seo站长优化工具,在线是免费生成器,宝塔搭建网站,wordpress首页显示标签现代安全工具不断提高保护组织网络和端点免受网络犯罪分子侵害的能力。但坏人偶尔还是会找到办法进来。
安全团队必须能够阻止威胁并尽快恢复正常运行。这就是为什么这些团队不仅必须拥有正确的工具#xff0c;而且还要了解如何有效地应对事件。可以自定义事件响应模板等资源…现代安全工具不断提高保护组织网络和端点免受网络犯罪分子侵害的能力。但坏人偶尔还是会找到办法进来。
安全团队必须能够阻止威胁并尽快恢复正常运行。这就是为什么这些团队不仅必须拥有正确的工具而且还要了解如何有效地应对事件。可以自定义事件响应模板等资源以定义包含角色和职责、流程和操作项清单的计划。
但准备工作还不能就此停止。团队必须不断训练以适应威胁的迅速发展。每一次安全事件都必须作为一次教育机会帮助组织更好地为未来的事件做好准备甚至预防。
SANS Institute 定义了一个框架其中包含成功 IR 的六个步骤。
1、Preparation 准备 2、Identification 检测 3、Containment 遏制 4、Eradication 根除 5、Recovery 恢复 6、Lessons learned 经验总结
虽然这些阶段遵循逻辑流程但您可能需要返回到流程中的上一个阶段以重复第一次执行不正确或不完整的特定步骤。
当然这会减慢应急响应流程的速度。但彻底完成每个阶段比试图节省时间加快步骤更重要。
1Preparation 准备
目标让您的团队做好准备高效且有效地处理事件。
每个有权访问您的系统的人都需要为事件做好准备——而不仅仅是事件响应团队。人为错误是大多数网络安全漏洞的罪魁祸首。因此IR 的第一步也是最重要的一步是教育人员要寻找什么。利用模板化的事件响应计划为所有参与者安全领导者、运营经理、帮助台团队、身份和访问经理以及审计、合规性、沟通和高管建立角色和职责可以确保高效的协调。
攻击者将继续发展他们的社会工程和鱼叉式网络钓鱼技术试图在培训和宣传活动中领先一步。虽然现在大多数人都知道要忽略一封写得不好的电子邮件该电子邮件承诺以少量预付款作为回报但一些目标会成为下班后短信的受害者这些短信假装是他们的老板寻求时间敏感的帮助。任务。为了适应这些调整您的内部培训必须定期更新以反映最新的趋势和技术。
您的事件响应人员或安全运营中心 (SOC)如果有的话也需要定期培训最好是基于实际事件的模拟。密集的桌面练习可以提高肾上腺素水平让您的团队感受到真实事件的体验。您可能会发现一些团队成员在热火朝天时表现出色而另一些成员则需要额外的培训和指导。
准备工作的另一部分是概述具体的应对策略。最常见的方法是遏制并消除事件。另一种选择是观察正在进行的事件以便您可以评估攻击者的行为并确定他们的目标前提是这不会造成无法挽回的伤害。
除了培训和策略之外技术在事件响应中也发挥着巨大作用。日志是一个关键组件。简而言之您记录的信息越多IR 团队调查事件就越容易、越高效。
此外使用具有集中控制功能的端点检测和响应 (EDR) 平台或扩展检测和响应 (XDR) 工具可让您快速采取防御操作例如隔离机器、将其与网络断开连接以及大规模执行对抗命令。
IR 所需的其他技术包括可以分析日志、文件和其他数据的虚拟环境以及容纳这些信息的充足存储空间。您不想在事件发生期间浪费时间设置虚拟机和分配存储空间。
最后您需要一个系统来记录事件的调查结果无论是使用电子表格还是专用的 IR 文档工具。您的文档应涵盖事件的时间线、受影响的系统和用户以及您发现的恶意文件和危害指标 (IOC)当前和回顾。
2Identification 检测
目标检测您是否遭到破坏并收集 IOC。
您可以通过多种方法来确定事件已经发生或当前正在进行。
内部检测事件可以由您的内部监控团队或组织的其他成员由于您的安全意识努力通过一个或多个安全产品的警报或在主动威胁搜寻过程中发现。外部检测第三方顾问或托管服务提供商可以使用安全工具或威胁搜寻技术代表您检测事件。或者业务合作伙伴可能会看到表明潜在事件的异常行为。泄露的数据被泄露最坏的情况是在发现数据已从您的环境中泄露并发布到互联网或暗网站点后才得知事件已经发生。如果这些数据包含敏感的客户信息并且在您有时间准备协调一致的公众回应之前将新闻泄露给媒体那么影响会更严重。
如果不引起警觉疲劳任何关于识别的讨论都是不完整的。
如果安全产品的检测设置调得太高您将收到太多有关端点和网络上不重要活动的警报。这是让您的团队不知所措的好方法并可能导致许多警报被忽略。
相反的情况即您的设置调得太低同样会出现问题因为您可能会错过关键事件。平衡的安全态势将提供适量的警报以便您可以识别值得进一步调查的事件而不会遭受警报疲劳。您的安全供应商可以帮助您找到适当的平衡点理想情况下可以自动过滤警报以便您的团队可以专注于重要的事情。
在识别阶段您将记录从警报中收集的所有危害指标 (IOC)例如受到危害的主机和用户、恶意文件和进程、新注册表项等。
