现代安全工具在保护组织网络和端点免受黑客攻击的能力不断提高。但攻击者仍然偶尔会找到进入的方法。
安全团队必须能够阻止威胁并尽快恢复正常运营,这就是为什么这些团队不仅要拥有合适的工具,还要了解如何有效应对事件的原因。通常我们可以通过自定义事件响应模板等方式,来定义响应包含的角色和职责、流程和操作项清单。
但准备工作不能止步于此。团队必须不断训练,以适应威胁的快速发展。必须利用每个安全事件作为教育机会,帮助组织更好地准备甚至预防未来的事件。
全球知名安全公司 SANS Institute 定义了一个事件响应框架,其中包含成功 IR( incident response) 必要的六个步骤:
- 准备
- 识别
- 遏制
- 根除
- 恢复
- 经验教训
虽然这些阶段遵循完整的逻辑流程,但实际您可能需要返回到流程中的上一个阶段,来修正第一次执行时的错误或没有完整完成的步骤。
这可能会减慢 IR 的速度。但是,彻底完成每个阶段比试图节省加速步骤的时间更重要。
1:准备
目标:让您的团队准备好高效地处理事件。
有权访问您系统的每个人都需要为事件做好准备,不仅仅是事件响应团队。人为错误是大多数网络安全漏洞的罪魁祸首。因此,IR 的第一步也是最重要的一步是教育员工要寻找什么。利用模板化事件响应计划为所有参与者(安全主管、运营经理、技术支持团队、标识和访问经理以及审计、合规性、通信和高管)确定角色和职责,可以确保高效协调。
攻击者将持续发展他们的社会工程和鱼叉式网络钓鱼技术,以试图在培训和宣传活动中领先一步。虽然现在大多数人都知道要忽略一些明显是诈骗的电子邮件,但也存在一些难以识别的邮件(比如假装是员工的老板),要求帮助完成一项时间敏感的任务。为了适应这些变化,您的内部培训必须定期更新,以适应最新的趋势和技术。
您的事件响应人员(或安全运营中心 (SOC)(如果有的话)也需要定期培训,最好是基于对实际事件的模拟。高强度的对抗练习可以提高肾上腺素水平,让您的团队了解经历真实事件的感觉。您可能会发现,一些团队成员在对抗中会快速成长,而另一些则需要额外的培训和指导。
准备工作的另一部分是制定具体的应对策略。最常见的方法是遏制和根除事件。另一种选择是观察正在进行的事件,以便您可以评估攻击者的行为并确定他们的目标,当然前提是这不会造成无法弥补的伤害。
除了培训和战略之外,日志在事件响应中发挥着巨大作用。日志是一个关键组件。简而言之,您记录的越多,IR 团队调查事件就越容易、越高效。
此外,使用具有集中控制功能的端点检测和响应 (EDR) 平台或扩展检测和响应 (XDR) 工具,可以快速采取防御措施,例如隔离计算机、断开计算机与网络的连接以及大规模执行防护命令。
IR 所需的其他条件包括可以分析日志、文件和其他数据的虚拟环境,以及用于存储这些信息的充足存储空间。显然您不希望在事件响应期间浪费时间设置虚拟机和分配存储空间。
最后,您需要一个系统来记录事件的发现,无论是使用电子表格还是专用的 IR 文档工具。您的文档应涵盖事件的时间线、受影响的系统和用户,以及您发现的恶意文件和入侵指标 (IOC)(包括当下和回顾)。
2:识别
目标:检测您是否被入侵并收集 IOC。
有几种方法可以识别事件已发生或当前正在进行中。
-
内部检测:内部监视团队或组织的其他成员(由于安全意识方面的努力)、一个或多个安全产品的警报或主动威胁搜寻尝试,可以发现事件。
-
外部检测:第三方顾问或托管服务提供商可以使用安全工具或威胁搜寻技术帮助你检测事件。或者,业务合作伙伴可能会看到指示潜在事件的异常行为。
-
泄露的数据:最坏的情况是,只有在发现数据已从您的环境中泄露并发布到 Internet 或暗网站点后,才知道发生了事件。如果此类数据包含敏感的客户信息,并且新闻在您有时间准备协调的公众响应之前就泄露给媒体,那么后果会更糟。
如果不提到告警疲劳,任何关于识别的讨论都是不完整的。
如果安全产品的检测级别设置的太高,您将收到太多有关端点和网络上不重要活动的警报。这会让您的团队不堪重负,并可能导致许多被忽略的警报。
相反的情况是,您的设置被调得太低,同样存在问题,因为您可能会错过关键事件。平衡的安全态势将提供恰到好处的警报数量,以便您可以识别值得进一步调查的事件,而不会感到警报疲劳。您的安全供应商可以帮助您找到适当的平衡点,理想情况下,可以自动过滤警报,以便您的团队可以专注于重要的事情。
在识别阶段,您将记录从警报中收集的所有入侵指标 (IOC),例如遭到入侵的主机和用户、恶意文件和进程、新的注册表项等。
一旦你记录了所有IOC,你将进入遏制阶段。
3:遏制
目标:将损害降到最低。
遏制既是一种策略,也是 IR 的一个独特步骤。
