Ryan+Francis+楊勇

如果沒有計(jì)劃，您就是盲目飛行。這里列出了您應(yīng)該遵循的9個(gè)步驟。

在開發(fā)應(yīng)急響應(yīng)（IR，Incident Response）計(jì)劃時(shí)，細(xì)節(jié)非常關(guān)鍵。但是，即使是最成功的IR計(jì)劃也可能缺乏關(guān)鍵信息，導(dǎo)致不能很快的恢復(fù)正常業(yè)務(wù)運(yùn)營(yíng)。

Cybereason的這一指南深入介紹了九個(gè)經(jīng)常被遺忘，但是非常重要的步驟，您應(yīng)該將其納入您的IR計(jì)劃中。

整個(gè)公司都要做好準(zhǔn)備

一名優(yōu)秀的安全領(lǐng)導(dǎo)應(yīng)能讓全公司的員工都參與幫助制定IR計(jì)劃。雖然CISO最有可能管理應(yīng)對(duì)威脅的團(tuán)隊(duì)，但處理好泄露事件的后果則需要整個(gè)公司的努力。

例如，如果法律要求企業(yè)披露所遇到的泄露事件，那么處理泄露事件影響的銀行可能需要其公共關(guān)系員工的幫助。

如果對(duì)手通過利用公司網(wǎng)站中的漏洞（例如WordPress漏洞）進(jìn)行攻擊，那么銀行的Web開發(fā)團(tuán)隊(duì)也要參與進(jìn)來(lái)。此外，如果員工的個(gè)人信息被泄露，則可能需要聯(lián)系公司的人力資源部門。銀行的應(yīng)急響應(yīng)計(jì)劃應(yīng)包括所有這些部門的反饋。

一個(gè)全面的應(yīng)急響應(yīng)計(jì)劃規(guī)定了當(dāng)檢測(cè)到泄露事件時(shí)應(yīng)通知的關(guān)鍵人員，以及怎樣把泄露事件信息通報(bào)到整個(gè)企業(yè)內(nèi)部和外部。在準(zhǔn)備階段，應(yīng)向計(jì)劃中添加通信時(shí)間表和關(guān)鍵人員的聯(lián)系信息。

明確測(cè)量和指標(biāo)

一個(gè)成功的應(yīng)急響應(yīng)計(jì)劃會(huì)預(yù)先定義好安全部門在事件期間要測(cè)量的關(guān)鍵性能指標(biāo)（KPI）。要跟蹤的一些比較好的時(shí)間相關(guān)測(cè)量指標(biāo)包括檢測(cè)時(shí)間、報(bào)告事件的時(shí)間、分流時(shí)間、調(diào)查時(shí)間和響應(yīng)時(shí)間。定性的，一些要跟蹤的指標(biāo)包括虛警的數(shù)量、攻擊的性質(zhì)（基于惡意軟件與非惡意軟件）和發(fā)現(xiàn)事件的工具。

保持測(cè)試運(yùn)行

公司應(yīng)在準(zhǔn)備階段考慮好可能發(fā)生的各種泄露事件場(chǎng)景。應(yīng)在團(tuán)隊(duì)培訓(xùn)、桌面練習(xí)和藍(lán)隊(duì)紅隊(duì)對(duì)抗等活動(dòng)中練習(xí)這些場(chǎng)景。企業(yè)甚至應(yīng)該模擬泄露事件，以便員工在真的出現(xiàn)泄露事件時(shí)知道自己應(yīng)該干什么。

在這一階段，公司發(fā)現(xiàn)其弱點(diǎn)和風(fēng)險(xiǎn)因素，找出需要密切監(jiān)控的活動(dòng)，并決定怎樣把安全預(yù)算花出去。如果公司成長(zhǎng)非常迅速，那么應(yīng)該每年或者更頻繁地修訂IR計(jì)劃。此外，應(yīng)急響應(yīng)計(jì)劃應(yīng)包括所有的業(yè)務(wù)規(guī)章制度。

對(duì)顯示為良性的警報(bào)展開調(diào)查

威脅檢測(cè)可以從最初看起來(lái)是良性的并且與安全無(wú)關(guān)的情形開始。例如，對(duì)運(yùn)行較慢的計(jì)算機(jī)進(jìn)行IT調(diào)查可能會(huì)發(fā)現(xiàn)機(jī)器感染了惡意軟件，調(diào)查對(duì)網(wǎng)絡(luò)釣魚攻擊的恐懼程度，以及通過調(diào)查發(fā)現(xiàn)是否有人點(diǎn)擊了可疑鏈接。IT專業(yè)人員在查看技術(shù)問題時(shí)一定要檢查是不是有破壞的跡象——即使事件似乎與安全無(wú)關(guān)。

公司針對(duì)攻擊最好的防御措施是讓用戶受到良好的訓(xùn)練，例如，他們知道在收到有奇怪鏈接的電子郵件后應(yīng)該與安全部門聯(lián)系。

此外，IT和安全部門不要忽視用戶的懷疑。因?yàn)橐粋€(gè)人的直覺最終可能會(huì)發(fā)現(xiàn)泄露事件，因此，一定要重視預(yù)感。

創(chuàng)建統(tǒng)一的數(shù)據(jù)庫(kù)

