Neal Weinberg

受到網(wǎng)絡(luò)攻擊固然很糟糕，而與之相比更為糟糕的是受到了網(wǎng)絡(luò)攻擊，卻沒有事先制訂好強有力的安全事件響應(yīng)計劃。

狡猾的高級持續(xù)威脅（APT）攻擊通常是針對高價值目標(biāo)，例如，存儲大量信用卡數(shù)據(jù)和其他個人信息的信用卡公司、銀行、零售商、醫(yī)療保健機構(gòu)和連鎖酒店等。但實際上，企業(yè)無論規(guī)模大小，無論身處哪一行業(yè)，都很難免受內(nèi)部攻擊或者隨機惡意軟件、網(wǎng)絡(luò)釣魚、勒索軟件和拒絕服務(wù)攻擊的影響。

企業(yè)應(yīng)對泄露事件是否得當(dāng)，意味著要么能夠控制事件的發(fā)展并迅速恢復(fù)正常業(yè)務(wù)，要么企業(yè)聲譽持續(xù)多年深受損害。

根據(jù)波內(nèi)蒙研究所（Ponemon Institute）《2019年數(shù)據(jù)泄露事件成本報告》，全球泄露事件平均成本為390萬美元，而美國企業(yè)平均成本為820萬美元。據(jù)該報告，如果事先建立了事件響應(yīng)小組，那么泄露事件的成本能夠降低36萬美元。

此外，據(jù)該報告，整個事件響應(yīng)（IR）生命周期包括了檢測、遏制、根除、補救和恢復(fù)等過程，如果企業(yè)能夠在200天以內(nèi)完成這一過程，與那些花費200天以上的企業(yè)相比，能夠節(jié)省120萬美元。

企業(yè)還需記住，與泄露事件相關(guān)的成本中，有67%發(fā)生在第一年;第二年是22%，這是因為企業(yè)會努力恢復(fù)聲譽，減緩客戶流失率，吸引新客戶。據(jù)Ponemon報告，在第三年甚至更長的時間里，人們都能感受到泄露事件的長期影響。

創(chuàng)建事件響應(yīng)計劃看起來是一項艱巨的任務(wù)，但有一些方法可以把這個過程分解為易于處理的部分。把事件響應(yīng)視為一個完整的反饋循環(huán)過程，一開始，在威脅造成任何傷害之前便能夠發(fā)現(xiàn)威脅，如果確實發(fā)生了泄露事件，則快速將其遏制住，修復(fù)安全防御系統(tǒng)中可能被攻擊的任何漏洞，然后從事件中吸取教訓(xùn)，這些教訓(xùn)可以應(yīng)用到企業(yè)持續(xù)進行的泄露事件預(yù)防和檢測活動中。換句話說，計劃應(yīng)涵蓋泄露事件前、事件中和事件后的活動。

1.組建事件響應(yīng)小組

如果企業(yè)不幸曾被攻擊過，那么最后悔的可能是之前沒有組建事件響應(yīng)小組。企業(yè)都應(yīng)該有一個事件響應(yīng)小組，其中包括最有能力的IT安全專業(yè)人員，但也需要整個企業(yè)的廣泛參與，這一點非常重要。

來自高管層的支持也很重要。有了企業(yè)領(lǐng)導(dǎo)層的支持，IT主管就能夠招聘到需要的合格人員來實施計劃。這些人應(yīng)接受培訓(xùn)，以便他們知道自己的角色和責(zé)任。

按照企業(yè)的規(guī)模和在全球的分布情況，可能需要組件多個小組，例如，一個北美小組，一個亞太小組，以適應(yīng)不同的語言、法規(guī)和報告要求等。

除了安全分析師，還需要有人去處理事件響應(yīng)技術(shù)人員和關(guān)鍵相關(guān)方（包括高級領(lǐng)導(dǎo)層、董事會和非技術(shù)員工）之間的內(nèi)部溝通。還應(yīng)立即通知參與供應(yīng)鏈的合作伙伴、供應(yīng)商和其他第三方。

律師和審計師應(yīng)參與到處理各種問題的循環(huán)過程中來，包括合規(guī)、法律責(zé)任，與執(zhí)法部門打交道等。在公共關(guān)系方面，必須有一個危機管理小組來設(shè)法處理泄露事件帶來的負面影響。需要通知客戶。市場營銷也要適時參與進來，以制定旨在重建客戶信任的公關(guān)策略。

小組還必須有一個領(lǐng)導(dǎo)，即事件響應(yīng)經(jīng)理，并且應(yīng)該指派專人來收集文檔。同樣重要的是要有暢通的溝通渠道，能隨時聯(lián)系上每一個人，如果小組關(guān)鍵成員休假或者在災(zāi)難發(fā)生時聯(lián)系不上，還應(yīng)該有備份或者備用方案。

