創(chuàng)建安全事件響應(yīng)計(jì)劃的5個(gè)步驟

Neal Weinberg

受到網(wǎng)絡(luò)攻擊固然很糟糕，而與之相比更為糟糕的是受到了網(wǎng)絡(luò)攻擊，卻沒有事先制訂好強(qiáng)有力的安全事件響應(yīng)計(jì)劃。

狡猾的高級(jí)持續(xù)威脅（APT）攻擊通常是針對(duì)高價(jià)值目標(biāo)，例如，存儲(chǔ)大量信用卡數(shù)據(jù)和其他個(gè)人信息的信用卡公司、銀行、零售商、醫(yī)療保健機(jī)構(gòu)和連鎖酒店等。但實(shí)際上，企業(yè)無論規(guī)模大小，無論身處哪一行業(yè)，都很難免受內(nèi)部攻擊或者隨機(jī)惡意軟件、網(wǎng)絡(luò)釣魚、勒索軟件和拒絕服務(wù)攻擊的影響。

企業(yè)應(yīng)對(duì)泄露事件是否得當(dāng)，意味著要么能夠控制事件的發(fā)展并迅速恢復(fù)正常業(yè)務(wù)，要么企業(yè)聲譽(yù)持續(xù)多年深受損害。

根據(jù)波內(nèi)蒙研究所（Ponemon Institute）《2019年數(shù)據(jù)泄露事件成本報(bào)告》，全球泄露事件平均成本為390萬美元，而美國企業(yè)平均成本為820萬美元。據(jù)該報(bào)告，如果事先建立了事件響應(yīng)小組，那么泄露事件的成本能夠降低36萬美元。

此外，據(jù)該報(bào)告，整個(gè)事件響應(yīng)（IR）生命周期包括了檢測、遏制、根除、補(bǔ)救和恢復(fù)等過程，如果企業(yè)能夠在200天以內(nèi)完成這一過程，與那些花費(fèi)200天以上的企業(yè)相比，能夠節(jié)省120萬美元。

企業(yè)還需記住，與泄露事件相關(guān)的成本中，有67%發(fā)生在第一年;第二年是22%，這是因?yàn)槠髽I(yè)會(huì)努力恢復(fù)聲譽(yù)，減緩客戶流失率，吸引新客戶。據(jù)Ponemon報(bào)告，在第三年甚至更長的時(shí)間里，人們都能感受到泄露事件的長期影響。

創(chuàng)建事件響應(yīng)計(jì)劃看起來是一項(xiàng)艱巨的任務(wù)，但有一些方法可以把這個(gè)過程分解為易于處理的部分。把事件響應(yīng)視為一個(gè)完整的反饋循環(huán)過程，一開始，在威脅造成任何傷害之前便能夠發(fā)現(xiàn)威脅，如果確實(shí)發(fā)生了泄露事件，則快速將其遏制住，修復(fù)安全防御系統(tǒng)中可能被攻擊的任何漏洞，然后從事件中吸取教訓(xùn)，這些教訓(xùn)可以應(yīng)用到企業(yè)持續(xù)進(jìn)行的泄露事件預(yù)防和檢測活動(dòng)中。換句話說，計(jì)劃應(yīng)涵蓋泄露事件前、事件中和事件后的活動(dòng)。

1.組建事件響應(yīng)小組

如果企業(yè)不幸曾被攻擊過，那么最后悔的可能是之前沒有組建事件響應(yīng)小組。企業(yè)都應(yīng)該有一個(gè)事件響應(yīng)小組，其中包括最有能力的IT安全專業(yè)人員，但也需要整個(gè)企業(yè)的廣泛參與，這一點(diǎn)非常重要。

來自高管層的支持也很重要。有了企業(yè)領(lǐng)導(dǎo)層的支持，IT主管就能夠招聘到需要的合格人員來實(shí)施計(jì)劃。這些人應(yīng)接受培訓(xùn)，以便他們知道自己的角色和責(zé)任。

