安全團(tuán)隊必須能夠盡快阻止威脅并恢復(fù)正常運營，這就是網(wǎng)絡(luò)安全團(tuán)隊不僅要有正確的工具，還要了解如何有效地應(yīng)對事件的原因，這一點至關(guān)重要，可以自定義諸如事件響應(yīng)模板之類的資源，以定義具有角色和職責(zé)、流程和行動項核對清單的計劃。

但準(zhǔn)備工作不能止步于此，團(tuán)隊必須不斷進(jìn)行培訓(xùn)，以適應(yīng)威脅的快速發(fā)展，必須利用每一次安全事件作為教育機(jī)會，幫助企業(yè)更好地為未來的事件做好準(zhǔn)備，甚至預(yù)防。

SANS研究所定義了一個框架，包括成功的網(wǎng)絡(luò)安全事件響應(yīng)的六個步驟。

• 準(zhǔn)備工作
• 身份識別
• 遏制
• 根除
• 追回
• 吸取的教訓(xùn)

雖然這些階段遵循邏輯流程，但你可能需要返回到流程中的前一個階段，以重復(fù)第一次錯誤或不完全完成的特定步驟。

是的，這會減慢速度，但更重要的是徹底完成每個階段，而不是試圖節(jié)省時間加快步驟。

1、準(zhǔn)備工作

目標(biāo)：讓你的團(tuán)隊做好高效處理事件的準(zhǔn)備

有權(quán)訪問你的系統(tǒng)的每個人都需要為事件做好準(zhǔn)備，而不僅僅是事件響應(yīng)團(tuán)隊。大多數(shù)網(wǎng)絡(luò)安全漏洞都應(yīng)歸咎于人為錯誤。因此，網(wǎng)絡(luò)安全事件響應(yīng)的第一步也是最重要的一步是教育人員要尋找什么，利用模板化的事件響應(yīng)計劃為所有參與者(安全負(fù)責(zé)人、運營經(jīng)理、幫助臺團(tuán)隊、身份和訪問經(jīng)理以及審計、合規(guī)性、溝通和管理人員)確定角色和責(zé)任，可以確保高效的協(xié)調(diào)。

攻擊者將繼續(xù)發(fā)展他們的社會攻擊和魚叉式網(wǎng)絡(luò)釣魚技術(shù)，試圖在培訓(xùn)和認(rèn)知活動中領(lǐng)先一步。雖然現(xiàn)在大多數(shù)人都知道不理睬一封寫得很糟糕的電子郵件，因為它承諾用一小筆預(yù)付款來換取獎勵，但一些目標(biāo)會成為非工作時間短信的受害者，假裝成他們的老板，請求幫助完成一項緊急的任務(wù)。為了適應(yīng)這些變化，你的內(nèi)部培訓(xùn)必須定期更新，以反映最新的趨勢和技術(shù)。

你的事件響應(yīng)人員-或安全操作中心(SOC，如果你有的話)-也需要定期培訓(xùn)，理想情況下是基于實際事件的模擬。高強(qiáng)度的桌面練習(xí)可以提高警惕，讓你的團(tuán)隊有一種體驗真實世界事件的感覺。你可能會發(fā)現(xiàn)，一些團(tuán)隊成員在熱度很高時表現(xiàn)出色，而其他一些成員則需要額外的培訓(xùn)和指導(dǎo)。

你準(zhǔn)備的另一個部分是勾勒出具體的應(yīng)對策略，最常見的方法是遏制和根除這一事件，另一種選擇是觀察正在進(jìn)行的事件，這樣你就可以評估攻擊者的行為并確定他們的目標(biāo)，前提是這不會造成不可挽回的傷害。

除了培訓(xùn)和策略，技術(shù)在事件應(yīng)對中發(fā)揮著巨大的作用，日志是一個關(guān)鍵組件。簡單地說，日志記錄越多，網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊調(diào)查事件就越容易、越高效。

此外，通過使用具有集中控制的端點檢測和響應(yīng)(EDR)平臺或擴(kuò)展檢測和響應(yīng)(XDR)工具，你可以快速采取防御措施，如隔離計算機(jī)、斷開它們與網(wǎng)絡(luò)的連接以及大規(guī)模執(zhí)行對抗命令。

網(wǎng)絡(luò)安全事件響應(yīng)需要的其他技術(shù)包括虛擬環(huán)境，可以在其中分析日志、文件和其他數(shù)據(jù)，以及足夠的存儲空間來存儲這些信息。你不想在設(shè)置虛擬機(jī)和分配存儲空間的過程中浪費時間。

最后，你需要一個系統(tǒng)來記錄你對事件的調(diào)查結(jié)果，無論是使用電子表格還是專用的網(wǎng)絡(luò)安全事件響應(yīng)文檔工具。你的文檔應(yīng)包括事件發(fā)生的時間線、受影響的系統(tǒng)和用戶以及你發(fā)現(xiàn)的惡意文件和危害指示器(IOC)(包括當(dāng)時和追溯的情況)。

