事件響應(yīng)，安全能力的關(guān)鍵一環(huán)

科技云報道原創(chuàng)。

技術(shù)永遠(yuǎn)都是把雙刃劍，這在攻防不斷交織的網(wǎng)絡(luò)安全領(lǐng)域，表現(xiàn)的尤為突出。隨著創(chuàng)新性技術(shù)的涌現(xiàn)，攻擊者的攻擊能力也在不斷提高。例如，物聯(lián)網(wǎng)設(shè)備和云計算等技術(shù)的發(fā)展極大擴展了應(yīng)用場景的范圍，但也使得攻擊者更容易訪問用戶的關(guān)鍵數(shù)據(jù)。

為快速應(yīng)對安全問題，盡可能的降低安全事件造成的損失，進行有效事件響應(yīng)（Incident Response, IR）成為企業(yè)的優(yōu)選方案。

安全事件響應(yīng)：保持網(wǎng)絡(luò)彈性的關(guān)鍵步驟

根據(jù) IBM 的《X-Force威脅情報指數(shù)2022》報告，2019 年第三季度至 2020 年第四季度期間，物聯(lián)網(wǎng)惡意軟件活動增加了 3000%。但情況“沒有最壞，只有更壞”， 2021 年的數(shù)據(jù)再次打破了記錄。根據(jù)身份盜竊資源中心(Identity Theft Resource Center) 2021 年的數(shù)據(jù)泄露報告，去年共發(fā)生 1862 起數(shù)據(jù)泄露事件，高于 2020 年的 1108 起。

這些數(shù)據(jù)強調(diào)了一個殘酷的事實，即每個組織都應(yīng)為最壞的情況做準(zhǔn)備。而最有效的方法是制定為響應(yīng)任何安全事件將采取的詳細(xì)步驟。

事件響應(yīng)是對安全問題和事件的有計劃的反應(yīng)。例如，在遭遇或可能遭遇安全事件時，安全團隊在試圖保證數(shù)據(jù)完好性的同時如何反應(yīng)，采取哪些行動來減少損失，以及何時能夠恢復(fù)資源。

Palo Alto Networks（派拓網(wǎng)絡(luò)）近期發(fā)布的《2022年Unit 42事件響應(yīng)報告》指出，總體而言，勒索軟件和商業(yè)電子郵件泄露（BEC）是事件響應(yīng)團隊在過去12個月中做出響應(yīng)的首要事件類型，約占事件響應(yīng)案例的70%。事件響應(yīng)案例中受影響最大的行業(yè)包括金融、專業(yè)和法律服務(wù)、制造、醫(yī)療保健、高科技以及批發(fā)和零售。這些行業(yè)內(nèi)的企業(yè)往往會存儲、傳輸和處理大量攻擊者可以從中獲利的敏感信息。

此外，在該報告中還能看到許多細(xì)分?jǐn)?shù)據(jù)，能夠幫助企業(yè)用戶正確認(rèn)識事件響應(yīng)案例中的具體威脅類型。例如，在一半的事件響應(yīng)案例中，企業(yè)在面向互聯(lián)網(wǎng)的關(guān)鍵系統(tǒng)上缺乏多因素身份驗證解決方案；在13%的案例中，企業(yè)沒有針對暴力憑據(jù)攻擊采取措施鎖定帳戶；在28%的案例中，不合格的補丁管理程序?qū)е鹿粽哂袡C可乘；在44%的案例中，企業(yè)沒有端點檢測和響應(yīng)（EDR）或擴展檢測和響應(yīng)（XDR）安全解決方案，或是沒有完全部署在最初受影響的系統(tǒng)上以檢測和對惡意攻擊做出響應(yīng)；75%的內(nèi)部威脅案例涉及企業(yè)前員工。

雖然我們無法 100% 地阻止網(wǎng)絡(luò)攻擊，但可以通過加強事后響應(yīng)及恢復(fù)能力，將損失降至最低。2021年的RSA大會主題是Resilience（彈性），構(gòu)建網(wǎng)絡(luò)彈性的能力可以理解為預(yù)防、抵御、恢復(fù)、適應(yīng)那些施加于含有網(wǎng)絡(luò)資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。因此，安全事件響應(yīng)能力成為關(guān)鍵一環(huán)。

理想的豐滿與現(xiàn)實的骨感，事件響應(yīng)不招待見？

根據(jù) Shred-it 在2021年發(fā)布的一份數(shù)據(jù)保護報告，10 名企業(yè)領(lǐng)導(dǎo)者中有 4 名將未來的數(shù)據(jù)泄露風(fēng)險評為為 4 或 5（5分制，5 為最高風(fēng)險），并且超過一半的受訪企業(yè)并沒有部署事件響應(yīng)計劃。

這表明一些企業(yè)雖然了解風(fēng)險，但未能充分采取保護其關(guān)鍵數(shù)據(jù)的措施。因此，一旦發(fā)生安全事件，企業(yè)響應(yīng)可能會很慢甚至束手無策，從而導(dǎo)致代價高昂的損失。

1/3的人更傾向于入侵防御而不是事件響應(yīng)。這是根據(jù) 2022 年 5 月的一份名為“Breaches Prompt Changes to Enterprise IR Plans and Processes”的報告得出的結(jié)果。 該調(diào)查針對 188 名 IT 和網(wǎng)絡(luò)安全專業(yè)人士進行了分析，以了解其真實的事件響應(yīng)想法和能力。

上圖數(shù)據(jù)顯示，共有 34% 的受訪者表示他們更愿意將 80%（21% 的受訪者）、90%（10% 的受訪者）或 100%（3% 的受訪者）的資源用于入侵防御而不是事件響應(yīng)。另有 34% 的人也優(yōu)先考慮防御。兩年間的數(shù)據(jù)類似，表明這一趨勢并沒有多大變化。

