事件響應,安全能力的關鍵一環(huán)

科技云報道原創(chuàng)。

技術永遠都是把雙刃劍,這在攻防不斷交織的網(wǎng)絡安全領域,表現(xiàn)的尤為突出。隨著創(chuàng)新性技術的涌現(xiàn),攻擊者的攻擊能力也在不斷提高。例如,物聯(lián)網(wǎng)設備和云計算等技術的發(fā)展極大擴展了應用場景的范圍,但也使得攻擊者更容易訪問用戶的關鍵數(shù)據(jù)。

為快速應對安全問題,盡可能的降低安全事件造成的損失,進行有效事件響應(Incident Response, IR)成為企業(yè)的優(yōu)選方案。

安全事件響應:保持網(wǎng)絡彈性的關鍵步驟

根據(jù) IBM 的《X-Force威脅情報指數(shù)2022》報告,2019 年第三季度至 2020 年第四季度期間,物聯(lián)網(wǎng)惡意軟件活動增加了 3000%。但情況“沒有最壞,只有更壞”, 2021 年的數(shù)據(jù)再次打破了記錄。根據(jù)身份盜竊資源中心(Identity Theft Resource Center) 2021 年的數(shù)據(jù)泄露報告,去年共發(fā)生 1862 起數(shù)據(jù)泄露事件,高于 2020 年的 1108 起。

這些數(shù)據(jù)強調了一個殘酷的事實,即每個組織都應為最壞的情況做準備。而最有效的方法是制定為響應任何安全事件將采取的詳細步驟。

事件響應是對安全問題和事件的有計劃的反應。例如,在遭遇或可能遭遇安全事件時,安全團隊在試圖保證數(shù)據(jù)完好性的同時如何反應,采取哪些行動來減少損失,以及何時能夠恢復資源。

Palo Alto Networks(派拓網(wǎng)絡)近期發(fā)布的《2022年Unit 42事件響應報告》指出,總體而言,勒索軟件和商業(yè)電子郵件泄露(BEC)是事件響應團隊在過去12個月中做出響應的首要事件類型,約占事件響應案例的70%。事件響應案例中受影響最大的行業(yè)包括金融、專業(yè)和法律服務、制造、醫(yī)療保健、高科技以及批發(fā)和零售。這些行業(yè)內(nèi)的企業(yè)往往會存儲、傳輸和處理大量攻擊者可以從中獲利的敏感信息。

此外,在該報告中還能看到許多細分數(shù)據(jù),能夠幫助企業(yè)用戶正確認識事件響應案例中的具體威脅類型。例如,在一半的事件響應案例中,企業(yè)在面向互聯(lián)網(wǎng)的關鍵系統(tǒng)上缺乏多因素身份驗證解決方案;在13%的案例中,企業(yè)沒有針對暴力憑據(jù)攻擊采取措施鎖定帳戶;在28%的案例中,不合格的補丁管理程序導致攻擊者有機可乘;在44%的案例中,企業(yè)沒有端點檢測和響應(EDR)或擴展檢測和響應(XDR)安全解決方案,或是沒有完全部署在最初受影響的系統(tǒng)上以檢測和對惡意攻擊做出響應;75%的內(nèi)部威脅案例涉及企業(yè)前員工。

雖然我們無法 100% 地阻止網(wǎng)絡攻擊,但可以通過加強事后響應及恢復能力,將損失降至最低。2021年的RSA大會主題是Resilience(彈性),構建網(wǎng)絡彈性的能力可以理解為預防、抵御、恢復、適應那些施加于含有網(wǎng)絡資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。因此,安全事件響應能力成為關鍵一環(huán)。

理想的豐滿與現(xiàn)實的骨感,事件響應不招待見?

根據(jù) Shred-it 在2021年發(fā)布的一份數(shù)據(jù)保護報告,10 名企業(yè)領導者中有 4 名將未來的數(shù)據(jù)泄露風險評為為 4 或 5(5分制,5 為最高風險),并且超過一半的受訪企業(yè)并沒有部署事件響應計劃。

這表明一些企業(yè)雖然了解風險,但未能充分采取保護其關鍵數(shù)據(jù)的措施。因此,一旦發(fā)生安全事件,企業(yè)響應可能會很慢甚至束手無策,從而導致代價高昂的損失。

1/3的人更傾向于入侵防御而不是事件響應。這是根據(jù) 2022 年 5 月的一份名為“Breaches Prompt Changes to Enterprise IR Plans and Processes”的報告得出的結果。 該調查針對 188 名 IT 和網(wǎng)絡安全專業(yè)人士進行了分析,以了解其真實的事件響應想法和能力。

上圖數(shù)據(jù)顯示,共有 34% 的受訪者表示他們更愿意將 80%(21% 的受訪者)、90%(10% 的受訪者)或 100%(3% 的受訪者)的資源用于入侵防御而不是事件響應。另有 34% 的人也優(yōu)先考慮防御。兩年間的數(shù)據(jù)類似,表明這一趨勢并沒有多大變化。

