只需六步:加速企业网络安全事件响应

2024-08-25 21:28

本文主要是介绍只需六步:加速企业网络安全事件响应,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

图片

       现代安全工具在保护组织网络和端点免受黑客攻击的能力不断提高。但攻击者仍然偶尔会找到进入的方法。

       安全团队必须能够阻止威胁并尽快恢复正常运营,这就是为什么这些团队不仅要拥有合适的工具,还要了解如何有效应对事件的原因。通常我们可以通过自定义事件响应模板等方式,来定义响应包含的角色和职责、流程和操作项清单。

       但准备工作不能止步于此。团队必须不断训练,以适应威胁的快速发展。必须利用每个安全事件作为教育机会,帮助组织更好地准备甚至预防未来的事件。

       全球知名安全公司 SANS Institute 定义了一个事件响应框架,其中包含成功 IR( incident response) 必要的六个步骤:

  • 准备
  • 识别
  • 遏制
  • 根除
  • 恢复
  • 经验教训

       虽然这些阶段遵循完整的逻辑流程,但实际您可能需要返回到流程中的上一个阶段,来修正第一次执行时的错误或没有完整完成的步骤。

       这可能会减慢 IR 的速度。但是,彻底完成每个阶段比试图节省加速步骤的时间更重要。

1:准备

目标:让您的团队准备好高效地处理事件。

       有权访问您系统的每个人都需要为事件做好准备,不仅仅是事件响应团队。人为错误是大多数网络安全漏洞的罪魁祸首。因此,IR 的第一步也是最重要的一步是教育员工要寻找什么。利用模板化事件响应计划为所有参与者(安全主管、运营经理、技术支持团队、标识和访问经理以及审计、合规性、通信和高管)确定角色和职责,可以确保高效协调。

       攻击者将持续发展他们的社会工程和鱼叉式网络钓鱼技术,以试图在培训和宣传活动中领先一步。虽然现在大多数人都知道要忽略一些明显是诈骗的电子邮件,但也存在一些难以识别的邮件(比如假装是员工的老板),要求帮助完成一项时间敏感的任务。为了适应这些变化,您的内部培训必须定期更新,以适应最新的趋势和技术。

       您的事件响应人员(或安全运营中心 (SOC)(如果有的话)也需要定期培训,最好是基于对实际事件的模拟。高强度的对抗练习可以提高肾上腺素水平,让您的团队了解经历真实事件的感觉。您可能会发现,一些团队成员在对抗中会快速成长,而另一些则需要额外的培训和指导。

       准备工作的另一部分是制定具体的应对策略。最常见的方法是遏制和根除事件。另一种选择是观察正在进行的事件,以便您可以评估攻击者的行为并确定他们的目标,当然前提是这不会造成无法弥补的伤害。

       除了培训和战略之外,日志在事件响应中发挥着巨大作用。日志是一个关键组件。简而言之,您记录的越多,IR 团队调查事件就越容易、越高效。

       此外,使用具有集中控制功能的端点检测和响应 (EDR) 平台或扩展检测和响应 (XDR) 工具,可以快速采取防御措施,例如隔离计算机、断开计算机与网络的连接以及大规模执行防护命令。

       IR 所需的其他条件包括可以分析日志、文件和其他数据的虚拟环境,以及用于存储这些信息的充足存储空间。显然您不希望在事件响应期间浪费时间设置虚拟机和分配存储空间。

       最后,您需要一个系统来记录事件的发现,无论是使用电子表格还是专用的 IR 文档工具。您的文档应涵盖事件的时间线、受影响的系统和用户,以及您发现的恶意文件和入侵指标 (IOC)(包括当下和回顾)。

2:识别

目标:检测您是否被入侵并收集 IOC。

       有几种方法可以识别事件已发生或当前正在进行中。

  • 内部检测:内部监视团队或组织的其他成员(由于安全意识方面的努力)、一个或多个安全产品的警报或主动威胁搜寻尝试,可以发现事件。

  • 外部检测:第三方顾问或托管服务提供商可以使用安全工具或威胁搜寻技术帮助你检测事件。或者,业务合作伙伴可能会看到指示潜在事件的异常行为。

  • 泄露的数据:最坏的情况是,只有在发现数据已从您的环境中泄露并发布到 Internet 或暗网站点后,才知道发生了事件。如果此类数据包含敏感的客户信息,并且新闻在您有时间准备协调的公众响应之前就泄露给媒体,那么后果会更糟。

       如果不提到告警疲劳,任何关于识别的讨论都是不完整的。

       如果安全产品的检测级别设置的太高,您将收到太多有关端点和网络上不重要活动的警报。这会让您的团队不堪重负,并可能导致许多被忽略的警报。

       相反的情况是,您的设置被调得太低,同样存在问题,因为您可能会错过关键事件。平衡的安全态势将提供恰到好处的警报数量,以便您可以识别值得进一步调查的事件,而不会感到警报疲劳。您的安全供应商可以帮助您找到适当的平衡点,理想情况下,可以自动过滤警报,以便您的团队可以专注于重要的事情。

