加快网络安全事件响应速度的6个步骤

现代安全工具不断提高保护组织网络和端点免受网络犯罪分子侵害的能力。但坏人偶尔还是会找到办法进来。

安全团队必须能够阻止威胁并尽快恢复正常运行。这就是为什么这些团队不仅必须拥有正确的工具,而且还要了解如何有效地应对事件。可以自定义事件响应模板等资源,以定义包含角色和职责、流程和操作项清单的计划。

但准备工作还不能就此停止。团队必须不断训练以适应威胁的迅速发展。每一次安全事件都必须作为一次教育机会,帮助组织更好地为未来的事件做好准备,甚至预防。

SANS Institute 定义了一个框架,其中包含成功 IR 的六个步骤。

1、Preparation 准备
2、Identification 检测
3、Containment 遏制
4、Eradication 根除
5、Recovery 恢复
6、Lessons learned 经验总结

虽然这些阶段遵循逻辑流程,但您可能需要返回到流程中的上一个阶段,以重复第一次执行不正确或不完整的特定步骤。

当然,这会减慢应急响应流程的速度。但彻底完成每个阶段比试图节省时间加快步骤更重要。

1:Preparation 准备

目标:让您的团队做好准备,高效且有效地处理事件。

每个有权访问您的系统的人都需要为事件做好准备——而不仅仅是事件响应团队。人为错误是大多数网络安全漏洞的罪魁祸首。因此,IR 的第一步也是最重要的一步是教育人员要寻找什么。利用模板化的事件响应计划为所有参与者(安全领导者、运营经理、帮助台团队、身份和访问经理以及审计、合规性、沟通和高管)建立角色和职责,可以确保高效的协调。

攻击者将继续发展他们的社会工程和鱼叉式网络钓鱼技术,试图在培训和宣传活动中领先一步。虽然现在大多数人都知道要忽略一封写得不好的电子邮件,该电子邮件承诺以少量预付款作为回报,但一些目标会成为下班后短信的受害者,这些短信假装是他们的老板,寻求时间敏感的帮助。任务。为了适应这些调整,您的内部培训必须定期更新,以反映最新的趋势和技术。

您的事件响应人员(或安全运营中心 (SOC),如果有的话)也需要定期培训,最好是基于实际事件的模拟。密集的桌面练习可以提高肾上腺素水平,让您的团队感受到真实事件的体验。您可能会发现一些团队成员在热火朝天时表现出色,而另一些成员则需要额外的培训和指导。

准备工作的另一部分是概述具体的应对策略。最常见的方法是遏制并消除事件。另一种选择是观察正在进行的事件,以便您可以评估攻击者的行为并确定他们的目标,前提是这不会造成无法挽回的伤害。

除了培训和策略之外,技术在事件响应中也发挥着巨大作用。日志是一个关键组件。简而言之,您记录的信息越多,IR 团队调查事件就越容易、越高效。

此外,使用具有集中控制功能的端点检测和响应 (EDR) 平台或扩展检测和响应 (XDR) 工具可让您快速采取防御操作,例如隔离机器、将其与网络断开连接以及大规模执行对抗命令。

IR 所需的其他技术包括可以分析日志、文件和其他数据的虚拟环境,以及容纳这些信息的充足存储空间。您不想在事件发生期间浪费时间设置虚拟机和分配存储空间。

最后,您需要一个系统来记录事件的调查结果,无论是使用电子表格还是专用的 IR 文档工具。您的文档应涵盖事件的时间线、受影响的系统和用户以及您发现的恶意文件和危害指标 (IOC)(当前和回顾)。

2:Identification 检测

目标:检测您是否遭到破坏并收集 IOC。

您可以通过多种方法来确定事件已经发生或当前正在进行。

  • 内部检测:事件可以由您的内部监控团队或组织的其他成员(由于您的安全意识努力)通过一个或多个安全产品的警报或在主动威胁搜寻过程中发现。
  • 外部检测:第三方顾问或托管服务提供商可以使用安全工具或威胁搜寻技术代表您检测事件。或者,业务合作伙伴可能会看到表明潜在事件的异常行为。
  • 泄露的数据被泄露:最坏的情况是在发现数据已从您的环境中泄露并发布到互联网或暗网站点后才得知事件已经发生。如果这些数据包含敏感的客户信息,并且在您有时间准备协调一致的公众回应之前将新闻泄露给媒体,那么影响会更严重。

