九步成功打造应急响应计划
作者:星期二, 八月 2, 20160

在网络攻击袭击之企业前,准备好预案是事关生死的大事。

640-2

细节决定成败,制定事件响应(IR)计划时尤其如此。但,即使最成功的IR计划也会缺失关键信息,阻碍正常业务运营的快速恢复。以下,是应集成到IR计划中的很重要却经常被遗忘的9个步骤。

一、总动员

精明的安全主管应该有能力让整个公司员工参与到IR计划制定中来。CISO通常只管理负责威胁处理的团队,而搞定数据泄露引发的纷争则需要全公司的努力。

640-3

举个例子,如果一家银行有法律义务公开事件,那么它处理数据泄露事件影响的时候就会需要其公关部门的协助。该银行的网站开发团队也需要参与进来,如果黑客是通过利用公司网站漏洞实现攻击的话。另外,如果员工个人信息被泄露,公司人力资源部也需要联系一下。该银行的事件响应计划需要囊括进所有上述部门的意见。

一份详尽的事件响应计划,会铺陈出检测到数据泄露时应通知的关键人物,也会规划事件发生时在公司内部和外部信息流通的方式。在准备阶段,关键员工的沟通时间线和联系信息应被加入到计划中。

二、判明衡量标准

一份成功的事件响应计划会预先定义好关键业绩指标(KPI)供安全团队对事件作出评估。一些时间相关的度量包括:检测时间、事件报告时间、事件分类时间、调查时间、响应时间。在定性层面上,应追踪的一些数据包括:误报数量、攻击属性(恶意软件 VS 非基于恶意软件的)、检出事件的工具。

640-4

三、测试

企业应利用准备阶段考虑各种各样的有可能发生的数据泄露事件场景。这些场景应在不同活动中被仔细审查,比如团队培训、桌面模拟演练、红蓝对抗等。企业甚至应该模拟异常数据泄露事件,让员工知晓当真实事件发生时自己扮演的角色。

640-5

准备阶段,就是公司发现自身弱点和风险因素,辨明哪些行为需要严密监测,决定怎么分配安全预算的时候。IR计划应每年重新修订,如果公司发展很快,重修订间隔还应更短些。另外,IR计划中应包含相关经营规范。

四、核查看起来良性的警报

威胁检测有时候也会源于乍看良性且与安全无关的情形。对运行很慢的计算机进行IT检查或许会揭示出该机器已经感染了恶意软件,比如说,提起对网络钓鱼攻击的警醒,展开对是否有人点击了可疑链接的调查。IT工作人员应总是在面对技术问题时记得检查是否有安全隐患,即使事件看起来似乎与安全无关。

640-6

公司对抗敌人的最佳防御,是训练良好的用户,比如说,那些收到带奇怪链接的邮件时知道该联系安全团队的用户。

另外,IT和安全团队不应该无视用户的怀疑。应认真对待每一个直觉,人的直觉有时候会提供侦获数据泄露的线索。

五、构建整合的数据仓库

无论公司使用什么方法检测威胁,将所有事件整合进一个中央存储仓库都是其中重要一环。企业通常会使用SIEM来做这事儿,但有时候SIEM也不足以完整呈现IT环境。

640-7

事件响应团队经常需要重现当时环境中所发生的所有事。而这种时候才来构筑全面视图往往已经太迟,事件响应团队最终得到的,顶多是零零散散的局部重现,毫无价值。打造并维护一个有着广泛可见性的连续的数据仓库,不仅仅是监管上的要求。它对加速调查和响应也举足轻重。

六、别忽视工业控制

很多企业都有运行工业系统的设施,比如炼油厂或者制药厂。然而,企业或许没想到攻击者也会瞄准这些地点,因而放松了对这些设施的恶意行为监测。

640-8

另一些情况下,是由非IT或非安全部门来主管这些工控系统设施。该部门的人员也许就缺乏严密监测此类系统的知识,导致在安全上出现疏忽。

七、遏制和缓解

有彻底的遏制和缓解过程阻挡整个攻击行动而不仅仅是简单地解决攻击症状,对企业而言十分重要。不过,安全团队通常都单用某个特定的解决方案来面对诸多问题,为同样的攻击重现留下了大量机会。

640-9

遏制和缓解计划必须建立在安全团队对事件的调查结果上。太多时候,制定出来的计划都仅仅是基于预先检测的信息。比如说,如果SIEM系统检测到了连到C2服务器的连接,典型的解决方案就是杀死发起连接的进程,在防火墙中封掉该IP。但,如果该恶意软件是持续性的,只要计算机重启,恶意软件又会重新加载上,或许还会改头换面用另一个进程名,与另一个服务器连接。

于是,安全团队陷入无穷无尽的对同一个威胁的检测-遏制-清除循环中。另一方面,如果安全团队深入调查恶意软件的技术和感染方式,就能得到更好的根除计划,也有望开发出预防机制。

八、准备后续预算和资源

后续跟进,是预防安全事件重现的基础。然而,企业通常都忘了走这一步。有些后续跟进过程会牵涉到金钱支出,让有预算限制的企业觉得难以承受。花费较少的选择包括了在SIEM中添加新的检测规则,而更贵一些的后续跟进步骤,涉及到聘用额外的安全分析师或者购买攻击检测技术。

640-10

后续跟进阶段也是企业重新审视其KPI表现和决定是否需要调整的时候。比如说,安全团队可以判断出会引发过多误报的检测规则,然后修改规则集或者升级到另一套具备更强能力的检测系统,避免影响到快速响应能力。安全团队还可以选择根据用户而不是SIEM报告的事件,来添加检测规则。

九、全公司跟进

企业应准备好在事件发生后花费时间和金钱来汲取教训。学习和改进的过程不仅仅包括IT和安全团队。与准备阶段相似,很多时候,跟进只集中在了安全团队处理的东西上,也就是遏制和检测上。

640-11

把跟进限制在安全团队的责任上,会让过程管理更简单,但却没能使企业其他部门得到可以更好地应对未来安全事件的能力。事件响应需要全公司的合作,而不仅仅是IT和安全部门。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章