       在识别阶段,您将记录从警报中收集的所有入侵指标 (IOC),例如遭到入侵的主机和用户、恶意文件和进程、新的注册表项等。

       一旦你记录了所有IOC,你将进入遏制阶段。

3:遏制

目标:将损害降到最低。

       遏制既是一种策略,也是 IR 的一个独特步骤。

       您需要建立一种适合您的特定组织的方法,同时牢记安全性和业务影响。尽管隔离设备或断开设备与网络的连接可以防止攻击在整个组织中传播,但也可能导致重大的财务损失或其他业务影响。这些决定应提前做出,并在您的影响报告中明确阐述。

       遏制可以分为短期和长期两个步骤,每个步骤都有独特的含义。

  • 短期: 这包括您当下可能采取的步骤,例如关闭系统、断开设备与网络的连接以及主动观察威胁参与者的活动。这些步骤中的每一个都有优点和缺点。

  • 长期: 最好的情况是使受感染的系统保持脱机状态,以便您可以安全地进入根除阶段。但当然,这并不总是可行的,因此您可能需要采取修补、更改密码、终止特定服务等措施。

       在遏制阶段,您需要确定关键设备(如域控制器、文件服务器和备份服务器)的优先级,以确保它们未受到损害。

       此阶段的其他步骤包括记录事件期间包含的资产和威胁,以及根据设备是否受到威胁对设备进行分组。如果您不确定,请假设最坏的情况。对所有设备进行分类并满足您的遏制定义后,此阶段就结束了。

额外步骤:调查

目标:是谁、何时、何地、为什么、如何发生。

       在这个阶段,值得注意的是IR的另一个重要方面:调查

       调查贯穿整个 IR 过程。虽然它不是一个独立的阶段,但在执行每个步骤时都应该牢记它。调查旨在回答有关访问了哪些系统以及违规来源的问题。当事件得到控制时,团队可以通过从磁盘和内存映像以及日志等来源捕获尽可能多的相关数据来促进彻底调查。

       此流程图将整个过程可视化:

图片

       您可能熟悉数字取证和事件响应 (DFIR) 一词,但值得注意的是,IR 取证的目标与传统取证的目标不同。在 IR 中,取证的主要目标是帮助尽可能高效地从一个阶段进展到下一个阶段,以便恢复正常的业务运营。

       数字取证技术旨在从捕获的任何证据中提取尽可能多的有用信息,并将其转化为有用的情报,以帮助更全面地了解事件,甚至帮助起诉不良行为者。

       为发现的事件添加上下文的数据点可能包括攻击者如何进入网络或横向移动、访问或创建了哪些文件、执行了哪些进程等。当然,这可能是一个耗时的过程,可能会与 IR 发生冲突。

       值得注意的是,DFIR自该术语首次提出以来就一直在发展。如今,组织拥有成百上千台计算机,每台计算机都有数百 GB 甚至数 TB 的存储空间,因此从所有受感染的计算机中捕获和分析完整磁盘映像的传统方法不再实用。

       目前的情况需要一种更加智能化的方法,来捕获和分析来自每台受感染机器的特定信息。

4:根除

目标:确保完全消除威胁。

       遏制阶段完成后,您可以进入根除阶段,这可以通过磁盘清理、还原到干净备份或完整磁盘重新映像来处理。清理需要删除恶意文件以及删除或修改注册表项。重新映像意味着重新安装操作系统。

       在采取任何行动之前,IR 团队需要参考任何组织策略,例如,在发生恶意软件攻击时要求对特定计算机进行重新映像。

       与前面的步骤一样,文档在根除方面起着重要作用。IR 团队应仔细记录在每台机器上采取的操作,以确保不会遗漏任何内容。作为额外的检查,您可以在根除过程完成后对系统执行主动扫描,以查找任何威胁证据。

5:恢复

目标:恢复正常操作。

       你们所有的努力都是为了恢复,恢复阶段是您可以恢复正常业务的时候。此时,确定何时还原操作是关键决策。理想情况下,这可以立即发生,但可能需要等待组织的下班时间或其他业务低谷期。

       再检查一次,以验证还原的系统上是否没有任何 IOC。您还需要确定根本原因是否仍然存在,并实施适当的修复。

       现在,您已经了解了此类事件,您将能够在将来对其进行监视并建立保护性控制。

6:经验教训

目标:记录发生的事情并提高您的能力。

       现在事件已经过去了,是时候反思每个主要的IR步骤并回答关键问题了,有很多问题和方面应该提出和审查,以下是一些例子:

  • 识别:在初始入侵发生后,检测到事件需要多长时间?