如果不引起警觉疲劳,任何关于识别的讨论都是不完整的。

如果安全产品的检测设置调得太高,您将收到太多有关端点和网络上不重要活动的警报。这是让您的团队不知所措的好方法,并可能导致许多警报被忽略。

相反的情况,即您的设置调得太低,同样会出现问题,因为您可能会错过关键事件。平衡的安全态势将提供适量的警报,以便您可以识别值得进一步调查的事件,而不会遭受警报疲劳。您的安全供应商可以帮助您找到适当的平衡点,理想情况下,可以自动过滤警报,以便您的团队可以专注于重要的事情。

在识别阶段,您将记录从警报中收集的所有危害指标 (IOC),例如受到危害的主机和用户、恶意文件和进程、新注册表项等。

一旦您记录了所有 IOC,您将进入遏制阶段。

3:Containment 遏制

目标:尽量减少损害。

遏制既是一种战略,也是 IR 中的一个独特步骤。

您将需要建立适合您的特定组织的方法,同时牢记安全性和业务影响。尽管隔离设备或将其与网络断开连接可以防止攻击在整个组织中蔓延,但也可能导致重大的财务损失或其他业务影响。这些决定应该提前做出,并在您的 IR 策略中明确阐明。

遏制措施可以分为短期和长期步骤,每个步骤都有独特的影响。

  • 短期:这包括您当前可能采取的步骤,例如关闭系统、断开设备与网络的连接以及主动观察威胁行为者的活动。每个步骤都有优点和缺点。
  • 长期:最好的情况是让受感染的系统保持离线状态,以便您可以安全地进入根除阶段。然而,这并不总是可行,因此您可能需要采取修补、更改密码、终止特定服务等措施。

在遏制阶段,您需要优先考虑域控制器、文件服务器和备份服务器等关键设备,以确保它们没有受到损害。

此阶段的其他步骤包括记录事件期间包含哪些资产和威胁,以及根据设备是否受到损害对设备进行分组。如果你不确定,就做最坏的打算。一旦所有设备都已分类并满足您的遏制定义,此阶段就结束了。

加分步骤:调查

目标:确定谁、什么、何时、何地、为什么、如何。

在这个阶段值得注意的是IR的另一个重要方面:调查

调查贯穿整个IR 流程。虽然它不是一个单独的阶段,但在执行每个步骤时都应该牢记这一点。调查旨在回答有关哪些系统被访问以及违规起源的问题。当事件得到控制后,团队可以通过从磁盘和内存映像以及日志等来源捕获尽可能多的相关数据来促进彻底调查。

该流程图直观地展示了整个过程:

您可能熟悉数字取证和事件响应(DFIR) 一词,但值得注意的是,IR 取证的目标与传统取证的目标不同。在 IR 中,取证的主要目标是帮助尽可能有效地从一个阶段进展到下一阶段,以恢复正常的业务运营。

数字取证技术旨在从捕获的证据中提取尽可能多的有用信息,并将其转化为有用的情报,帮助更全面地了解事件,甚至帮助起诉不良行为者。

为发现的工件添加上下文的数据点可能包括攻击者如何进入网络或四处移动、访问或创建了哪些文件、执行了哪些进程等等。当然,这可能是一个耗时的过程,可能会与 IR 发生冲突。

值得注意的是,自从该术语首次被创造以来,DFIR 已经发生了演变。如今,组织拥有数百或数千台计算机,每台计算机都有数百 GB 甚至多个 TB 的存储空间,因此从所有受感染计算机捕获和分析完整磁盘映像的传统方法不再实用。

当前的情况需要采取更加外科手术的方法,捕获并分析每台受感染机器的特定信息。

4:Eradication 根除

目标:确保威胁被完全消除。

遏制阶段完成后,您可以转向根除,这可以通过磁盘清理、恢复到干净的备份或完整磁盘重新映像来处理。清理需要删除恶意文件以及删除或修改注册表项。重新映像意味着重新安装操作系统。

在采取任何行动之前,IR 团队需要参考任何组织策略,例如,在发生恶意软件攻击时要求对特定计算机进行重新映像。

与之前的步骤一样,文档在根除过程中发挥着作用。 IR 团队应仔细记录每台机器上采取的操作,以确保没有遗漏任何内容。作为一项附加检查,您可以在根除过程完成后对系统执行主动扫描,以查找任何威胁证据。

5:Recovery 恢复

目标:恢复正常运营。

你们的一切努力都在引领着这里!恢复阶段是指您可以照常营业的阶段。确定何时恢复运营是此时的关键决策。理想情况下,这可以立即发生,但可能需要等待组织的下班时间或其他安静时段。