按照企業(yè)的規(guī)模和在全球的分布情況，可能需要組件多個(gè)小組，例如，一個(gè)北美小組，一個(gè)亞太小組，以適應(yīng)不同的語言、法規(guī)和報(bào)告要求等。

除了安全分析師，還需要有人去處理事件響應(yīng)技術(shù)人員和關(guān)鍵相關(guān)方（包括高級(jí)領(lǐng)導(dǎo)層、董事會(huì)和非技術(shù)員工）之間的內(nèi)部溝通。還應(yīng)立即通知參與供應(yīng)鏈的合作伙伴、供應(yīng)商和其他第三方。

律師和審計(jì)師應(yīng)參與到處理各種問題的循環(huán)過程中來，包括合規(guī)、法律責(zé)任，與執(zhí)法部門打交道等。在公共關(guān)系方面，必須有一個(gè)危機(jī)管理小組來設(shè)法處理泄露事件帶來的負(fù)面影響。需要通知客戶。市場營銷也要適時(shí)參與進(jìn)來，以制定旨在重建客戶信任的公關(guān)策略。

小組還必須有一個(gè)領(lǐng)導(dǎo)，即事件響應(yīng)經(jīng)理，并且應(yīng)該指派專人來收集文檔。同樣重要的是要有暢通的溝通渠道，能隨時(shí)聯(lián)系上每一個(gè)人，如果小組關(guān)鍵成員休假或者在災(zāi)難發(fā)生時(shí)聯(lián)系不上，還應(yīng)該有備份或者備用方案。

對(duì)于應(yīng)向IT管理層、高管層、受影響的部門、受影響的客戶和媒體傳達(dá)多少細(xì)節(jié)，應(yīng)該有明確的原則。

還需要考慮其他溝通問題：如果剛剛發(fā)現(xiàn)攻擊，攻擊者可能仍在監(jiān)聽內(nèi)部通信，那么最好暫停使用電子郵件、即時(shí)通信和協(xié)作應(yīng)用程序，每個(gè)人應(yīng)該在房間里面對(duì)面地進(jìn)行交流。小組可能需要從公司總部前往泄露事件發(fā)生所在地，因此需要考慮相關(guān)的后勤保障。

確實(shí)要組件事件響應(yīng)小組，不能紙上談兵。企業(yè)應(yīng)留出時(shí)間進(jìn)行適當(dāng)?shù)难萘?xí)，以確保每個(gè)人都知道當(dāng)真正出現(xiàn)事故時(shí)該怎么辦。

2.制訂行動(dòng)手冊

企業(yè)應(yīng)制訂行動(dòng)手冊，全面、詳細(xì)地指導(dǎo)怎樣應(yīng)對(duì)安全事件。行動(dòng)手冊是事件響應(yīng)計(jì)劃的根本。

行動(dòng)手冊應(yīng)涵蓋準(zhǔn)備、檢測、分析、遏制、根除、恢復(fù)和事故后處理等環(huán)節(jié)。手冊的一個(gè)關(guān)鍵點(diǎn)是，必須制訂的非常詳細(xì)，清楚地闡明角色、職責(zé)和處理程序。另一方面，由于很難預(yù)測泄露事件的類型和嚴(yán)重程度，因此，手冊應(yīng)非常靈活，人們能夠根據(jù)情況需要，有權(quán)自由地隨時(shí)作出重要決定。

例如，卡內(nèi)基梅隆大學(xué)制訂的行動(dòng)手冊長達(dá)11頁。加利福尼亞州科技部的事件響應(yīng)計(jì)劃有4頁，包括小組成員應(yīng)遵循的17步檢查表。

同樣重要的是，隨著環(huán)境的變化和威脅的演變，企業(yè)應(yīng)不斷更新行動(dòng)手冊。要根據(jù)事件響應(yīng)小組在應(yīng)對(duì)威脅時(shí)所汲取的經(jīng)驗(yàn)教訓(xùn)，不斷完善行動(dòng)手冊。行業(yè)協(xié)會(huì)、分析師和同業(yè)團(tuán)體等外部資源的見解也應(yīng)納入行動(dòng)手冊中。

