码农教程 - 一技在手,衣食无忧! tools

网络安全 事件响应

❮ 上一节 下一节 ❯

什么是事件

事件可以归类为对我们的计算机系统或网络不利的威胁。它意味着伤害或有人试图伤害组织。并非所有事件都会由 IRT ("Incident Response Team") 处理,因为它们不一定会产生影响,但负责 IRT 的人员会被召集来帮助以可预测和高质量的方式处理事件。

IRT 应与组织的业务目标紧密结合,并始终努力确保事件得到最佳结果。通常,这涉及减少金钱损失、防止攻击者进行横向移动并在他们达到目标之前阻止他们。

IRT-- 事件响应小组

IRT 是专门处理网络安全事件的团队。该团队可能仅由网络安全专家组成,但如果还包括其他小组的资源,则可能会产生巨大的协同作用。考虑拥有以下单位如何极大地影响您的团队在某些情况下的表现:

  • 网络安全专家 - 我们都知道这些属于团队。
  • 安全运营——他们可能对事态发展有洞察力,并能以鸟瞰局势的方式提供支持。
  • IT 运营
  • 网络运营
  • 发展
  • 合法的
  • 人力资源

PICERL - 方法论

PICERL 方法的正式名称为 NIST-SP 800-61 (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf),包含可应用于事件的方法的概述回复。

不要将此方法视为瀑布模型,而应将其视为可以前进和后退的过程。这对于确保您充分处理发生的事件非常重要。

事件响应的 6 个阶段:

准备

此阶段是为处理事件响应做好准备。 IRT 应该考虑很多事情以确保他们做好准备。

准备工作应包括制定行动手册和程序,规定组织应如何应对某些类型的事件。交战规则也应该提前确定:团队应该如何应对?团队是否应该积极尝试遏制和清除威胁,或者有时可以监控环境中的威胁以了解有值的情报,例如他们如何闯入、他们是谁以及他们在追求什么?

团队还应确保他们拥有进行响应所需的必要日志、信息和访问权限。如果团队无法访问他们正在响应的系统,或者系统无法准确描述事件,那么团队就会失败。

工具和文档应该是最新的,并且已经协商好安全的沟通渠道。团队应确保必要的业务部门和经理能够持续收到影响他们的事件发展的最新信息。

对团队和组织支持部分的培训对于团队的成功也至关重要。事件响应人员可以寻求培训和认证,团队可以尝试影响组织的其他人员,以免成为威胁的受害者。

鉴别

通过查看数据和事件,试图指出哪些事情应该被归类为事件。此任务通常由 SOC 负责,但 IRT 可以参与此活动,并利用他们的知识尝试改进识别。

事件通常是根据来自安全相关工具(例如 EDR ("Endpoint Detection and Response")、IDS/IPS ("Intrusion Detection/Prevention Systems") 或 SIEM ("Security Information Event Management System"))的警报创建的。事件也可能是由于某人向团队报告问题而发生的,例如用户致电团队、向 IRT 的电子邮件收件箱发送电子邮件或事件案例管理系统中的票证。

识别阶段的目标是发现事件并得出其影响和范围。团队应该问自己的重要问题包括:

  • 被破坏的平台的严重性和敏感性是什么?
  • 该平台是否在其他地方使用,这意味着如果不及时采取行动,可能会进一步受到损害?
  • 涉及多少用户和系统?
  • 攻击者获得了哪些类型的凭据?这些凭据还可以在哪里重复使用?

如果需要对事件做出响应,团队将进入下一阶段的遏制。

遏制

遏制措施应尽力阻止攻击者并防止进一步的损害。此步骤应确保组织不会遭受更多损失,并确保攻击者无法达到其目标。

IRT 应尽快考虑是否应进行备份和映像。备份和映像对于保留证据以供日后使用非常有用。此过程应尝试确保:

  • 用于文件取证的硬盘驱动器的副本
  • 所涉及系统的内存副本,用于内存取证

IRT 可以采取多种措施来阻止攻击者,这在很大程度上取决于相关事件:

  • 在防火墙中阻止攻击者
  • 断开与受感染系统的网络连接
  • 使系统离线
  • 更改密码
  • 请求 ISP ("Internet Service Provider") 或其他合作伙伴帮助阻止攻击者

在遏制阶段执行的操作试图快速终止攻击者,以便 IRT 可以进入根除阶段。

根除

如果遏制措施得到正确执行,IRT 可以进入根除阶段,有时也称为补救阶段。在此阶段的目标是消除攻击者的工件。

有一些快速选项可以确保根除,例如:

  • 从已知良好的备份中恢复
  • 重建服务

如果更改和配置已作为遏制的一部分实施,请记住,恢复或重建可能会撤消这些更改,并且必须重新应用它们。然而,有时,IRT 必须手动尝试删除攻击者留下的工件。

恢复

恢复正常操作是 IRT 的目标状态。这可能涉及业务部门的验收测试。理想情况下,我们添加包含事件信息的监控解决方案。我们想要发现攻击者是否突然回来,例如因为我们在根除过程中未能删除的工件。

得到教训

最后阶段是我们从该事件中汲取教训。从这次事件中我们肯定可以得到很多教训,例如:

  • IRT 是否拥有高效开展工作所需的知识、工具和访问权限?
  • 是否缺少任何日志可以使 IRT 工作变得更轻松、更快?
  • 是否有任何流程可以改进以防止将来发生类似事件?

吸取教训阶段通常会得出一份报告,其中详细介绍了事件期间发生的所有情况的执行摘要和概述。


❮ 上一节 下一节 ❯