對于應(yīng)向IT管理層、高管層、受影響的部門、受影響的客戶和媒體傳達多少細節(jié)，應(yīng)該有明確的原則。

還需要考慮其他溝通問題：如果剛剛發(fā)現(xiàn)攻擊，攻擊者可能仍在監(jiān)聽內(nèi)部通信，那么最好暫停使用電子郵件、即時通信和協(xié)作應(yīng)用程序，每個人應(yīng)該在房間里面對面地進行交流。小組可能需要從公司總部前往泄露事件發(fā)生所在地，因此需要考慮相關(guān)的后勤保障。

確實要組件事件響應(yīng)小組，不能紙上談兵。企業(yè)應(yīng)留出時間進行適當(dāng)?shù)难萘?xí)，以確保每個人都知道當(dāng)真正出現(xiàn)事故時該怎么辦。

2.制訂行動手冊

企業(yè)應(yīng)制訂行動手冊，全面、詳細地指導(dǎo)怎樣應(yīng)對安全事件。行動手冊是事件響應(yīng)計劃的根本。

行動手冊應(yīng)涵蓋準(zhǔn)備、檢測、分析、遏制、根除、恢復(fù)和事故后處理等環(huán)節(jié)。手冊的一個關(guān)鍵點是，必須制訂的非常詳細，清楚地闡明角色、職責(zé)和處理程序。另一方面，由于很難預(yù)測泄露事件的類型和嚴(yán)重程度，因此，手冊應(yīng)非常靈活，人們能夠根據(jù)情況需要，有權(quán)自由地隨時作出重要決定。

例如，卡內(nèi)基梅隆大學(xué)制訂的行動手冊長達11頁。加利福尼亞州科技部的事件響應(yīng)計劃有4頁，包括小組成員應(yīng)遵循的17步檢查表。

同樣重要的是，隨著環(huán)境的變化和威脅的演變，企業(yè)應(yīng)不斷更新行動手冊。要根據(jù)事件響應(yīng)小組在應(yīng)對威脅時所汲取的經(jīng)驗教訓(xùn)，不斷完善行動手冊。行業(yè)協(xié)會、分析師和同業(yè)團體等外部資源的見解也應(yīng)納入行動手冊中。

當(dāng)然，事件真正來臨時，事件響應(yīng)小組再身經(jīng)百戰(zhàn)也未必能完全做好準(zhǔn)備，他們可能要每周7天，每天工作18小時，甚至要連續(xù)工作幾星期。而定義好了角色和職責(zé)的事件響應(yīng)行動手冊肯定會有幫助。

3.預(yù)防和準(zhǔn)備

顯然，最好的事件響應(yīng)計劃是在第一時間阻止泄露事件的發(fā)生。企業(yè)應(yīng)進行漏洞評估和其他類型的分析，以發(fā)現(xiàn)并堵塞安全漏洞。企業(yè)還需要對員工進行安全最佳實踐方面的培訓(xùn)，例如，創(chuàng)建強密碼，不要點擊網(wǎng)絡(luò)釣魚鏈接等。預(yù)防階段還應(yīng)包括在發(fā)生泄露事件時提供所需的工具和資源。

企業(yè)還需要對數(shù)據(jù)和應(yīng)用程序的業(yè)務(wù)價值認(rèn)真進行評估。通過這一步驟，安全小組加強了防御，保護企業(yè)最重要的資產(chǎn)，首先確定攻擊者最感興趣的高價值數(shù)據(jù)類型，確保有更強的安全措施來保護這些數(shù)據(jù)。

Ponemon報告中最令人驚訝的發(fā)現(xiàn)是，確認(rèn)數(shù)據(jù)泄露所需的時間平均是197天，而一旦發(fā)現(xiàn)數(shù)據(jù)泄露，遏制數(shù)據(jù)泄露所需的時間平均為69天。這意味著很多情況下，攻擊者在被發(fā)現(xiàn)之前，已經(jīng)在企業(yè)的系統(tǒng)里至少扎根了6個月以上。

怎么會這樣？在最近由Splunk贊助的IDC調(diào)查中，只有40%的企業(yè)制訂了比較寬泛的事件響應(yīng)計劃，只有14%的企業(yè)擁有流程自動化的事件響應(yīng)管理平臺。

最終的結(jié)果是，安全分析人員在雪崩般的警報面前應(yīng)接不暇，無法對這些警報準(zhǔn)確地進行分類，不知道哪些是誤報，哪些是直接威脅。接受IDC調(diào)查的2/3的企業(yè)報告稱，他們每周遭受一次攻擊，30%的企業(yè)至少每天遭受一次攻擊，而10%的企業(yè)每小時會遭受一次攻擊。

