网络安全 事件响应

什么是事件

事件可以被归类为对我们的计算机系统或网络造成不利影响的事项，一种威胁。这意味着损害或有人试图损害组织。并非所有事件都将由 IRT（“事件响应团队”）处理，因为它们不一定具有影响，但那些确实有影响的事件将召集 IRT 帮助以可预测且高质量的方式处理事件。

IRT 应与组织的业务目标和目标紧密结合，并始终努力确保事件的最佳结果。通常，这包括减少资金损失，阻止攻击者进行横向移动，并在他们达到目标之前阻止他们。

IRT - 事件响应团队

IRT 是一个专门处理网络安全事件的团队。该团队可能仅由网络安全专家组成，但如果也包含来自其他部门的资源，则可能产生极大的协同作用。考虑以下部门如何极大地影响团队在特定情况下的表现

• 网络安全专家 - 我们都知道他们属于团队。
• 安全运营 - 他们可能对正在发展的事项有见解，并可以提供对情况的全局视角。
• IT 运营
• 网络运营
• 开发
• 法律
• 人力资源

PICERL - 一种方法论

PICERL 方法论正式称为 NIST-SP 800-61（https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf），其中包含可应用于事件响应的方法论概述。

不要将此方法论视为瀑布模型，而应将其视为可以向前和向后进行的过程。这对于确保您完全处理发生的事件非常重要。

事件响应的 6 个阶段

准备

此阶段用于为处理事件响应做好准备。IRT 应考虑许多事项以确保做好准备。

准备工作应包括制定剧本和程序，规定组织应如何应对某些类型的事件。还应事先确定参与规则：团队应如何响应？团队是否应积极尝试遏制和消除威胁，或者在某些情况下是否可以接受在环境中监控威胁以了解有价值的情报，例如他们是如何闯入的、他们是谁以及他们想要什么？

团队还应确保他们拥有进行响应所需的必要日志、信息和访问权限。如果团队无法访问他们正在响应的系统，或者如果系统无法准确描述事件，则团队注定会失败。

工具和文档应是最新的，并且已经协商了安全的通信渠道。团队应确保必要的业务部门和经理可以持续收到对其产生影响的事件发展情况的更新。

针对团队和组织支持部分的培训对于团队的成功也至关重要。事件响应人员可以寻求培训和认证，团队可以尝试影响组织的其他成员，使其不成为威胁的受害者。

识别

查看数据和事件，试图指出应归类为事件的事项。此任务通常由 SOC 负责，但 IRT 可以参与此活动，并利用其知识来改进识别。

事件通常基于安全相关工具（例如 EDR（“端点检测和响应”）、IDS/IPS（“入侵检测/预防系统”）或 SIEM（“安全信息和事件管理系统”））的警报创建。事件也可能由某人告知团队存在问题导致，例如用户致电团队、向 IRT 的电子邮件收件箱发送电子邮件或在事件案例管理系统中创建工单。

识别阶段的目标是发现事件并确定其影响和范围。团队应自问的重要问题包括

• 被入侵平台的关键性和敏感性如何？
• 该平台是否在其他地方使用，这意味着如果未及时采取措施，则可能存在进一步受到损害的风险？
• 涉及多少用户和系统？
• 攻击者获得了哪些类型的凭据，以及它们可以在其他什么地方重新使用？

如果需要响应事件，则团队进入下一个阶段遏制。

遏制

遏制应尝试阻止攻击者的行动并防止进一步损害。此步骤应确保组织不会遭受更多损害，并确保攻击者无法达到其目标。

IRT 应尽快考虑是否应进行备份和镜像。备份和镜像有助于保留供以后使用的证据。此过程应尝试保护

• 涉及其硬盘驱动器的副本，用于文件取证
• 涉及其系统的内存副本，用于内存取证

IRT 可以采取许多措施来阻止攻击者，这在很大程度上取决于所讨论的事件

• 在防火墙中阻止攻击者
• 断开受损系统的网络连接
• 使系统脱机
• 更改密码
• 请求 ISP（“互联网服务提供商”）或其他合作伙伴协助阻止攻击者

在遏制阶段执行的操作试图快速终止攻击者，以便 IRT 可以进入根除阶段。

根除

如果已正确执行遏制，则 IRT 可以进入根除阶段，有时称为补救阶段。在此阶段，目标是删除攻击者的痕迹。

有一些快速选项可以确保根除，例如

• 从已知良好的备份还原
• 重建服务

如果作为遏制的一部分已实施更改和配置，请记住，还原或重建可能会撤消这些更改，并且必须重新应用它们。但是，有时 IRT 必须手动尝试删除攻击者留下的痕迹。

恢复

恢复到正常操作是 IRT 的目标状态。这可能涉及业务部门的验收测试。理想情况下，我们会添加包含有关事件信息的监控解决方案。我们希望发现攻击者是否突然返回，例如因为我们在根除过程中未能删除痕迹。

经验教训

最后阶段涉及我们从事件中吸取教训。事件中必然会有很多教训，例如

• IRT 是否拥有以高效率执行其工作所需的必要知识、工具和访问权限？
• 是否有任何丢失的日志可能使 IRT 的工作更容易和更快？
• 是否有任何可以改进的过程来防止将来发生类似事件？

经验教训阶段通常会结束一份报告，其中详细说明了事件期间发生的事件的执行摘要和概述。