譯者 | 晶顏

審校 | 重樓

一個殘酷的現(xiàn)實是，網(wǎng)絡威脅不會消失！隨著技術(shù)的不斷發(fā)展，威脅行為者使用的戰(zhàn)術(shù)和技術(shù)也將隨之演變。Statista最近的一份報告顯示，到2029年，全球網(wǎng)絡犯罪的成本將達到15.63萬億美元。為了解決這個問題，組織可以做的最重要的事情之一就是做好準備。根據(jù)美國國家標準與技術(shù)研究院（NIST）的說法，在事件響應生命周期的四個關鍵階段中，首先也是尤為重要的就是準備階段。

組織可以采取多個主動型準備步驟來確保事件響應（IR）準備就緒，這些步驟包括定期進行風險評估、實施全面的安全政策、提供持續(xù)的監(jiān)控和威脅情報收集。組織還可以通過投資培訓計劃和模擬演練來增強其IR能力，從而對網(wǎng)絡事件做出更快速有效的響應。

以下是組織可以在任何網(wǎng)絡安全事件發(fā)生之前進行的一些準備活動，這些措施最終可以幫助提高組織的整體IR和網(wǎng)絡安全成熟度。

1. 進行IR準備評估

未經(jīng)測試的組織可能無法完全掌握他們不知道的事情。由外部第三方進行的IR準備評估提供了對組織當前準備狀態(tài)的關鍵觀點。這樣的評估包括評估過程、程序、人員、文檔和技術(shù)，以衡量組織整體IR準備的成熟度。與審計不同，這些評估的目的是找出可能會削弱組織對事件的有效反應能力的潛在弱點。

組織可以通過識別人員（能力和技能缺口）、過程或技術(shù)來主動解決潛在缺陷。這種積極主動的方法不僅能加強網(wǎng)絡威脅防御能力，還為改進準備狀況提供了機會。最終，這樣的評估使組織能夠加強防御，并在日益復雜和具有挑戰(zhàn)性的網(wǎng)絡安全環(huán)境中更好地保護自己。

2. 制定健全的IR計劃

IR計劃是管理網(wǎng)絡事件的全面指南。它細致地概述了組織在任何類型和嚴重性事件發(fā)生之前、期間和之后的響應策略。它還詳細說明了組織IR團隊的結(jié)構(gòu)，指定了角色和職責，以確保事件期間的清晰度和效率。

該計劃應該包括IR的基本步驟：準備、發(fā)現(xiàn)和分析、遏制、根除和恢復以及事件后活動。每個步驟都旨在系統(tǒng)地處理和緩解事件的影響，確保事件管理的結(jié)構(gòu)化方法。此外，一個有效的計劃還會定義目標和目的、事件嚴重程度和其他關鍵因素，這些因素有助于形成一個全面的響應框架。

最重要的是，IR計劃應被視為一份動態(tài)文件。它需要定期更新和維護以保持有效性和相關性。Fortinet建議對該計劃進行兩年一次的審查，并在每次重大事件發(fā)生后進行重新評估。這個審查過程可以確保吸取的經(jīng)驗教訓被集成到計劃中，并且組織發(fā)生的任何變化都能得到反映和處理。

如果沒有這樣的計劃，組織可能會在危機期間做出倉促決定，導致代價高昂且無效的結(jié)果。維護良好的IR計劃可以在事件期間提供清晰的路線圖，并增強組織快速有效應對挑戰(zhàn)的能力。

3. 通過IR手冊提供指導

事件響應手冊是更廣泛的IR計劃的重要延伸，提供針對特定事件的標準化程序。手冊提供了一個清晰的、可操作的框架，概述了組織為準備、響應和從各種不同類型的事件中恢復所必須采取的精確步驟。通過關注具體的事件場景，手冊能確保反應不僅迅速，而且有效且一致。

每個IR手冊都提供了IR所有階段的詳細指導，包括準備、檢測和分析、遏制、根除、恢復和事件后活動。這些文件的設計也應該是全面的，包括分配給響應小組特定成員的逐步行動項目。這種級別的細節(jié)可以確保在事件響應期間，所有任務都得到考慮，每個目標都得到滿足。

典型的手冊包括勒索軟件、惡意軟件、商業(yè)電子郵件欺詐（BEC）、拒絕服務攻擊、數(shù)據(jù)丟失事件、設備丟失或被盜、內(nèi)部威脅和零日漏洞。手冊應該描述每個場景的具體行動和責任，確保響應團隊做好充分準備，有效而自信地處理事件。

