网络安全事件响应

什么是网络安全事件

网络安全事件可以归类为对我们的计算机系统或网络不利的事物、威胁。 它意味着伤害或试图伤害组织的人。 并非所有事件都将由 IRT("事件响应团队")处理,因为它们不一定会产生影响,但会召集那些执行 IRT 的人以可预测的高质量方式帮助处理事件。

IRT 应与组织的业务目标和目标紧密结合,并始终努力确保事件的最佳结果。 通常这涉及减少金钱损失、防止攻击者进行横向移动并在他们达到目标之前阻止他们。


IRT - 事件响应小组

IRT 是一个专门处理网络安全事件的团队。 该团队可能仅由网络安全专家组成,但如果还包括来自其他组的资源,则可能会产生很大的协同作用:

  • 网络安全专家 - 我们都知道他们属于团队。
  • 安全运营 - 他们可能对发展中的问题有洞察力,并且可以通过鸟瞰的情况提供支持。
  • IT 运营
  • 网络运营
  • 开发人员
  • 法务人员
  • 人力资源

PICERL - 方法

PICERL 方法的正式名称为 NIST-SP 800-61 (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf),其中包含一种方法的概述,该方法可以 应用于事件响应。

不要将此方法视为瀑布模型,而应将其视为可以前进和后退的过程。 这对于确保您充分处理发生的事件非常重要。

事件响应的 6 个阶段:


准备

此阶段用于准备处理事件响应。 IRT 应考虑许多事项以确保他们做好准备。

准备工作应包括制定说明组织应如何应对某些类型的事件的手册和程序。参与规则也应该提前确定:团队应该如何应对?团队是否应该积极尝试遏制和清除威胁,或者有时可以接受监控环境中的威胁以了解有价值的情报,例如他们如何闯入、他们是谁以及他们在追求什么?

团队还应确保他们拥有进行响应所需的必要日志、信息和访问权限。如果团队无法访问他们正在响应的系统,或者如果系统无法准确描述事件,那么团队就会失败。

工具和文档应该是最新的,并且已经协商了安全的沟通渠道。团队应确保必要的业务部门和经理能够收到影响他们的事件发展的持续更新。

为团队和组织的支持部分提供培训对于团队的成功也至关重要。事件响应者可以寻求培训和认证,团队可以尝试影响组织的其他成员,以免成为威胁的受害者。


识别

查看数据和事件,试图将我们的手指指向应该归类为事件的事情。此任务通常由 SOC 提供,但 IRT 可以参与此活动,并根据他们的知识尝试改进识别。

事件通常是根据来自安全相关工具的警报创建的,例如 EDR("端点检测和响应")、IDS/IPS("入侵检测/预防系统")或 SIEM("安全信息事件管理系统")。事件也可能因某人向团队报告问题而发生,例如用户致电团队、向 IRT 的电子邮件收件箱发送电子邮件或在事件案例管理系统中提交工单。

识别阶段的目标是发现事件并总结其影响和范围。团队应该问自己的重要问题包括:

  • 平台被攻破的严重程度和敏感性如何?
  • 该平台是否在其他地方使用,这意味着如果不及时采取任何措施,可能会进一步妥协?
  • 涉及多少用户和系统?
  • 攻击者获得了哪些类型的凭据,它们还能在哪里重复使用?

如果需要响应事件,团队将进入下一阶段的遏制。


遏制

收容应设法阻止攻击者前进并防止进一步的破坏。此步骤应确保组织不会遭受更多损失,并确保攻击者无法达到其目标。

IRT 应尽快考虑是否应进行备份和映像。备份和成像有助于为以后保存证据。这个过程应该尽量保证:

  • 用于文件取证的硬盘副本
  • 用于内存取证的相关系统的内存副本

IRT 可以采取许多措施来阻止攻击者,这在很大程度上取决于相关事件:

  • 在防火墙中阻止攻击者
  • 断开与受感染系统的网络连接
  • 使系统离线
  • 更改密码
  • 请求 ISP("互联网服务提供商")或其他合作伙伴帮助阻止攻击者

在遏制阶段执行的操作会尝试快速终止攻击者,以便 IRT 可以进入根除阶段。


根除

如果已正确执行遏制,IRT 可以进入根除阶段,有时称为补救阶段。 在这个阶段,目标是移除攻击者的工件。

有一些快速的选项可以确保根除,例如:

  • 从已知良好的备份恢复
  • 重建服务

如果更改和配置已作为遏制的一部分实施,请记住,恢复或重建可能会撤消这些更改,并且必须重新应用它们。 然而,有时 IRT 必须手动尝试移除攻击者留下的工件。


恢复

恢复正常操作是 IRT 的目标状态。 这可能涉及业务部门的验收测试。 理想情况下,我们添加带有事件信息的监控解决方案。 我们想知道攻击者是否突然返回,例如因为我们在根除过程中未能移除的文物。


经验教训

最后阶段是我们从事件中吸取教训。 这件事肯定有很多教训,例如:

  • IRT 是否拥有高效执行工作所需的知识、工具和访问权限?
  • 是否缺少任何可以使 IRT 工作更轻松、更快的日志?
  • 是否有任何流程可以改进以防止将来发生类似事件?

经验教训阶段通常会总结一份报告,详细说明执行摘要和事件期间发生的所有事情的概述。