行業(yè)動(dòng)態(tài)

事件應(yīng)急響應(yīng)管理的5條建議

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2018-05-25    瀏覽次數(shù):
 

信息來(lái)源:51CTO

什么是應(yīng)急響應(yīng)?

通常來(lái)說(shuō),應(yīng)急響應(yīng)泛指安全技術(shù)人員在遇到突發(fā)事件后所采取的措施和行為。而突發(fā)事件則是指影響一個(gè)系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問(wèn)題,也包括網(wǎng)絡(luò)范疇內(nèi)的問(wèn)題,例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。

應(yīng)急處理的兩個(gè)根本性目標(biāo):確保恢復(fù)、追究責(zé)任。

除非是“事后”處理的事件,否則應(yīng)急處理人員首先要解決的問(wèn)題是如何確保受影響的系統(tǒng)恢復(fù)正常的功能。在確?;謴?fù)的工作中,應(yīng)急處理人員需要保存各種必要的證據(jù),以供將來(lái)其他工作使用。追究責(zé)任涉及到法律問(wèn)題,一般用戶單位或第三方支援的應(yīng)急處理人員主要起到配合分析的作用,因?yàn)檎归_(kāi)這樣的調(diào)查通常需要得到司法許可。

多數(shù)企業(yè)都建立了應(yīng)急響應(yīng)的獨(dú)立團(tuán)隊(duì),通常稱(chēng)為計(jì)算機(jī)安全應(yīng)急響應(yīng)小組(Computer Security Incident Response Team,CSIRT),以響應(yīng)計(jì)算機(jī)安全事件。應(yīng)急響應(yīng)涉及多門(mén)學(xué)科,要求多種能力:通常要求從公司的不同部分獲取資源。人力資源部人員、法律顧問(wèn)、技術(shù)專(zhuān)家、安全專(zhuān)家、公共安全官員、商業(yè)管理人員、最終用戶、技術(shù)支持人員和其他涉及計(jì)算機(jī)安全應(yīng)急響應(yīng)的人員。當(dāng)然這些人員大部分是兼職的,需要在應(yīng)急響應(yīng)工作中進(jìn)行配合。

事件響應(yīng)管理5大建議

下面就為大家分享一些可能行之有效的事件響應(yīng)實(shí)踐建議:

事件響應(yīng)管理

1. 事件響應(yīng)Retainers(Incident Response Retainers,簡(jiǎn)稱(chēng)IRR)

我們首先推薦Incident Response Retainers并不奇怪,因?yàn)樗俏覀兺顿Y組合的基石。但是并不要認(rèn)為我們?nèi)绱送扑]是存在私心的,畢竟,我想要能在第一時(shí)間進(jìn)行響應(yīng)是需要Retainers工具加持的。在如今這個(gè)時(shí)代,任何公司都應(yīng)該部署自己的IRR產(chǎn)品,當(dāng)然,這并不包含一些免費(fèi)的IRR服務(wù)。你要記住,付出才有回報(bào),免費(fèi)的東西自然有它的作用,但是千萬(wàn)不要奢求太多。

此外,在緊急情況下?lián)碛锌梢耘c之合作的獨(dú)立公司也是非常重要的。以思科公司為例,我們不僅能夠在緊急情況中引入我們的事件響應(yīng)(IR)團(tuán)隊(duì),還能夠引入我們的Talos威脅情報(bào)組織、危機(jī)溝通專(zhuān)家、產(chǎn)品團(tuán)隊(duì)以及項(xiàng)目經(jīng)理等等。這些團(tuán)隊(duì)對(duì)于危機(jī)處理具有非常重要的意義。此外,提供retainer服務(wù)的公司不應(yīng)該是被動(dòng)的,他們應(yīng)該全年與你一起工作,通過(guò)桌面練習(xí)來(lái)增強(qiáng)防御能力,強(qiáng)化安全計(jì)劃,甚至是主動(dòng)和獨(dú)立捕獲對(duì)手的能力。當(dāng)你擁有這樣的合作伙伴,你才有機(jī)會(huì)更為平穩(wěn)地度過(guò)危機(jī)。

2. 先進(jìn)的端點(diǎn)保護(hù)

在這所有5項(xiàng)建議中,有2項(xiàng)涉及技術(shù)層面的建議,這就是其中一項(xiàng)。在管理活躍事件(active incident)時(shí),作為響應(yīng)者所需的一項(xiàng)關(guān)鍵能力就是,能夠在更大規(guī)模的環(huán)境中洞察并有效地響應(yīng)事件。想要實(shí)現(xiàn)這一點(diǎn),就需要一款高級(jí)端點(diǎn)保護(hù)工具的支持了。

以思科高級(jí)惡意軟件防護(hù)(AMP)工具為例,借助AMP內(nèi)置的可見(jiàn)性和觸手可及的響應(yīng)能力,我們可以比使用其他方式做出更快速、高效的響應(yīng)。當(dāng)與思科安全體系結(jié)構(gòu)中的其他解決方案配合使用時(shí),思科AMP還能夠提供一種非常強(qiáng)大且有凝聚力的方式,來(lái)持續(xù)監(jiān)控和響應(yīng)網(wǎng)絡(luò)上的安全問(wèn)題。