再进行一项检查,以验证恢复的系统上不存在任何 IOC。您还需要确定根本原因是否仍然存在并实施适当的修复。

现在您已经了解了此类事件,您将来将能够对其进行监控并建立保护控制措施。

6:Lessons learned 经验总结

目标:记录发生的事情并提高您的能力。

现在事件已经过去了,是时候反思每个主要的 IR 步骤并回答关键问题了,有很多问题和方面需要提出和审查,以下是一些示例:

  • 识别:在最初的泄露发生后,需要多长时间才能检测到该事件?
  • 遏制:事件的遏制需要多长时间?
  • 根除:根除后,您是否仍然发现任何恶意软件或妥协的迹象?

探究这些将帮助您退后一步,重新考虑一些基本问题,例如:我们是否拥有合适的工具?我们的员工是否接受过适当的培训以应对事件?

然后,循环回到准备阶段,您可以进行必要的改进,例如更新事件响应计划模板、技术和流程,并为您的员工提供更好的培训。

确保安全的 4 个专业提示

最后,让我们谨记四点最后建议:

  1. 您记录的越多,调查就越容易。确保尽可能多地记录以节省金钱和时间。
  2. 通过模拟针对您的网络的攻击做好准备。这将揭示您的 SOC 团队如何分析警报及其沟通能力——这在实际事件中至关重要。
  3. 人员是组织安全态势不可或缺的一部分。您知道 95% 的网络泄露是由人为错误造成的吗?这就是为什么定期对两个群体进行培训非常重要:最终用户和安全团队。
  4. 考虑拥有一个随时待命的专业第 3 方 IR 团队,该团队可以立即介入,帮助解决可能超出您的团队解决能力的更困难的事件。这些团队可能已经解决了数百起事件,并且拥有启动 IR 和加速 IR 所需的 IR 经验和工具。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/629727.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【控制篇 / 分流】(7.4) ❀ 02. 对不同运营商IP网段访问进行分流 ❀ FortiGate 防火墙

【简介】公司有两条宽带用来上网,一条电信,一条联通,访问常用的某些网站速度时快时慢。领导要求,根据上网流量的目标运营商IP归属,将流量送到相应的运营商出口去,避免跨运营商上网。那么应该怎么做&#xf…

Vim 是一款强大的文本编辑器,广泛用于 Linux 和其他 Unix 系统。以下是 Vim 的一些基本用法

Vim 是一款强大的文本编辑器,广泛用于 Linux 和其他 Unix 系统。以下是 Vim 的一些基本用法: 打开文件: vim filename 基本移动: 使用箭头键或 h, j, k, l 分别向左、下、上、右移动。Ctrl f: 向前翻页。Ctrl b: 向后翻页。…

Docker 设置 Redis 的密码失效

在网上找了设置Docker里的设置Redis密码,一段时间就失效了 1. 进入redis的容器 docker exec -it 容器ID redis-cli2. config set requirepass 密码 解决方法 1. 创建 redis.conf 配置文件 # Redis configuration file example. # # Note that in order to read the configu…

【温故而知新】HTML5代码规范/语义元素

文章目录 一、概念二、HTML5代码规范三、案例代码四、语义元素 一、概念 HTML5是HTML的最新版本,它引入了许多新的元素和功能,以适应现代网页开发的需求。以下是HTML5的一些主要特点: 新增语义元素:HTML5引入了许多新的语义元素…

用julia演示蝴蝶效应:洛伦兹吸引子

文章目录 Lorentz吸引子julia绘图关闭抗锯齿 蝴蝶效应的名字来源于蝴蝶扇动翅膀的动作,虽然这个动作微小,但可能会在数周后引起飓风等极端天气的发生。这种现象表明,微小的变化可能会被放大并产生非线性的结果。这个概念最早由美国气象学家爱…

linux 网络文件共享服务

存储类型 DAS 直连式存储 SAN 存储区域网络 NAS 网络附近存储 FTP文件传输协议 文件传输协议 FTP 早期的三个应用级协议之一,基于c/s架构 数据传输格式:二进制(默认)和文本 tcp 21端口(权限,…

jmeter--8.加密传输

目录 1. Base64加密 2. MD5加密 3. SHA加密(sha1\sha\sha224\sha256\sha384\sha512) 4. RSA加密-公钥加密,私钥解密 1. Base64加密 1.1 在需要加密传输的接口下新增BeanShell 预处理程序,${username}可替换成value值&#xff…