當(dāng)然，事件真正來臨時(shí)，事件響應(yīng)小組再身經(jīng)百戰(zhàn)也未必能完全做好準(zhǔn)備，他們可能要每周7天，每天工作18小時(shí)，甚至要連續(xù)工作幾星期。而定義好了角色和職責(zé)的事件響應(yīng)行動(dòng)手冊肯定會(huì)有幫助。

3.預(yù)防和準(zhǔn)備

顯然，最好的事件響應(yīng)計(jì)劃是在第一時(shí)間阻止泄露事件的發(fā)生。企業(yè)應(yīng)進(jìn)行漏洞評(píng)估和其他類型的分析，以發(fā)現(xiàn)并堵塞安全漏洞。企業(yè)還需要對(duì)員工進(jìn)行安全最佳實(shí)踐方面的培訓(xùn)，例如，創(chuàng)建強(qiáng)密碼，不要點(diǎn)擊網(wǎng)絡(luò)釣魚鏈接等。預(yù)防階段還應(yīng)包括在發(fā)生泄露事件時(shí)提供所需的工具和資源。

企業(yè)還需要對(duì)數(shù)據(jù)和應(yīng)用程序的業(yè)務(wù)價(jià)值認(rèn)真進(jìn)行評(píng)估。通過這一步驟，安全小組加強(qiáng)了防御，保護(hù)企業(yè)最重要的資產(chǎn)，首先確定攻擊者最感興趣的高價(jià)值數(shù)據(jù)類型，確保有更強(qiáng)的安全措施來保護(hù)這些數(shù)據(jù)。

Ponemon報(bào)告中最令人驚訝的發(fā)現(xiàn)是，確認(rèn)數(shù)據(jù)泄露所需的時(shí)間平均是197天，而一旦發(fā)現(xiàn)數(shù)據(jù)泄露，遏制數(shù)據(jù)泄露所需的時(shí)間平均為69天。這意味著很多情況下，攻擊者在被發(fā)現(xiàn)之前，已經(jīng)在企業(yè)的系統(tǒng)里至少扎根了6個(gè)月以上。

怎么會(huì)這樣？在最近由Splunk贊助的IDC調(diào)查中，只有40%的企業(yè)制訂了比較寬泛的事件響應(yīng)計(jì)劃，只有14%的企業(yè)擁有流程自動(dòng)化的事件響應(yīng)管理平臺(tái)。

最終的結(jié)果是，安全分析人員在雪崩般的警報(bào)面前應(yīng)接不暇，無法對(duì)這些警報(bào)準(zhǔn)確地進(jìn)行分類，不知道哪些是誤報(bào)，哪些是直接威脅。接受IDC調(diào)查的2/3的企業(yè)報(bào)告稱，他們每周遭受一次攻擊，30%的企業(yè)至少每天遭受一次攻擊，而10%的企業(yè)每小時(shí)會(huì)遭受一次攻擊。

在這種持續(xù)遭受攻擊的環(huán)境下，只有27%的受調(diào)查企業(yè)表示，他們能夠輕松應(yīng)對(duì)這么多的攻擊，28%的企業(yè)表示，他們處境艱難，另有5%的企業(yè)則表示，他們一直在四處滅火。安全小組面對(duì)大量的攻擊措手不及，沒有適當(dāng)?shù)墓ぞ?、流程和?jì)劃來有效管理其事件響應(yīng)活動(dòng)。

Imperva的一項(xiàng)研究調(diào)查支持了這一結(jié)論，該調(diào)查發(fā)現(xiàn)，在安全運(yùn)維中心（SOC）工作的分析師平均每天調(diào)查20～26起事件。警報(bào)實(shí)在太多了，安全專業(yè)人員最終會(huì)忽略一些警報(bào)，或者修改他們的策略以減少接收到的警報(bào)次數(shù)。

Imperva調(diào)查中的大多數(shù)IT專業(yè)人員（53%）表示，他們所在企業(yè)的SOC一直苦于很難確定哪些安全事件是關(guān)鍵的，哪些只是干擾噪聲。