4. 用桌面演練測試IR計劃

一旦IR計劃和手冊準備就緒，就可以使用桌面演練來測試它們了。根據(jù)NIST的說法，桌面演練是“一種基于討論的練習，人員在緊急情況下（討論）他們的角色以及他們對特定緊急情況的反應。”

簡而言之，桌面演練就像角色扮演游戲。引導者為參與者提供有關虛構(gòu)的網(wǎng)絡安全事件的事實或“注入”。然后，參與者討論如何使用IR計劃和手冊作為指導來應對這些“事實”。這些演練可以迎合特定的受眾進行開發(fā)，通常作為技術(shù)團隊成員的操作練習，或者作為組織領導者在事件期間關注業(yè)務和策略相關決策的高級練習。

桌面演練應至少每年進行一次。然而，一個季度的周期是團隊保持新鮮感和提高其對網(wǎng)絡安全事件反應能力的最佳選擇。

5. 開發(fā)系統(tǒng)清單和網(wǎng)絡圖

不幸的是，許多安全和IT專業(yè)人員不知道存在哪些IR資源或如何訪問它們。這使得安全團隊很難理解已知活動的上下文，或有效地發(fā)現(xiàn)事件的廣度和深度，關鍵時間都被浪費在追蹤業(yè)務所有者、構(gòu)建網(wǎng)絡圖或其他本應在事件發(fā)生之前實施的活動上。這可能顯著拖緩響應工作并加劇業(yè)務影響。

系統(tǒng)清單應包括諸如業(yè)務所有者、系統(tǒng)功能、主機名和IP、數(shù)據(jù)分類、數(shù)據(jù)關鍵性、相關審計或監(jiān)管信息，以及其他可能對事件響應者有用的關鍵標識信息。這些信息可以幫助識別并確保對整個組織中最關鍵系統(tǒng)的及時響應。了解與這些系統(tǒng)相關的業(yè)務流程同樣非常重要，這樣可以在整個事件過程中做出明智的決策。

網(wǎng)絡圖幫助事件響應人員了解系統(tǒng)的位置、網(wǎng)絡分段情況，以及可用于幫助遏制和消除威脅行為者的潛在阻塞點或隔離點。在事件發(fā)生之前開發(fā)系統(tǒng)清單和網(wǎng)絡圖可以實現(xiàn)更高效地響應，使響應人員能夠了解在事件發(fā)生期間給定系統(tǒng)受到損害對組織的影響。

6. 實施補丁管理流程

威脅行為者正通過利用公開系統(tǒng)中的漏洞作為初始訪問媒介，獲取長久而穩(wěn)定的立足點。根據(jù)FortiGuard調(diào)查數(shù)據(jù)顯示，在2023年下半年和2024年上半年處理的全部IR事件中，46%的事件是由面向公眾的應用程序中的漏洞直接導致的。供應商通常在這些漏洞被攻擊者利用前幾周、幾個月甚至幾年就提供了補丁。雖然有人可能會說，由于零日漏洞的存在，打補丁并非萬無一失，但打補丁能夠有效地縮小組織的威脅范圍，并消除容易實現(xiàn)的目標，是不可或缺的防御措施。

7. 定期進行漏洞評估和滲透測試

漏洞評估對于評估和改進補丁管理過程的有效性至關重要。這些評估通常針對內(nèi)部/外部IP或系統(tǒng)，使用自動化工具和手動技術(shù)來檢查系統(tǒng)、應用程序和網(wǎng)絡設備之間的現(xiàn)有漏洞。在此評估過程中，仔細審查結(jié)果以消除誤報并準確評估漏洞對組織的潛在影響是至關重要的。

漏洞評估側(cè)重于已知的漏洞，而滲透測試則在發(fā)現(xiàn)可能危及組織網(wǎng)絡、系統(tǒng)或應用程序的未知漏洞方面發(fā)揮補充作用。滲透測試可以針對特定的環(huán)境（例如內(nèi)部或外部網(wǎng)絡）進行調(diào)整，以確定威脅行為者可能利用的潛在入口點。另外，滲透測試可能側(cè)重于特定的Web或移動應用程序，進行徹底的檢查，以識別可能被惡意利用或在網(wǎng)絡中獲得未經(jīng)授權(quán)訪問的潛在漏洞。

盡管相關法規(guī)可能要求組織對特定環(huán)境進行年度滲透測試，但對于許多組織來說，更頻繁地進行這些評估是明智的。考慮到網(wǎng)絡環(huán)境的動態(tài)性，漏洞評估應該定期進行，頻率通常是每月一次，而滲透測試通常至少每年進行一次，如果可能的話，更頻繁會更好。