在這種持續(xù)遭受攻擊的環(huán)境下，只有27%的受調(diào)查企業(yè)表示，他們能夠輕松應(yīng)對這么多的攻擊，28%的企業(yè)表示，他們處境艱難，另有5%的企業(yè)則表示，他們一直在四處滅火。安全小組面對大量的攻擊措手不及，沒有適當(dāng)?shù)墓ぞ摺⒘鞒毯陀媱潄碛行Ч芾砥涫录憫?yīng)活動。

Imperva的一項研究調(diào)查支持了這一結(jié)論，該調(diào)查發(fā)現(xiàn)，在安全運維中心（SOC）工作的分析師平均每天調(diào)查20～26起事件。警報實在太多了，安全專業(yè)人員最終會忽略一些警報，或者修改他們的策略以減少接收到的警報次數(shù)。

Imperva調(diào)查中的大多數(shù)IT專業(yè)人員（53%）表示，他們所在企業(yè)的SOC一直苦于很難確定哪些安全事件是關(guān)鍵的，哪些只是干擾噪聲。

有效地排除背景噪聲的最佳方法是通過自動處理事件響應(yīng)，對事件響應(yīng)進行編排。據(jù)Ponemon的報告，自動化將數(shù)據(jù)泄露的平均成本降低了155萬美元，并增強了網(wǎng)絡(luò)攻擊的預(yù)防、檢測、響應(yīng)和遏制能力。通過自動化，安全分析師提高了效率，能夠根據(jù)更準(zhǔn)確的信息來采取行動。Ponemon說，編排使得事件響應(yīng)速度提高了40倍。

4.發(fā)現(xiàn)和遏制

當(dāng)發(fā)現(xiàn)可能會有事件發(fā)生時，事件響應(yīng)技術(shù)小組應(yīng)立即采取行動，通知全公司上一級事件響應(yīng)小組的成員，開始收集證據(jù)，決定事件的類型和嚴(yán)重程度，并記錄好他們正在做的所有工作。

當(dāng)下的目標(biāo)是遏制事件的發(fā)展，防止出現(xiàn)進一步的損害。這涉及各種標(biāo)準(zhǔn)的安全措施，例如隔離受到攻擊的網(wǎng)段、關(guān)閉已被攻破的生產(chǎn)服務(wù)器，或者將任何其他受損資產(chǎn)進行隔離。

長期來看，目標(biāo)是使受影響的系統(tǒng)恢復(fù)生產(chǎn)，以便企業(yè)能夠恢復(fù)正常運營。這可能是一項復(fù)雜的任務(wù)，因為事件響應(yīng)分析人員可能一直想找出攻擊者是怎樣進入的，他們可能逃脫了什么，以及是否還在進行攻擊。下一步是確定攻擊的根本原因，將其消除，然后加固系統(tǒng)，以防止將來出現(xiàn)類似的攻擊。

在恢復(fù)階段，企業(yè)將受影響的生產(chǎn)系統(tǒng)重新聯(lián)網(wǎng)，這是一個謹(jǐn)慎、有條不紊的過程，包括測試系統(tǒng)、驗證系統(tǒng)是否正常運行并監(jiān)視系統(tǒng)，以確保一切恢復(fù)正常。

恢復(fù)之后是進行修復(fù)。例如，如果攻擊者是通過銷售點（POS）終端進入的，那么該企業(yè)應(yīng)重新檢查POS相關(guān)的所有安全策略和過程。如果攻擊涉及密碼被攻破，那么企業(yè)應(yīng)重新制定其密碼策略，并考慮采用雙重身份驗證。

5.進行事后分析

事件結(jié)束后，企業(yè)需要花時間進行徹底調(diào)查，查明事件原因，計算成本，并制定策略以防止今后發(fā)生類似的事件。

回顧并確定安全小組可能犯下的錯誤（例如，導(dǎo)致泄露事件的配置錯誤），這個過程可能會有些痛苦。當(dāng)然，也可能是最終用戶點擊了釣魚鏈接導(dǎo)致出現(xiàn)泄露?；蛘呤莾?nèi)部攻擊造成的。無論根本原因是什么，收集信息都有助于企業(yè)確定把重點放在哪里，以防止未來出現(xiàn)泄露事件。所有這些經(jīng)驗教訓(xùn)都需要重新編入行動手冊中。

Neal Weinberg是一名自由技術(shù)作家和編輯。可以通過neal@misterwrite.net聯(lián)系到他。

原文網(wǎng)址

https：//www.idginsiderpro.com/article/3529381/5-steps-to-create-a-security-incident-response-plan.html