以上結(jié)果表明，組織在防御方面仍然比響應(yīng)和修復(fù)更加重視，事件響應(yīng)缺失的現(xiàn)象還很突出。無獨有偶，2021 年，Wakefield Research進行的一項調(diào)查顯示，36%的公司沒有制定詳細(xì)的事件響應(yīng)計劃。并且，人們對外圍防御技術(shù)的興趣很高，72% 的人表示入侵防御和檢測措施仍然有效。

然而，來自政府和網(wǎng)絡(luò)保險公司的壓力可能會使得企業(yè)轉(zhuǎn)向事件響應(yīng)。2022年3月15日,美國總統(tǒng)拜登正式簽署了《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法》，要求關(guān)鍵基礎(chǔ)設(shè)施行業(yè)公司在遭遇網(wǎng)絡(luò)事件時要在72小時內(nèi)向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）報告，在遭受勒索軟件攻擊而支付贖金后24小時內(nèi)向CISA報告，并采取補救措施。雖然該法律僅適用于被劃定的 16 個關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，但它為其他希望制定事件響應(yīng)計劃的組織指明了方向。

制定事件響應(yīng)策略

我國的網(wǎng)絡(luò)安全法規(guī)定，“國家支持網(wǎng)絡(luò)運營者之間在網(wǎng)絡(luò)安全信息收集、分析、通報和應(yīng)急處置等方面進行合作，提高網(wǎng)絡(luò)運營者的安全保障能力”“國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度”“國家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡(luò)安全風(fēng)險評估和應(yīng)急工作機制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練”。這為網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)提供了制度依據(jù)。

事件響應(yīng)能力是可以通過做出準(zhǔn)備來獲得。一個良好的事件響應(yīng)策略應(yīng)易于遵循，畢竟安全事件是全天候都可能發(fā)生的，其突發(fā)性可能會使得未做好充分準(zhǔn)備的安全團隊措手不及。

安全事件響應(yīng)策略的主要目標(biāo)是為團隊的所有成員定義在發(fā)生（或疑似發(fā)生）安全事件后必須遵循的流程。該策略應(yīng)包含響應(yīng)、監(jiān)控程序、任何違規(guī)行為以及因未遵守策略而進行處罰的詳細(xì)信息。安全事件響應(yīng)策略應(yīng)包括如下幾個要素：

SANS的事件響應(yīng)報告則將事件響應(yīng)聚焦在三個度量指標(biāo)：從失陷到檢出的時長（也稱dwell time駐留時間）、從檢出到遏制的時長，以及從遏制到修復(fù)的時長。主要的安全流程包括：隔離感染主機，阻斷C2惡意IP地址，關(guān)閉/下線系統(tǒng)，恢復(fù)失陷主機鏡像，移除流氓文件，從網(wǎng)絡(luò)中隔離感染機器并進行修復(fù)，識別與受感染系統(tǒng)相似的系統(tǒng)，基于已知IoC更新策略和規(guī)則，殺死流氓進程，在不重啟系統(tǒng)的條件下刪除被感染主機的文件和注冊表鍵值，徹底重建端點，重啟系統(tǒng)，遠(yuǎn)程部署/升級，從可移動存儲設(shè)備上重啟系統(tǒng)并遠(yuǎn)程修復(fù)系統(tǒng)等。

Gartner近期發(fā)布的響應(yīng)網(wǎng)絡(luò)安全事件工具手冊，也為企業(yè)制定高效的事件響應(yīng)計劃提供了參考。該工具手冊包括制定事件響應(yīng)計劃、編制詳細(xì)的響應(yīng)手冊以及定期進行桌面演練。其中，制定事件響應(yīng)計劃包括了繪制響應(yīng)流程圖、定義事件嚴(yán)重等級、明確職責(zé)等環(huán)節(jié)；編制詳細(xì)的響應(yīng)手冊包括編制響應(yīng)手冊、制定勒索軟件響應(yīng)流程、詳細(xì)記錄響應(yīng)流程等環(huán)節(jié)；定期進行桌面演練包括設(shè)置議程并邀請參與者、設(shè)定事件情景和場景、設(shè)計具有挑戰(zhàn)性的事件場景等環(huán)節(jié)。

此外，事件響應(yīng)策略還包括信息安全事件報告制度。

第一時間發(fā)現(xiàn)潛在安全事件的是處于防御第一線的安全人員，他們的反應(yīng)速度直接決定著事件響應(yīng)的成敗與否。事件響應(yīng)是極耗人力的工作，因此自動化成為未來事件響應(yīng)能力提升的關(guān)鍵。目前，業(yè)界將SOAR（Security Orchestration, Automation and Response，安全編排和自動化響應(yīng)）視為自動化響應(yīng)的有效解決方案，許多安全廠商開始在該領(lǐng)域大舉投入。根據(jù)Gartner的定義，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報警信息，或通過與其它技術(shù)的集成和自動化協(xié)調(diào)，提供包括安全事件響應(yīng)和威脅情報等功能。SOAR技術(shù)市場最終目標(biāo)是將安全編排和自動化(SOA)、安全事件響應(yīng)(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中。因此，用戶獲得高效的自動化事件響應(yīng)能力，未來可期。

結(jié)語

速度決定高度，對安全事件的響應(yīng)速度決定了安全能力以及企業(yè)業(yè)務(wù)平穩(wěn)運行的高度。未來，隨著網(wǎng)絡(luò)安全向著體系化、常態(tài)化、實戰(zhàn)化方向演進，攻防對抗將成為常態(tài)，做好基于事件的響應(yīng)，將對整體網(wǎng)絡(luò)安全防御帶來事半功倍的效果。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。