單，其中包含五個必須采取的步驟，以確保事件響應(yīng)計劃同時滿足NIST要求和組織的需求。

1. 建立網(wǎng)絡(luò)安全事件響應(yīng)小組

或者至少選擇負責(zé)的人員。?

無論組織規(guī)?；蚬ぷ黝I(lǐng)域如何，在規(guī)劃IRP時首先要做的就是創(chuàng)建一個網(wǎng)絡(luò)安全事件響應(yīng)團隊(CIRT)。

CIRT負責(zé)在安全事件期間協(xié)調(diào)關(guān)鍵資源和團隊成員，以便將攻擊的影響降至最低，并盡快恢復(fù)所有操作。

CIRT的主要職能是：

• 定義事件響應(yīng)策略和程序
• 及時處理網(wǎng)絡(luò)安全事件
• 調(diào)查和分析以前的事件
• 創(chuàng)建事件報告能力并建立必要的溝通
• 培訓(xùn)員工并提高對網(wǎng)絡(luò)安全威脅及其緩解措施的認識
• 改進當前的事件響應(yīng)計劃

CIRT的成員數(shù)量取決于公司的規(guī)模、潛在的數(shù)據(jù)丟失和地理范圍。但是，請務(wù)必指定一名負責(zé)響應(yīng)和處理事件的團隊負責(zé)人。?

特別注意CIRT培訓(xùn)：每個CIRT成員都應(yīng)該了解組織的關(guān)鍵網(wǎng)絡(luò)安全政策和程序，以及他們在發(fā)生攻擊時的具體責(zé)任。

2. 提前計劃所有程序

提前計劃至關(guān)重要。?

如果發(fā)生網(wǎng)絡(luò)安全事件，CIRT需要確切知道如何以最小的損失處理它。但是，不僅需要制定而且還需要在實際事件發(fā)生之前對計算機安全事件響應(yīng)計劃進行實戰(zhàn)測試。

CIRT在規(guī)劃階段需要完成四項主要任務(wù)：?

首先，需要確定哪些事件被視為網(wǎng)絡(luò)安全事件。然后，為每種類型的潛在事件制定事件響應(yīng)計劃。

在其計算機安全事件處理指南中，NIST指定了攻擊向量列表，并建議為使用相同攻擊向量的事件開發(fā)通用事件響應(yīng)方案。

常見的攻擊媒介包括：

• 外部或可移動媒體（例如，受感染的USB設(shè)備）
• 設(shè)備丟失或被盜（丟失的公司筆記本電腦或授權(quán)令牌）
• Web（從Web應(yīng)用程序執(zhí)行的攻擊）
• 電子郵件攻擊（帶有惡意網(wǎng)站鏈接的電子郵件）
• 冒充（欺騙和中間人攻擊）
• 不當使用（訪問濫用）
• 損耗（蠻力攻擊）
• 其他（所有其他攻擊）

接下來，根據(jù)其影響確定可能的威脅和攻擊的優(yōu)先級。畢竟，當更大的漏洞仍未解決時，浪費時間來管理輕微的攻擊是沒有意義的。

NIST事件響應(yīng)計劃提供了三個基于影響的標準來確定事件的優(yōu)先級：

NIST事件嚴重程度取決于幾個因素：

(1) 功能影響決定了特定事件對業(yè)務(wù)運營的影響。

功能影響分為四個級別：

• 無——對組織的系統(tǒng)沒有功能影響
• 低——組織的系統(tǒng)基本不受影響
• 中等——組織無法提供某些服務(wù)高——組織不能為所有用戶提供至少一項關(guān)鍵服務(wù)

(2) 信息影響取決于事件期間泄露的信息的重要性和敏感性。

信息影響也有四類：

• 無——沒有數(shù)據(jù)泄露
• 隱私泄露——敏感的個人身份信息被泄露
• 專有違規(guī)——可能泄露商業(yè)秘密
• 完整性損失——數(shù)據(jù)可能被更改

(3) 可恢復(fù)性影響是衡量組織從事件中完全恢復(fù)所需的資源。

可恢復(fù)性影響也有四個級別：

• 定期——不需要額外的資源
• 補充——需要額外的資源，但組織可以預(yù)測總體恢復(fù)時間
• 延長-無法預(yù)測恢復(fù)時間
• 不可恢復(fù)——組織無法從事件中恢復(fù)

這種三層方法足夠靈活，可以被任何組織采用。

完成所有分類工作后，就該開始規(guī)劃響應(yīng)不同類別網(wǎng)絡(luò)安全事件的標準程序了?？紤]為最常見的事件類型（例如系統(tǒng)故障、拒絕服務(wù)、入侵和間諜軟件感染）制定遏制策略和標準操作程序(SOP)。

在SOP中，指定CIRT在發(fā)生特定事件時使用的技術(shù)流程、技術(shù)、檢查表和表格。

有關(guān)建立適當響應(yīng)程序的進一步指導(dǎo)，可以參考NIST特別出版物800-86，將取證技術(shù)集成到事件響應(yīng)中的指南。

3. 監(jiān)控用戶和網(wǎng)絡(luò)活動

如果你能看到它，你就可以管理它。?