微软推出了Copilot Pro 每月20美金

微软推出了Copilot Pro 每月20美金 Copilot Pro在Word、Excel和PowerPoint等Office应用中提供AI驱动的增强体验。 在Word中生成文本和总结文档,回复电子邮件,以及在Excel中分析数据和生成图表等。 订阅者可以优先使用最新的OpenAI模型,包括…

基于springboot的环保网站的设计与实现

🍅点赞收藏关注 → 私信领取本源代码、数据库🍅 本人在Java毕业设计领域有多年的经验,陆续会更新更多优质的Java实战项目希望你能有所收获,少走一些弯路。🍅关注我不迷路🍅一 、设计说明 1.1 研究背景 当…

【UE5】交互式展厅数字博物馆交互是开发实战课程

长久以来,我们总是不断被初学者问到类似这样的问题:如何从头到尾做一个交互式程序开发项目?本套课程尝试对这个问题进行解答。 课程介绍视频如下 【UE5】数字展厅交互式开发全流程 【谁适合学习这门课】 本套课程面向初学者,满足…

Spring使用注解管理Bean

引入lib包 Spring对Bean管理的常用注解 Component组件(作用在类上) Spring中提供了Component的三个衍生注解:(功能在目前为止是一致的) Controller WEB层 Service 业务层 Repository 持久层 属性注入的注解:(使用注解注入的方式,可以不用提供set方法) Value 用于注入普…

抢注好域名策略

在当今数字化时代,域名已成为企业和个人在互联网上的重要身份标识和品牌形象。因此,抢注一个好的域名对于网站的成功至关重要。本文为您介绍如何抢注好的域名秘诀与策略,帮助您在竞争激烈的头部市场中锻炼。 一、规划提前与研究 在抢注好域…

【上分日记】第380场周赛(数位dp+ KMP + 位运算 + 二分 + 双指针 )

文章目录 前言正文1.3005. 最大频率元素计数2.3007.价值和小于等于 K 的最大数字3.3008. 找出数组中的美丽下标 II 总结尾序 前言 本场周赛,博主也只写出两道题(前两道, hhh菜鸡勿喷),第三道涉及位运算 ,数位dp,第四道涉及KMP。 下…

“货到人”拣选系统模式|智能四向穿梭车系统如何节约仓储空间优化企业供应链?

随着仓储物流和电商行业的快速发展,自动化立库设备的技术不断完善。“货到人”拣选技术越来越受到行业的重视,且已逐渐成为供需双方关注的焦点。“货到人”拣选系统主要由储存系统,补货系统,输送系统,拣选系统和包装系…

嵌入式软件工程师面试题——2025校招社招通用(二十)

说明: 面试群,群号: 228447240面试题来源于网络书籍,公司题目以及博主原创或修改(题目大部分来源于各种公司);文中很多题目,或许大家直接编译器写完,1分钟就出结果了。但…

Hive条件函数详细讲解

Hive 中的条件函数允许你在查询中基于某些条件执行逻辑操作。以下是你提到的条件函数的详细讲解,包括案例和使用注意事项: IF() 功能:根据条件返回两个表达式中的一个。语法:IF(boolean_test, value_if_true, value_if_false)案例:SELECT IF(1=1, true, false); 结果为 tr…

C语言宏定义(#define定义常量​、#define定义宏​、 带有副作用的宏参数、 宏替换的规则、 宏函数的对比)

目录 一、#define的基本语法 二、什么是宏 三、#define定义常量用法 基本语法: 思考:在define定义标识符的时候,要不要在最后加上 ; 四、#define定义宏 五、带有副作用的宏参数​ 六、宏替换的规则​ 七、宏与函数的对比​ 一、#def…

tinyxml2

tinyxml2类对象 链接 XMLDocument xml文档(文件)对象。 作用: 加载xml文件,

前端js 数据结构:对象 object、数组Array 、Map 的创建、增删改 / 遍历数据

目录 前端js 数据结构:对象、数组、Map 的使用1 对象(object)1.1 创建对象1.1.1 对象字面量(最常用): {}1.1.2 使用 new 关键字和对象构造函数1.1.3 Object.create() 1.2 修改对象1.2.1 直接赋值:对象的属性名直接赋值1.2.2 点号/…

介绍 Apache Spark 的基本概念和在大数据分析中的应用

Apache Spark 是一个开源的分布式计算系统,它旨在处理大规模数据集并提供高性能和易用性。Spark 提供了一个统一的编程模型,可以在多种编程语言中使用,包括 Scala、Java、Python和R。Spark 的主要特点包括: 快速:Spark…