8. 檢查活動目錄環(huán)境

活動目錄（AD）基礎設施通常會隨著組織的發(fā)展而擴展。雖然AD環(huán)境是身份和訪問管理（IAM）程序的一部分，但在徹底的管理和安全監(jiān)督方面，AD環(huán)境卻經(jīng)常被忽視。對AD環(huán)境進行全面審查，確保其與Microsoft和標準組織（如NIST）的關鍵建議保持一致，不僅能增強AD配置的整體安全態(tài)勢，促進日志記錄功能的優(yōu)化，還能推動更有效的事件檢測和調(diào)查工作。

對AD環(huán)境的評估應該包括根據(jù)行業(yè)最佳實踐評估其配置。此過程旨在識別和修復潛在的安全漏洞、錯誤配置或惡意行為者可能利用的漏洞。通過實施推薦的協(xié)議，組織可以顯著減少整體威脅，并加強對未經(jīng)授權(quán)訪問和潛在破壞的防御。

審查和增強AD日志記錄對于快速和準確的事件響應至關重要。正確配置的日志提供了對用戶活動、身份驗證嘗試和系統(tǒng)事件的關鍵洞察，使安全團隊能夠及時檢測和緩解威脅。這種主動的方法有助于降低潛在風險，并確保符合法規(guī)要求和行業(yè)標準。而對AD環(huán)境進行全面審查和持續(xù)管理則有助于維護穩(wěn)健的IAM實踐，并增強整體網(wǎng)絡安全彈性。

9. 啟用集中日志并確保監(jiān)控

許多網(wǎng)絡安全事件可能持續(xù)數(shù)周甚至數(shù)月而未被發(fā)現(xiàn)，這凸顯了日志在有效事件調(diào)查中的關鍵作用。采用基于風險的方法對于確定要捕獲哪些日志、定義保留期限和建立必要的詳細級別以支持調(diào)查過程至關重要。通過集成設備、網(wǎng)絡和安全解決方案生成的日志，組織可以將數(shù)據(jù)關聯(lián)起來，以幫助調(diào)查和檢測其環(huán)境中的異常行為。

集中的日志記錄構(gòu)成了有效檢測程序的基礎，但是監(jiān)視這些信息同樣重要。如果沒有強大的監(jiān)控，組織可能會忽略或錯過關鍵警報，從而可能導致網(wǎng)絡安全事件升級。因此，組織必須確保及時響應通過集中日志和安全警報機制識別的異常和警報。

通過集成集中日志記錄和監(jiān)控，組織可以在事件升級為全面事件之前主動識別和響應事件。這種主動姿態(tài)增強了IR能力，提升了整體網(wǎng)絡彈性，能夠更好地在當今動態(tài)威脅環(huán)境中防范潛在威脅。

不要忘記終端用戶

FortiGuard IR團隊觀察到，有效憑據(jù)在過去一年中的使用量顯著增加，約占初始訪問方法的54%。這一趨勢表明，攻擊者越來越老練，他們正利用合法憑據(jù)獲得未經(jīng)授權(quán)的訪問，以繞過傳統(tǒng)的安全措施。為了有效地對抗這種威脅，組織應該優(yōu)先分析其環(huán)境中的正常用戶行為，以識別指示惡意活動的異常值。一個強大的方法是實現(xiàn)用戶和實體行為分析（UEBA）。UEBA利用先進的算法和機器學習來監(jiān)視用戶操作，建立行為基線，并檢測可能發(fā)出安全事件信號的異常情況。

然而，對于用戶行為分析來說，復雜的工具并非剛需，前提是擁有健壯的日志記錄實踐（參見上面的第9項）。組織可以通過系統(tǒng)地記錄各種用戶活動（如登錄時間、用于身份驗證的設備、訪問的系統(tǒng)和使用的應用程序）來創(chuàng)建全面的行為基線。這些基線能夠識別可能指示潛在網(wǎng)絡安全事件的異常值。定義什么是正常行為并為異常活動建立閾值是至關重要的步驟。當檢測到異常時，表明帳戶可能被泄露或存在內(nèi)部威脅，需要立即進行調(diào)查和響應。不過，不管用戶行為分析是如何進行的，都必須要為響應者準備一份行動指南。

將行為分析集成到安全策略中對于緩解日益加劇的憑據(jù)濫用威脅至關重要。通過利用UEBA（甚至是基本的日志記錄和監(jiān)視），組織可以創(chuàng)建一個動態(tài)的、響應性強的安全態(tài)勢，從而快速識別和緩解威脅。這種主動的方法增強了對惡意活動的早期檢測，提升了IR能力，并強化了組織的安全框架。

原文標題：Preparation Is Not Optional: 10 Incident Response Readiness Considerations for Any Organization，作者：John Hollenberger