2、身份識別

目標(biāo)：檢測你是否被入侵，并收集IOC

有幾種方法可以確定事件已經(jīng)發(fā)生或當(dāng)前正在進(jìn)行。

• 內(nèi)部檢測：你的內(nèi)部監(jiān)控團(tuán)隊或企業(yè)的其他成員可以通過一個或多個安全產(chǎn)品發(fā)出的警報，或在主動的威脅追蹤練習(xí)中發(fā)現(xiàn)事件。
• 外部檢測：第三方顧問或托管服務(wù)提供商可以使用安全工具或威脅追蹤技術(shù)代表你檢測事件，或者，業(yè)務(wù)合作伙伴可能會看到指示潛在事件的異常行為。
• 泄露的數(shù)據(jù)：最糟糕的情況是，只有在發(fā)現(xiàn)數(shù)據(jù)從你的環(huán)境中滲出并發(fā)布到互聯(lián)網(wǎng)或暗網(wǎng)網(wǎng)站后，才會知道事件發(fā)生了。如果這樣的數(shù)據(jù)包括敏感的客戶信息，并且在你有時間準(zhǔn)備協(xié)調(diào)一致的公開回應(yīng)之前就泄露給媒體，那么影響就更嚴(yán)重了。

如果不警惕警覺疲勞，任何關(guān)于身份識別的討論都是不完整的。

如果你的安全產(chǎn)品的檢測設(shè)置撥得太高，你將收到太多有關(guān)終端和網(wǎng)絡(luò)上不重要活動的警報，這是一種讓團(tuán)隊不知所措的好方法，可能會導(dǎo)致許多被忽視的警報。

相反的情況是，你的設(shè)置撥得太低，也同樣有問題，因為你可能會錯過關(guān)鍵事件。平衡的安全態(tài)勢將提供恰到好處的警報數(shù)量，這樣你就可以識別值得進(jìn)一步調(diào)查的事件，而不會感到警報疲勞。你的安全供應(yīng)商可以幫助你找到適當(dāng)?shù)钠胶?，理想情況下，還可以自動過濾警報，以便你的團(tuán)隊能夠?qū)Ｗ⒂谥匾氖虑椤?/p>

在識別階段，你將記錄從警報收集的所有危害指標(biāo)(IOC)，例如受危害的主機(jī)和用戶、惡意文件和進(jìn)程、新注冊表項等。

一旦你記錄了所有IOC，你將進(jìn)入遏制階段。

3、遏制

目標(biāo)：將損害降至最低

遏制既是一種戰(zhàn)略，也是國際關(guān)系中的一個明顯步驟。

你將希望建立一種適合你的特定企業(yè)的方法，同時考慮到安全和業(yè)務(wù)影響。盡管將設(shè)備與網(wǎng)絡(luò)隔離或斷開連接可以防止攻擊在整個企業(yè)中傳播，但也可能導(dǎo)致重大的財務(wù)損失或其他業(yè)務(wù)影響。這些決定應(yīng)該提前做出，并在你的投資者關(guān)系戰(zhàn)略中明確闡述。

遏制可以分為短期和長期兩個步驟，每一個步驟都有獨特的含義。

• 短期：這包括你目前可能采取的措施，比如關(guān)閉系統(tǒng)、斷開設(shè)備與網(wǎng)絡(luò)的連接，以及積極觀察威脅參與者的活動。每一步都有利有弊。
• 長期：最好的情況是讓受感染的系統(tǒng)離線，這樣你就可以安全地進(jìn)入根除階段。然而，這并不總是可能的，因此你可能需要采取修補(bǔ)、更改密碼、取消特定服務(wù)等措施。

在遏制階段，你需要確定域控制器、文件服務(wù)器和備份服務(wù)器等關(guān)鍵設(shè)備的優(yōu)先順序，以確保它們不會受到威脅。

此階段的其他步驟包括記錄事件期間包含的資產(chǎn)和威脅，以及根據(jù)設(shè)備是否受到攻擊對設(shè)備進(jìn)行分組。如果你不確定，就做最壞的打算。一旦對所有設(shè)備進(jìn)行了分類并滿足你對遏制的定義，此階段就結(jié)束了。

額外的一步：調(diào)查

目標(biāo)：確定誰、什么、何時、何地、為什么、如何

在這個階段，值得注意的是事件響應(yīng)的另一個重要方面：調(diào)查。

調(diào)查在整個事件響應(yīng)過程中進(jìn)行，雖然它本身不是一個階段，但在執(zhí)行每一步時都應(yīng)該牢記這一點，調(diào)查旨在回答有關(guān)哪些系統(tǒng)被訪問以及入侵來源的問題，當(dāng)事件得到控制后，團(tuán)隊可以通過從磁盤和內(nèi)存映像以及日志等來源捕獲盡可能多的相關(guān)數(shù)據(jù)來促進(jìn)徹底調(diào)查。

你可能熟悉術(shù)語數(shù)字取證和事件響應(yīng)(DFIR)，但值得注意的是，事件響應(yīng)取證的目標(biāo)不同于傳統(tǒng)取證的目標(biāo)，在信息檢索中，取證的主要目標(biāo)是幫助盡可能有效地從一個階段進(jìn)入下一個階段，以便恢復(fù)正常的業(yè)務(wù)運營。