以上結果表明,組織在防御方面仍然比響應和修復更加重視,事件響應缺失的現(xiàn)象還很突出。無獨有偶,2021 年,Wakefield Research進行的一項調查顯示,36%的公司沒有制定詳細的事件響應計劃。并且,人們對外圍防御技術的興趣很高,72% 的人表示入侵防御和檢測措施仍然有效。

然而,來自政府和網(wǎng)絡保險公司的壓力可能會使得企業(yè)轉向事件響應。2022年3月15日,美國總統(tǒng)拜登正式簽署了《2022年關鍵基礎設施網(wǎng)絡事件報告法》,要求關鍵基礎設施行業(yè)公司在遭遇網(wǎng)絡事件時要在72小時內(nèi)向網(wǎng)絡安全和基礎設施安全局(CISA)報告,在遭受勒索軟件攻擊而支付贖金后24小時內(nèi)向CISA報告,并采取補救措施。雖然該法律僅適用于被劃定的 16 個關鍵基礎設施行業(yè),但它為其他希望制定事件響應計劃的組織指明了方向。

制定事件響應策略

我國的網(wǎng)絡安全法規(guī)定,“國家支持網(wǎng)絡運營者之間在網(wǎng)絡安全信息收集、分析、通報和應急處置等方面進行合作,提高網(wǎng)絡運營者的安全保障能力”“國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度”“國家網(wǎng)信部門協(xié)調有關部門建立健全網(wǎng)絡安全風險評估和應急工作機制,制定網(wǎng)絡安全事件應急預案,并定期組織演練”。這為網(wǎng)絡安全事件應急響應提供了制度依據(jù)。

事件響應能力是可以通過做出準備來獲得。一個良好的事件響應策略應易于遵循,畢竟安全事件是全天候都可能發(fā)生的,其突發(fā)性可能會使得未做好充分準備的安全團隊措手不及。

安全事件響應策略的主要目標是為團隊的所有成員定義在發(fā)生(或疑似發(fā)生)安全事件后必須遵循的流程。該策略應包含響應、監(jiān)控程序、任何違規(guī)行為以及因未遵守策略而進行處罰的詳細信息。安全事件響應策略應包括如下幾個要素:

整體事件響應策略事件響應團隊的角色定義響應過程和恢復程序的制定事件溯源及確定根因的方法建立未來預防措施的方法

SANS的事件響應報告則將事件響應聚焦在三個度量指標:從失陷到檢出的時長(也稱dwell time駐留時間)、從檢出到遏制的時長,以及從遏制到修復的時長。主要的安全流程包括:隔離感染主機,阻斷C2惡意IP地址,關閉/下線系統(tǒng),恢復失陷主機鏡像,移除流氓文件,從網(wǎng)絡中隔離感染機器并進行修復,識別與受感染系統(tǒng)相似的系統(tǒng),基于已知IoC更新策略和規(guī)則,殺死流氓進程,在不重啟系統(tǒng)的條件下刪除被感染主機的文件和注冊表鍵值,徹底重建端點,重啟系統(tǒng),遠程部署/升級,從可移動存儲設備上重啟系統(tǒng)并遠程修復系統(tǒng)等。

Gartner近期發(fā)布的響應網(wǎng)絡安全事件工具手冊,也為企業(yè)制定高效的事件響應計劃提供了參考。該工具手冊包括制定事件響應計劃、編制詳細的響應手冊以及定期進行桌面演練。其中,制定事件響應計劃包括了繪制響應流程圖、定義事件嚴重等級、明確職責等環(huán)節(jié);編制詳細的響應手冊包括編制響應手冊、制定勒索軟件響應流程、詳細記錄響應流程等環(huán)節(jié);定期進行桌面演練包括設置議程并邀請參與者、設定事件情景和場景、設計具有挑戰(zhàn)性的事件場景等環(huán)節(jié)。

此外,事件響應策略還包括信息安全事件報告制度。

第一時間發(fā)現(xiàn)潛在安全事件的是處于防御第一線的安全人員,他們的反應速度直接決定著事件響應的成敗與否。事件響應是極耗人力的工作,因此自動化成為未來事件響應能力提升的關鍵。目前,業(yè)界將SOAR(Security Orchestration, Automation and Response,安全編排和自動化響應)視為自動化響應的有效解決方案,許多安全廠商開始在該領域大舉投入。根據(jù)Gartner的定義,SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報警信息,或通過與其它技術的集成和自動化協(xié)調,提供包括安全事件響應和威脅情報等功能。SOAR技術市場最終目標是將安全編排和自動化(SOA)、安全事件響應(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中。因此,用戶獲得高效的自動化事件響應能力,未來可期。

結語

速度決定高度,對安全事件的響應速度決定了安全能力以及企業(yè)業(yè)務平穩(wěn)運行的高度。未來,隨著網(wǎng)絡安全向著體系化、常態(tài)化、實戰(zhàn)化方向演進,攻防對抗將成為常態(tài),做好基于事件的響應,將對整體網(wǎng)絡安全防御帶來事半功倍的效果。

極客網(wǎng)企業(yè)會員

免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。

2022-09-02
事件響應,安全能力的關鍵一環(huán)
事件響應,安全能力的關鍵一環(huán)

長按掃碼 閱讀全文