您需要建立一种适合您的特定组织的方法,同时牢记安全性和业务影响。尽管隔离设备或断开设备与网络的连接可以防止攻击在整个组织中传播,但也可能导致重大的财务损失或其他业务影响。这些决定应提前做出,并在您的影响报告中明确阐述。
遏制可以分为短期和长期两个步骤,每个步骤都有独特的含义。
-
短期: 这包括您当下可能采取的步骤,例如关闭系统、断开设备与网络的连接以及主动观察威胁参与者的活动。这些步骤中的每一个都有优点和缺点。
-
长期: 最好的情况是使受感染的系统保持脱机状态,以便您可以安全地进入根除阶段。但当然,这并不总是可行的,因此您可能需要采取修补、更改密码、终止特定服务等措施。
在遏制阶段,您需要确定关键设备(如域控制器、文件服务器和备份服务器)的优先级,以确保它们未受到损害。
此阶段的其他步骤包括记录事件期间包含的资产和威胁,以及根据设备是否受到威胁对设备进行分组。如果您不确定,请假设最坏的情况。对所有设备进行分类并满足您的遏制定义后,此阶段就结束了。
额外步骤:调查
目标:是谁、何时、何地、为什么、如何发生。
在这个阶段,值得注意的是IR的另一个重要方面:调查。
调查贯穿整个 IR 过程。虽然它不是一个独立的阶段,但在执行每个步骤时都应该牢记它。调查旨在回答有关访问了哪些系统以及违规来源的问题。当事件得到控制时,团队可以通过从磁盘和内存映像以及日志等来源捕获尽可能多的相关数据来促进彻底调查。
此流程图将整个过程可视化:
您可能熟悉数字取证和事件响应 (DFIR) 一词,但值得注意的是,IR 取证的目标与传统取证的目标不同。在 IR 中,取证的主要目标是帮助尽可能高效地从一个阶段进展到下一个阶段,以便恢复正常的业务运营。
数字取证技术旨在从捕获的任何证据中提取尽可能多的有用信息,并将其转化为有用的情报,以帮助更全面地了解事件,甚至帮助起诉不良行为者。
为发现的事件添加上下文的数据点可能包括攻击者如何进入网络或横向移动、访问或创建了哪些文件、执行了哪些进程等。当然,这可能是一个耗时的过程,可能会与 IR 发生冲突。
值得注意的是,DFIR自该术语首次提出以来就一直在发展。如今,组织拥有成百上千台计算机,每台计算机都有数百 GB 甚至数 TB 的存储空间,因此从所有受感染的计算机中捕获和分析完整磁盘映像的传统方法不再实用。
目前的情况需要一种更加智能化的方法,来捕获和分析来自每台受感染机器的特定信息。
4:根除
目标:确保完全消除威胁。
遏制阶段完成后,您可以进入根除阶段,这可以通过磁盘清理、还原到干净备份或完整磁盘重新映像来处理。清理需要删除恶意文件以及删除或修改注册表项。重新映像意味着重新安装操作系统。
在采取任何行动之前,IR 团队需要参考任何组织策略,例如,在发生恶意软件攻击时要求对特定计算机进行重新映像。
与前面的步骤一样,文档在根除方面起着重要作用。IR 团队应仔细记录在每台机器上采取的操作,以确保不会遗漏任何内容。作为额外的检查,您可以在根除过程完成后对系统执行主动扫描,以查找任何威胁证据。
5:恢复
目标:恢复正常操作。
你们所有的努力都是为了恢复,恢复阶段是您可以恢复正常业务的时候。此时,确定何时还原操作是关键决策。理想情况下,这可以立即发生,但可能需要等待组织的下班时间或其他业务低谷期。
再检查一次,以验证还原的系统上是否没有任何 IOC。您还需要确定根本原因是否仍然存在,并实施适当的修复。
现在,您已经了解了此类事件,您将能够在将来对其进行监视并建立保护性控制。
6:经验教训
目标:记录发生的事情并提高您的能力。
现在事件已经过去了,是时候反思每个主要的IR步骤并回答关键问题了,有很多问题和方面应该提出和审查,以下是一些例子:
-
识别:在初始入侵发生后,检测到事件需要多长时间?
-
遏制:控制事件需要多长时间?
-
根除:根除后,您是否仍然发现任何恶意软件或入侵的迹象?
探究这些问题将帮助您退后一步,重新考虑一些基本问题,例如:我们有合适的工具吗?我们的员工是否接受过适当的培训来应对事件?
然后,周期又回到了准备阶段,您可以在其中进行必要的改进,例如更新事件响应计划模板、技术和流程,以及为您的员工提供更好的培训。
保持安全的 4 个专业提示
最后,让我们总结四点建议:
-
记录的越多,调查就越容易。确保尽可能多地记录以节省金钱和时间。
-
通过模拟针对网络的攻击来做好准备。这将揭示您的 SOC 团队如何分析警报及其通信能力,这在实际事件中至关重要。
-
人员是组织安全态势不可或缺的一部分。您知道 95% 的网络漏洞是由人为错误引起的吗?因此,对两个群体进行定期培训非常重要:最终用户和安全团队。
-
考虑寻找一个专门的第三方安全响应团队,他们可以立即介入,帮助解决可能超出您团队解决能力的更棘手的事件。这些团队可能已经解决了数百起事件,他们将拥有必要的 IR 经验和工具,可以立即开始运行并加速您的 IR。