有效地排除背景噪聲的最佳方法是通過自動(dòng)處理事件響應(yīng)，對(duì)事件響應(yīng)進(jìn)行編排。據(jù)Ponemon的報(bào)告，自動(dòng)化將數(shù)據(jù)泄露的平均成本降低了155萬美元，并增強(qiáng)了網(wǎng)絡(luò)攻擊的預(yù)防、檢測、響應(yīng)和遏制能力。通過自動(dòng)化，安全分析師提高了效率，能夠根據(jù)更準(zhǔn)確的信息來采取行動(dòng)。Ponemon說，編排使得事件響應(yīng)速度提高了40倍。

4.發(fā)現(xiàn)和遏制

當(dāng)發(fā)現(xiàn)可能會(huì)有事件發(fā)生時(shí)，事件響應(yīng)技術(shù)小組應(yīng)立即采取行動(dòng)，通知全公司上一級(jí)事件響應(yīng)小組的成員，開始收集證據(jù)，決定事件的類型和嚴(yán)重程度，并記錄好他們正在做的所有工作。

當(dāng)下的目標(biāo)是遏制事件的發(fā)展，防止出現(xiàn)進(jìn)一步的損害。這涉及各種標(biāo)準(zhǔn)的安全措施，例如隔離受到攻擊的網(wǎng)段、關(guān)閉已被攻破的生產(chǎn)服務(wù)器，或者將任何其他受損資產(chǎn)進(jìn)行隔離。

長期來看，目標(biāo)是使受影響的系統(tǒng)恢復(fù)生產(chǎn)，以便企業(yè)能夠恢復(fù)正常運(yùn)營。這可能是一項(xiàng)復(fù)雜的任務(wù)，因?yàn)槭录憫?yīng)分析人員可能一直想找出攻擊者是怎樣進(jìn)入的，他們可能逃脫了什么，以及是否還在進(jìn)行攻擊。下一步是確定攻擊的根本原因，將其消除，然后加固系統(tǒng)，以防止將來出現(xiàn)類似的攻擊。

在恢復(fù)階段，企業(yè)將受影響的生產(chǎn)系統(tǒng)重新聯(lián)網(wǎng)，這是一個(gè)謹(jǐn)慎、有條不紊的過程，包括測試系統(tǒng)、驗(yàn)證系統(tǒng)是否正常運(yùn)行并監(jiān)視系統(tǒng)，以確保一切恢復(fù)正常。

恢復(fù)之后是進(jìn)行修復(fù)。例如，如果攻擊者是通過銷售點(diǎn)（POS）終端進(jìn)入的，那么該企業(yè)應(yīng)重新檢查POS相關(guān)的所有安全策略和過程。如果攻擊涉及密碼被攻破，那么企業(yè)應(yīng)重新制定其密碼策略，并考慮采用雙重身份驗(yàn)證。

5.進(jìn)行事后分析

事件結(jié)束后，企業(yè)需要花時(shí)間進(jìn)行徹底調(diào)查，查明事件原因，計(jì)算成本，并制定策略以防止今后發(fā)生類似的事件。

回顧并確定安全小組可能犯下的錯(cuò)誤（例如，導(dǎo)致泄露事件的配置錯(cuò)誤），這個(gè)過程可能會(huì)有些痛苦。當(dāng)然，也可能是最終用戶點(diǎn)擊了釣魚鏈接導(dǎo)致出現(xiàn)泄露?；蛘呤莾?nèi)部攻擊造成的。無論根本原因是什么，收集信息都有助于企業(yè)確定把重點(diǎn)放在哪里，以防止未來出現(xiàn)泄露事件。所有這些經(jīng)驗(yàn)教訓(xùn)都需要重新編入行動(dòng)手冊中。

Neal Weinberg是一名自由技術(shù)作家和編輯?？梢酝ㄟ^neal@misterwrite.net聯(lián)系到他。

原文網(wǎng)址

https：//www.idginsiderpro.com/article/3529381/5-steps-to-create-a-security-incident-response-plan.html