防止?jié)撛诠舻淖罴逊椒ㄖ皇潜O(jiān)視網(wǎng)絡(luò)上發(fā)生的一切?？紤]部署用戶活動監(jiān)控解決方案來解決內(nèi)部威脅和與分包商相關(guān)的安全風(fēng)險問題。

通過關(guān)注個人用戶的活動和網(wǎng)絡(luò)上的活動，可以：

• 及早檢測并終止攻擊
• 收集證據(jù)和有價值的數(shù)據(jù)以供進一步分析

更進一步，可以實施具有行為用戶監(jiān)控功能的解決方案。使用 AI 驅(qū)動的技術(shù)，此類解決方案可以檢測到受監(jiān)控基礎(chǔ)設(shè)施內(nèi)的異常和與基線用戶行為的偏差。不要忘記通過制定內(nèi)部威脅事件響應(yīng)計劃來減輕自己組織的風(fēng)險。

在選擇正確的用戶活動監(jiān)控解決方案時，請尋找一個同時配備靈活事件響應(yīng)系統(tǒng)的解決方案。能夠設(shè)置自定義實時警報并自動化至少一些 SOP 將確保及時響應(yīng)網(wǎng)絡(luò)安全事件。

4. 注意備份和恢復(fù)策略

沒有人愿意丟失有價值的數(shù)據(jù)。?

恢復(fù)策略是任何 IT 事件響應(yīng)計劃的關(guān)鍵部分。

就像處理事件一樣，最好在實際發(fā)生任何違規(guī)行為之前考慮從事件中恢復(fù)，并針對不同場景編寫數(shù)據(jù)恢復(fù)過程的詳細示例。

可以從確定哪些數(shù)據(jù)對組織業(yè)務(wù)最有價值開始，并額外注意其保護。這在發(fā)生現(xiàn)實生活中的網(wǎng)絡(luò)安全事件時應(yīng)該關(guān)注什么：將立即需要恢復(fù)哪些數(shù)據(jù)以及哪些資產(chǎn)可以在第二天甚至下周恢復(fù)而不會對業(yè)務(wù)造成任何損害。

關(guān)于組織從網(wǎng)絡(luò)安全攻擊或數(shù)據(jù)泄露中的恢復(fù)， CIRT 需要牢記兩項主要任務(wù)：?

(1) 數(shù)據(jù)恢復(fù)。如果沒有備份系統(tǒng)，將很難快速應(yīng)對網(wǎng)絡(luò)安全事件。如果組織面臨網(wǎng)絡(luò)安全事件，部署數(shù)據(jù)丟失防護工具并創(chuàng)建備份將幫助組織安全地恢復(fù)所有關(guān)鍵業(yè)務(wù)信息。

為了更好地保護關(guān)鍵數(shù)據(jù)，請選擇結(jié)合了本地和基于云的服務(wù)的混合備份解決方案。此外，考慮通過為 NIST 合規(guī)性部署身份和訪問管理 解決方案來限制對敏感數(shù)據(jù)的訪問。

如果確實發(fā)生了安全事件，請確保備份受影響的系統(tǒng)，以便可以保留其當前狀態(tài)以進行取證。

(2) 服務(wù)恢復(fù)。以下兩個步驟對于在事件發(fā)生后將組織的系統(tǒng)恢復(fù)到正常運行至關(guān)重要：

• 檢查網(wǎng)絡(luò)以確認所有系統(tǒng)都在運行。
• 重新認證在事件期間可能受到影響的任何系統(tǒng)或組件可操作。

可能還需要為被入侵賬戶的用戶重置密碼，并阻止可能啟用入侵的賬戶和后門。

5. 更新事件響應(yīng)計劃時要關(guān)注什么

總是有改進的余地。?

根據(jù) NIST 的說法，組織應(yīng)至少每年審查一次事件響應(yīng)計劃。但是，鑒于新的網(wǎng)絡(luò)安全威脅不斷出現(xiàn)，更明智的做法是更頻繁地檢查和更新此計劃，尤其是對于大型公司而言。

每當業(yè)務(wù)面臨重大變化時，無論是進入新領(lǐng)域還是更改內(nèi)部基礎(chǔ)架構(gòu)，這些變化都應(yīng)反映在IRP 中。

• 與業(yè)務(wù)相關(guān)的新攻擊向量和安全威脅
• 本地和行業(yè)網(wǎng)絡(luò)安全要求的更新和變更
• 從以前的攻擊和違規(guī)中吸取的教訓(xùn)
• 可以改進的事件處理程序和解決方案

例如，如果組織是新的網(wǎng)絡(luò)安全威脅的潛在目標，則為此類攻擊準備足夠的事件響應(yīng)方案非常重要。計劃、測試和記錄與新威脅相關(guān)的所有程序和恢復(fù)工具。

檢查組織中處理現(xiàn)實事件的方式也很重要。這樣的分析可以告訴我們當前的策略是否良好，以及可以采取哪些措施來防止此類事件再次發(fā)生。

結(jié)論

制定事件響應(yīng)計劃對于任何規(guī)模的組織和企業(yè)都至關(guān)重要。

雖然有現(xiàn)成的事件響應(yīng)計劃模板，但根據(jù)內(nèi)部調(diào)查構(gòu)建自定義事件響應(yīng)計劃以反映組織特定要求并構(gòu)建自己的內(nèi)部威脅響應(yīng)計劃會更有益。

為了使這個過程更容易一些，組織可以參考常見的安全標準和流行的準則，例如 NIST 提供的那些。根據(jù) NIST 標準制定事件響應(yīng)計劃時，組織應(yīng)涵蓋NIST 事件響應(yīng)過程的四個主要階段：?

• 準備
• 檢測分析
• 遏制、根除和恢復(fù)
• 事后活動

在這些階段的每一個中，都應(yīng)指定一組工具和程序來處理特定的攻擊向量或特定的安全問題。?