3. 網(wǎng)絡(luò)分段

由于缺乏經(jīng)由網(wǎng)絡(luò)分段的控制設(shè)備,許多網(wǎng)絡(luò)和組織都已經(jīng)被攻擊“下線”。作為思科IR團(tuán)隊(duì),我們其中一項(xiàng)職責(zé)就是在客戶端遭受攻擊后,與客戶合作完成事件響應(yīng)和災(zāi)難恢復(fù)工工作。通常情況下,這些攻擊已經(jīng)損害了目標(biāo)用戶的網(wǎng)絡(luò)環(huán)境,并通過(guò)勒索軟件感染或鎖定了數(shù)百萬(wàn)計(jì)算機(jī)設(shè)備。是的沒(méi)錯(cuò),就是數(shù)百萬(wàn)設(shè)備!此外,在我們處理的75%以上的勒索軟件案件中,受害者客戶的備份服務(wù)器也被加密鎖定了。

過(guò)去,分段要么被視為合規(guī)問(wèn)題,要么被控制數(shù)據(jù)訪問(wèn)的方式,但是對(duì)我而言,分段是一種必需的控制機(jī)制和基本的網(wǎng)絡(luò)衛(wèi)生措施。

4. 安全監(jiān)控

這一點(diǎn)的重要性可謂不言而喻,但是卻仍未獲得應(yīng)有的重視。事實(shí)證明,直至2018年,太多的組織似乎仍在依賴外部組織(如FBI)或安全新聞機(jī)構(gòu)來(lái)通知他們存在安全問(wèn)題。這類(lèi)組織應(yīng)該進(jìn)行充分的內(nèi)部安全監(jiān)控,以便有能力自行發(fā)現(xiàn)并處理自身系統(tǒng)中存在的安全問(wèn)題。

我始終認(rèn)為,在購(gòu)買(mǎi)任何安全產(chǎn)品之前,供應(yīng)商必須提供所需的資源估算:即鑒于環(huán)境規(guī)模,成功地運(yùn)行、配置、維護(hù)以及監(jiān)控產(chǎn)品所需的具體資源(例如人員等)。此外,你還必須聘請(qǐng)并培訓(xùn)相關(guān)員工,以支持工具更有效地發(fā)揮作用。通常情況下,工具都是被買(mǎi)來(lái)作為“輔助性”事物使用的,可以代替部分人力。我記得在最近參與的一項(xiàng)事件響應(yīng)實(shí)踐中,事件響應(yīng)團(tuán)隊(duì)登錄了安全控制臺(tái)查看可用數(shù)據(jù),結(jié)果發(fā)現(xiàn)它像圣誕樹(shù)一樣閃閃發(fā)光,原來(lái)該工具正在顯示威脅情報(bào),如果有人一直在監(jiān)視它的話,就能夠有效地阻止大規(guī)模的威脅行為。

5. 基于網(wǎng)絡(luò)的安全

這是最后一項(xiàng)建議,同時(shí)也是第二項(xiàng)技術(shù)推薦。應(yīng)該將基于網(wǎng)絡(luò)的安全控制分層,以防止來(lái)自web和基于電子郵件的威脅攻擊。這些控制措施應(yīng)該包括諸如垃圾郵件過(guò)濾服務(wù)或設(shè)備、在可能的情況下阻止代理處的未分類(lèi)流量、啟用DNS保護(hù)服務(wù)來(lái)過(guò)濾內(nèi)容、阻止進(jìn)一步的惡意軟件、防止僵尸網(wǎng)絡(luò),以及防止URL錯(cuò)別字(如Cisco Umbrella)問(wèn)題等項(xiàng)目。此外,實(shí)施這些控制措施還需要考慮監(jiān)控問(wèn)題,以檢測(cè)和限制請(qǐng)求域名與攻擊者行為或惡意軟件相關(guān)的設(shè)備。

除了上述5項(xiàng)建議之外,思科還會(huì)定期提供其他建議,例如雙因素(two factor)、滲透測(cè)試以及關(guān)注治理、風(fēng)險(xiǎn)和合規(guī)(GRC)等。就風(fēng)險(xiǎn)和合規(guī)問(wèn)題而言,一個(gè)驚人的事實(shí)是,仍然有很多組織尚未進(jìn)行過(guò)基本的安全評(píng)估工作,而且也不具備合理完善的安全計(jì)劃。更糟糕的是,截至目前,安全性仍然不是某些組織的優(yōu)先考慮事項(xiàng)。

在如今這個(gè)新時(shí)代,安全需要融入所有事情,IT人員也應(yīng)該向著保護(hù)公司、客戶和用戶共同利益的目標(biāo)努力。希望本文對(duì)你是有用的,也許它證實(shí)了你所看到的、知道的或者你自己正在做的事情。

 
 

上一篇:2018年05月24日 聚銘安全速遞

下一篇:Fortinet 發(fā)布2018年Q1全球威脅態(tài)勢(shì)報(bào)告:惡意軟件被深度利用,影響四分之一的企業(yè)