無(wú)論公司使用何種方法來(lái)檢測(cè)威脅，一個(gè)重要步驟是把所有事件合并到中央存儲(chǔ)庫(kù)中。公司在這方面通常使用SIEM，但有時(shí)這不足以在IT環(huán)境中掌握全面情況。

應(yīng)急響應(yīng)團(tuán)隊(duì)一般會(huì)嘗試事后為在此環(huán)境下發(fā)生的所有事件建立一個(gè)全景視圖。在這一點(diǎn)，建立全面的視圖通常為時(shí)太晚，應(yīng)急響應(yīng)團(tuán)隊(duì)最終得到的結(jié)果非常不全面，沒有任何價(jià)值。構(gòu)建并維護(hù)在整個(gè)環(huán)境中都具有連續(xù)性和廣泛可見性的數(shù)據(jù)庫(kù)不僅對(duì)于法規(guī)要求至關(guān)重要，而且對(duì)加快調(diào)查和迅速響應(yīng)也非常重要。

不要忽視工業(yè)控制

許多企業(yè)具有運(yùn)行工業(yè)系統(tǒng)的設(shè)施，例如煉油廠或者制藥廠。然而，公司可能不認(rèn)為攻擊者會(huì)瞄準(zhǔn)這些地方，沒有密切監(jiān)視他們的惡意活動(dòng)。

在某些情況下，IT或者安全部門以外的其他部門負(fù)責(zé)管理工業(yè)控制系統(tǒng)基礎(chǔ)設(shè)施。該部門的人員可能缺乏密切監(jiān)視這些系統(tǒng)所需的知識(shí)，有可能導(dǎo)致忽略了安全問題。

遏制和補(bǔ)救

完全停下來(lái)，進(jìn)行徹底的遏制和補(bǔ)救工作，而不是只解決攻擊的表面癥狀——這是非常有必要的。然而，安全部門通常為一個(gè)非常廣泛的問題提供特定的解決方案，這導(dǎo)致相同的攻擊很有可能再次發(fā)生。

遏制和補(bǔ)救計(jì)劃必須基于安全部門對(duì)事件的調(diào)查結(jié)果。一般而言，開發(fā)的計(jì)劃依賴于僅在初步檢測(cè)期間收集到的信息。例如，如果SIEM檢測(cè)到與C2服務(wù)器的惡意連接，典型的解決方案是終止創(chuàng)建通信的進(jìn)程，并阻斷防火墻中的IP地址。但是，如果惡意軟件是持續(xù)性的，當(dāng)計(jì)算機(jī)重新啟動(dòng)時(shí)，它會(huì)重新加載，可能使用不同的進(jìn)程名稱，并與不同的服務(wù)器進(jìn)行通信。

之后，安全部門就會(huì)針對(duì)同一種威脅而沒完沒了地進(jìn)行檢測(cè)、遏制和根除工作。另一方面，如果團(tuán)隊(duì)調(diào)查了惡意軟件所采用的技術(shù)和感染媒介，那就會(huì)有更好的根除計(jì)劃，并可能開發(fā)出預(yù)防計(jì)劃。

做好事后預(yù)算和資源計(jì)劃

事后工作對(duì)于防止安全事件再次發(fā)生至關(guān)重要。然而，公司往往不完全遵循這一步驟。事后工作產(chǎn)生的一些建議需要花費(fèi)資金，預(yù)算有限的企業(yè)可能不會(huì)接受這些步驟。成本較低的選擇包括向SIEM添加新的檢測(cè)規(guī)則，而一些較為昂貴的事后步驟則需要雇傭額外的安全分析師或者購(gòu)買技術(shù)來(lái)檢測(cè)攻擊。

事后階段也是企業(yè)審查其KPI的績(jī)效并確定是否需要進(jìn)行調(diào)整的階段。例如，安全部門會(huì)確定某些檢測(cè)規(guī)則導(dǎo)致出現(xiàn)過多的誤報(bào)，這些誤報(bào)不利于對(duì)事件做出迅速響應(yīng)。然后，可以去改進(jìn)所采用的一組檢測(cè)規(guī)則，或者升級(jí)到能力更好的其他檢測(cè)系統(tǒng)。安全部門還可以決定添加基于用戶報(bào)告事件的檢測(cè)規(guī)則，而不是基于由SIEM檢測(cè)到的事件。

整個(gè)企業(yè)的后續(xù)行動(dòng)

在泄露事件后，企業(yè)應(yīng)準(zhǔn)備好投入時(shí)間和金錢進(jìn)行學(xué)習(xí)和改進(jìn)。同樣重要的是，學(xué)習(xí)和改進(jìn)過程不應(yīng)只有IT和安全部門參與。通常情況下，與準(zhǔn)備階段相似，事后工作只關(guān)注安全部門做什么工作——一般是遏制和檢測(cè)。

如果事后工作只限于安全部門，那么管理過程雖然會(huì)比較容易，但沒有考慮公司中的其他部門應(yīng)如何參與才能提高他們?cè)谖磥?lái)更好地應(yīng)對(duì)安全事件的能力。應(yīng)急響應(yīng)需要整個(gè)企業(yè)所有部門的合作，而不僅僅是IT和安全部門。