一旦您记录了所有 IOC您将进入遏制阶段。
3Containment 遏制
目标尽量减少损害。
遏制既是一种战略也是 IR 中的一个独特步骤。
您将需要建立适合您的特定组织的方法同时牢记安全性和业务影响。尽管隔离设备或将其与网络断开连接可以防止攻击在整个组织中蔓延但也可能导致重大的财务损失或其他业务影响。这些决定应该提前做出并在您的 IR 策略中明确阐明。
遏制措施可以分为短期和长期步骤每个步骤都有独特的影响。
短期这包括您当前可能采取的步骤例如关闭系统、断开设备与网络的连接以及主动观察威胁行为者的活动。每个步骤都有优点和缺点。长期最好的情况是让受感染的系统保持离线状态以便您可以安全地进入根除阶段。然而这并不总是可行因此您可能需要采取修补、更改密码、终止特定服务等措施。
在遏制阶段您需要优先考虑域控制器、文件服务器和备份服务器等关键设备以确保它们没有受到损害。
此阶段的其他步骤包括记录事件期间包含哪些资产和威胁以及根据设备是否受到损害对设备进行分组。如果你不确定就做最坏的打算。一旦所有设备都已分类并满足您的遏制定义此阶段就结束了。
加分步骤调查
目标确定谁、什么、何时、何地、为什么、如何。
在这个阶段值得注意的是IR的另一个重要方面调查。
调查贯穿整个IR 流程。虽然它不是一个单独的阶段但在执行每个步骤时都应该牢记这一点。调查旨在回答有关哪些系统被访问以及违规起源的问题。当事件得到控制后团队可以通过从磁盘和内存映像以及日志等来源捕获尽可能多的相关数据来促进彻底调查。
该流程图直观地展示了整个过程
您可能熟悉数字取证和事件响应(DFIR) 一词但值得注意的是IR 取证的目标与传统取证的目标不同。在 IR 中取证的主要目标是帮助尽可能有效地从一个阶段进展到下一阶段以恢复正常的业务运营。
数字取证技术旨在从捕获的证据中提取尽可能多的有用信息并将其转化为有用的情报帮助更全面地了解事件甚至帮助起诉不良行为者。
为发现的工件添加上下文的数据点可能包括攻击者如何进入网络或四处移动、访问或创建了哪些文件、执行了哪些进程等等。当然这可能是一个耗时的过程可能会与 IR 发生冲突。
值得注意的是自从该术语首次被创造以来DFIR 已经发生了演变。如今组织拥有数百或数千台计算机每台计算机都有数百 GB 甚至多个 TB 的存储空间因此从所有受感染计算机捕获和分析完整磁盘映像的传统方法不再实用。
当前的情况需要采取更加外科手术的方法捕获并分析每台受感染机器的特定信息。
4Eradication 根除
目标确保威胁被完全消除。
遏制阶段完成后您可以转向根除这可以通过磁盘清理、恢复到干净的备份或完整磁盘重新映像来处理。清理需要删除恶意文件以及删除或修改注册表项。重新映像意味着重新安装操作系统。
在采取任何行动之前IR 团队需要参考任何组织策略例如在发生恶意软件攻击时要求对特定计算机进行重新映像。
与之前的步骤一样文档在根除过程中发挥着作用。 IR 团队应仔细记录每台机器上采取的操作以确保没有遗漏任何内容。作为一项附加检查您可以在根除过程完成后对系统执行主动扫描以查找任何威胁证据。
5Recovery 恢复
目标恢复正常运营。
你们的一切努力都在引领着这里恢复阶段是指您可以照常营业的阶段。确定何时恢复运营是此时的关键决策。理想情况下这可以立即发生但可能需要等待组织的下班时间或其他安静时段。
再进行一项检查以验证恢复的系统上不存在任何 IOC。您还需要确定根本原因是否仍然存在并实施适当的修复。
现在您已经了解了此类事件您将来将能够对其进行监控并建立保护控制措施。
6Lessons learned 经验总结
目标记录发生的事情并提高您的能力。
现在事件已经过去了是时候反思每个主要的 IR 步骤并回答关键问题了有很多问题和方面需要提出和审查以下是一些示例
识别在最初的泄露发生后需要多长时间才能检测到该事件遏制事件的遏制需要多长时间根除根除后您是否仍然发现任何恶意软件或妥协的迹象
探究这些将帮助您退后一步重新考虑一些基本问题例如我们是否拥有合适的工具我们的员工是否接受过适当的培训以应对事件
然后循环回到准备阶段您可以进行必要的改进例如更新事件响应计划模板、技术和流程并为您的员工提供更好的培训。
确保安全的 4 个专业提示
最后让我们谨记四点最后建议
您记录的越多调查就越容易。确保尽可能多地记录以节省金钱和时间。通过模拟针对您的网络的攻击做好准备。这将揭示您的 SOC 团队如何分析警报及其沟通能力——这在实际事件中至关重要。人员是组织安全态势不可或缺的一部分。您知道 95% 的网络泄露是由人为错误造成的吗这就是为什么定期对两个群体进行培训非常重要最终用户和安全团队。考虑拥有一个随时待命的专业第 3 方 IR 团队该团队可以立即介入帮助解决可能超出您的团队解决能力的更困难的事件。这些团队可能已经解决了数百起事件并且拥有启动 IR 和加速 IR 所需的 IR 经验和工具。