數(shù)字取證技術(shù)旨在從捕獲的任何證據(jù)中提取盡可能多的有用信息，并將其轉(zhuǎn)化為有用的情報，有助于建立事件的更完整圖景，甚至有助于起訴壞人。

為已發(fā)現(xiàn)的構(gòu)件添加上下文的數(shù)據(jù)點可能包括攻擊者如何進(jìn)入網(wǎng)絡(luò)或四處移動、訪問或創(chuàng)建了哪些文件、執(zhí)行了哪些進(jìn)程等。當(dāng)然，這可能是一個耗時的過程，可能會與事件響應(yīng)沖突。

值得注意的是，DFIR自這個術(shù)語首次被創(chuàng)造以來已經(jīng)發(fā)生了演變。如今，企業(yè)擁有成百上千臺計算機(jī)，每臺計算機(jī)都有數(shù)百GB甚至數(shù)TB的存儲空間，因此從所有受損計算機(jī)捕獲和分析完整磁盤映像的傳統(tǒng)方法已不再實用。

目前的情況需要一種更外科的方法，即捕獲和分析來自每臺受危害機(jī)器的特定信息。

4、根除

目標(biāo)：確保完全消除威脅

遏制階段完成后，你可以轉(zhuǎn)移到根除，這可以通過磁盤清理、恢復(fù)到干凈備份或完全磁盤重新映像來處理，清除需要刪除惡意文件以及刪除或修改注冊表項，重新映像意味著重新安裝操作系統(tǒng)。

在采取任何行動之前，事件響應(yīng)團(tuán)隊需要參考任何組織策略，例如，要求在發(fā)生惡意軟件攻擊時重新映像特定計算機(jī)。

與前面的步驟一樣，文件在根除過程中發(fā)揮了作用。事件響應(yīng)團(tuán)隊?wèi)?yīng)仔細(xì)記錄在每臺機(jī)器上采取的操作，以確保不會遺漏任何內(nèi)容。作為另一項檢查，你可以在根除過程完成后對系統(tǒng)執(zhí)行主動掃描，以查找該威脅的任何證據(jù)。

5、恢復(fù)

目標(biāo)：恢復(fù)正常運營

你們所有的努力都引領(lǐng)著我們來到這里!恢復(fù)階段是指你可以像往常一樣恢復(fù)業(yè)務(wù)。在這一點上，確定何時恢復(fù)操作是關(guān)鍵決策。理想情況下，這可以毫不延遲地進(jìn)行，但可能需要等待組織的非工作時間或其他靜默期。

再檢查一次，以驗證恢復(fù)的系統(tǒng)上是否沒有任何IOC。你還需要確定根本原因是否仍然存在，并實施適當(dāng)?shù)男迯?fù)。

現(xiàn)在你已經(jīng)了解了這種類型的事件，你將能夠在未來對其進(jìn)行監(jiān)控并建立保護(hù)性控制。

6、吸取的教訓(xùn)

目標(biāo)：記錄所發(fā)生的事情并提高自己的能力

現(xiàn)在事件已經(jīng)過去了，是時候反思事件響應(yīng)的每個主要步驟并回答關(guān)鍵問題了，有很多問題和方面需要提出和審查，下面是幾個例子：

• 識別：在最初的妥協(xié)發(fā)生后，需要多長時間才能檢測到事件?
• 遏制：花了多長時間才控制住事件?
• 根除：根除后，你是否仍發(fā)現(xiàn)惡意軟件或受攻擊的跡象?

探討這些問題將幫助你后退一步，重新考慮基本的問題，比如：我們有正確的工具嗎?我們的員工是否接受了應(yīng)對事故的適當(dāng)培訓(xùn)?

然后循環(huán)返回到準(zhǔn)備階段，你可以在此進(jìn)行必要的改進(jìn)，例如更新事件響應(yīng)計劃模板、技術(shù)和流程，并為你的員工提供更好的培訓(xùn)。

確保安全的4個專業(yè)提示

讓我們用4個最后的建議來結(jié)束吧，記住：

• 日志越多，調(diào)查就越容易。確保盡可能多地記錄日志，以節(jié)省金錢和時間。
• 通過模擬針對你網(wǎng)絡(luò)的攻擊來做好準(zhǔn)備。這將揭示你的SOC團(tuán)隊如何分析警報及其通信能力——這在實際事件中至關(guān)重要。
• 人是企業(yè)安全態(tài)勢不可或缺的一部分。你知道95%的網(wǎng)絡(luò)入侵都是人為錯誤造成的嗎?這就是定期對終端用戶和安全團(tuán)隊這兩組人進(jìn)行培訓(xùn)很重要的原因。
• 考慮讓專門的第三方事件響應(yīng)團(tuán)隊隨叫隨到，他們可以立即介入，幫助你的團(tuán)隊解決可能無法解決的更困難的事件，這些團(tuán)隊可能已經(jīng)解決了數(shù)百起事件，他們將擁有事件響應(yīng)經(jīng)驗和必要的工具，以迅速啟動并加速你的事件響應(yīng)。