事件應急響應管理的5條建議
什么是應急響應?
通常來說,應急響應泛指安全技術人員在遇到突發事件后所采取的措施和行為。而突發事件則是指影響一個系統正常工作的情況。這里的系統包括主機范疇內的問題,也包括網絡范疇內的問題,例如黑客入侵、信息竊取、拒絕服務攻擊、網絡流量異常等。
應急處理的兩個根本性目標:確保恢復、追究責任。
除非是“事后”處理的事件,否則應急處理人員首先要解決的問題是如何確保受影響的系統恢復正常的功能。在確保恢復的工作中,應急處理人員需要保存各種必要的證據,以供將來其他工作使用。追究責任涉及到法律問題,一般用戶單位或第三方支援的應急處理人員主要起到配合分析的作用,因為展開這樣的調查通常需要得到司法許可。
多數企業都建立了應急響應的獨立團隊,通常稱為計算機安全應急響應小組(Computer Security Incident Response Team,CSIRT),以響應計算機安全事件。應急響應涉及多門學科,要求多種能力:通常要求從公司的不同部分獲取資源。人力資源部人員、法律顧問、技術專家、安全專家、公共安全官員、商業管理人員、最終用戶、技術支持人員和其他涉及計算機安全應急響應的人員。當然這些人員大部分是兼職的,需要在應急響應工作中進行配合。
事件響應管理5大建議
下面就為大家分享一些可能行之有效的事件響應實踐建議:
1. 事件響應Retainers(Incident Response Retainers,簡稱IRR)
我們首先推薦Incident Response Retainers并不奇怪,因為它是我們投資組合的基石。但是并不要認為我們如此推薦是存在私心的,畢竟,我想要能在第一時間進行響應是需要Retainers工具加持的。在如今這個時代,任何公司都應該部署自己的IRR產品,當然,這并不包含一些免費的IRR服務。你要記住,付出才有回報,免費的東西自然有它的作用,但是千萬不要奢求太多。
此外,在緊急情況下擁有可以與之合作的獨立公司也是非常重要的。以思科公司為例,我們不僅能夠在緊急情況中引入我們的事件響應(IR)團隊,還能夠引入我們的Talos威脅情報組織、危機溝通專家、產品團隊以及項目經理等等。這些團隊對于危機處理具有非常重要的意義。此外,提供retainer服務的公司不應該是被動的,他們應該全年與你一起工作,通過桌面練習來增強防御能力,強化安全計劃,甚至是主動和獨立捕獲對手的能力。當你擁有這樣的合作伙伴,你才有機會更為平穩地度過危機。
2. 先進的端點保護
在這所有5項建議中,有2項涉及技術層面的建議,這就是其中一項。在管理活躍事件(active incident)時,作為響應者所需的一項關鍵能力就是,能夠在更大規模的環境中洞察并有效地響應事件。想要實現這一點,就需要一款高級端點保護工具的支持了。
以思科高級惡意軟件防護(AMP)工具為例,借助AMP內置的可見性和觸手可及的響應能力,我們可以比使用其他方式做出更快速、高效的響應。當與思科安全體系結構中的其他解決方案配合使用時,思科AMP還能夠提供一種非常強大且有凝聚力的方式,來持續監控和響應網絡上的安全問題。
3. 網絡分段
由于缺乏經由網絡分段的控制設備,許多網絡和組織都已經被攻擊“下線”。作為思科IR團隊,我們其中一項職責就是在客戶端遭受攻擊后,與客戶合作完成事件響應和災難恢復工工作。通常情況下,這些攻擊已經損害了目標用戶的網絡環境,并通過勒索軟件感染或鎖定了數百萬計算機設備。是的沒錯,就是數百萬設備!此外,在我們處理的75%以上的勒索軟件案件中,受害者客戶的備份服務器也被加密鎖定了。
過去,分段要么被視為合規問題,要么被控制數據訪問的方式,但是對我而言,分段是一種必需的控制機制和基本的網絡衛生措施。
4. 安全監控
這一點的重要性可謂不言而喻,但是卻仍未獲得應有的重視。事實證明,直至2018年,太多的組織似乎仍在依賴外部組織(如FBI)或安全新聞機構來通知他們存在安全問題。這類組織應該進行充分的內部安全監控,以便有能力自行發現并處理自身系統中存在的安全問題。
我始終認為,在購買任何安全產品之前,供應商必須提供所需的資源估算:即鑒于環境規模,成功地運行、配置、維護以及監控產品所需的具體資源(例如人員等)。此外,你還必須聘請并培訓相關員工,以支持工具更有效地發揮作用。通常情況下,工具都是被買來作為“輔助性”事物使用的,可以代替部分人力。我記得在最近參與的一項事件響應實踐中,事件響應團隊登錄了安全控制臺查看可用數據,結果發現它像圣誕樹一樣閃閃發光,原來該工具正在顯示威脅情報,如果有人一直在監視它的話,就能夠有效地阻止大規模的威脅行為。
5. 基于網絡的安全
這是最后一項建議,同時也是第二項技術推薦。應該將基于網絡的安全控制分層,以防止來自web和基于電子郵件的威脅攻擊。這些控制措施應該包括諸如垃圾郵件過濾服務或設備、在可能的情況下阻止代理處的未分類流量、啟用DNS保護服務來過濾內容、阻止進一步的惡意軟件、防止僵尸網絡,以及防止URL錯別字(如Cisco Umbrella)問題等項目。此外,實施這些控制措施還需要考慮監控問題,以檢測和限制請求域名與攻擊者行為或惡意軟件相關的設備。
除了上述5項建議之外,思科還會定期提供其他建議,例如雙因素(two factor)、滲透測試以及關注治理、風險和合規(GRC)等。就風險和合規問題而言,一個驚人的事實是,仍然有很多組織尚未進行過基本的安全評估工作,而且也不具備合理完善的安全計劃。更糟糕的是,截至目前,安全性仍然不是某些組織的優先考慮事項。
在如今這個新時代,安全需要融入所有事情,IT人員也應該向著保護公司、客戶和用戶共同利益的目標努力。希望本文對你是有用的,也許它證實了你所看到的、知道的或者你自己正在做的事情。