  • 遏制:控制事件需要多长时间?

  • 根除:根除后,您是否仍然发现任何恶意软件或入侵的迹象?

       探究这些问题将帮助您退后一步,重新考虑一些基本问题,例如:我们有合适的工具吗?我们的员工是否接受过适当的培训来应对事件?

       然后,周期又回到了准备阶段,您可以在其中进行必要的改进,例如更新事件响应计划模板、技术和流程,以及为您的员工提供更好的培训。

保持安全的 4 个专业提示

       最后,让我们总结四点建议:

  • 记录的越多,调查就越容易。确保尽可能多地记录以节省金钱和时间。

  • 通过模拟针对网络的攻击来做好准备。这将揭示您的 SOC 团队如何分析警报及其通信能力,这在实际事件中至关重要。

  • 人员是组织安全态势不可或缺的一部分。您知道 95% 的网络漏洞是由人为错误引起的吗?因此,对两个群体进行定期培训非常重要:最终用户和安全团队。

  • 考虑寻找一个专门的第三方安全响应团队,他们可以立即介入,帮助解决可能超出您团队解决能力的更棘手的事件。这些团队可能已经解决了数百起事件,他们将拥有必要的 IR 经验和工具,可以立即开始运行并加速您的 IR。

这篇关于只需六步:加速企业网络安全事件响应的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1106698

相关文章

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

禁止平板,iPad长按弹出默认菜单事件

通过监控按下抬起时间差来禁止弹出事件,把以下代码写在要禁止的页面的页面加载事件里面即可     var date;document.addEventListener('touchstart', event => {date = new Date().getTime();});document.addEventListener('touchend', event => {if (new

深入理解RxJava:响应式编程的现代方式

在当今的软件开发世界中,异步编程和事件驱动的架构变得越来越重要。RxJava,作为响应式编程(Reactive Programming)的一个流行库,为Java和Android开发者提供了一种强大的方式来处理异步任务和事件流。本文将深入探讨RxJava的核心概念、优势以及如何在实际项目中应用它。 文章目录 💯 什么是RxJava?💯 响应式编程的优势💯 RxJava的核心概念

如何做好网络安全

随着互联网技术的飞速发展,网站已成为企业对外展示、交流和服务的重要窗口。然而,随之而来的网站安全问题也日益凸显,给企业的业务发展和用户数据安全带来了巨大威胁。因此,高度重视网站安全已成为网络安全的首要任务。今天我们就来详细探讨网站安全的重要性、面临的挑战以及有什么应对方案。 一、网站安全的重要性 1. 数据安全与用户隐私 网站是企业存储和传输数据的关键平台,包括用户个人信息、

FreeRTOS内部机制学习03(事件组内部机制)

文章目录 事件组使用的场景事件组的核心以及Set事件API做的事情事件组的特殊之处事件组为什么不关闭中断xEventGroupSetBitsFromISR内部是怎么做的? 事件组使用的场景 学校组织秋游,组长在等待: 张三:我到了 李四:我到了 王五:我到了 组长说:好,大家都到齐了,出发! 秋游回来第二天就要提交一篇心得报告,组长在焦急等待:张三、李四、王五谁先写好就交谁的

简单的角色响应鼠标而移动

actor类 //处理移动距离,核心是找到角色坐标在世界坐标的向量的投影(x,y,z),然后在世界坐标中合成,此CC是在地面行走,所以Y轴投影始终置为0; using UnityEngine; using System.Collections; public class actor : MonoBehaviour { public float speed=0.1f; CharacterCo

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一

研究人员在RSA大会上演示利用恶意JPEG图片入侵企业内网

安全研究人员Marcus Murray在正在旧金山举行的RSA大会上公布了一种利用恶意JPEG图片入侵企业网络内部Windows服务器的新方法。  攻击流程及漏洞分析 最近,安全专家兼渗透测试员Marcus Murray发现了一种利用恶意JPEG图片来攻击Windows服务器的新方法,利用该方法还可以在目标网络中进行特权提升。几天前,在旧金山举行的RSA大会上,该Marcus现场展示了攻击流程,

【经验交流】修复系统事件查看器启动不能时出现的4201错误

方法1,取得『%SystemRoot%\LogFiles』文件夹和『%SystemRoot%\System32\wbem』文件夹的权限(包括这两个文件夹的所有子文件夹的权限),简单点说,就是使你当前的帐户拥有这两个文件夹以及它们的子文件夹的绝对控制权限。这是最简单的方法,不少老外说,这样一弄,倒是解决了问题。不过对我的系统,没用; 方法2,以不带网络的安全模式启动,运行命令行,输入“ne

BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查

9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。 鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,安全团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。 一、“大灰狼”的伪装 以下是10月30日一天内大灰狼远控的木马样本截图,可以看到该木马变种数量不