现代安全工具不断提高保护组织网络和端点免受网络犯罪分子侵害的能力。但坏人偶尔还是会找到办法进来。

安全团队必须能够阻止威胁并尽快恢复正常运行。这就是为什么这些团队不仅必须拥有正确的工具，而且还要了解如何有效地应对事件。可以自定义事件响应模板等资源，以定义包含角色和职责、流程和操作项清单的计划。

但准备工作还不能就此停止。团队必须不断训练以适应威胁的迅速发展。每一次安全事件都必须作为一次教育机会，帮助组织更好地为未来的事件做好准备，甚至预防。

SANS Institute 定义了一个框架，其中包含成功 IR 的六个步骤。

1、Preparation 准备
2、Identification 检测
3、Containment 遏制
4、Eradication 根除
5、Recovery 恢复
6、Lessons learned 经验总结

虽然这些阶段遵循逻辑流程，但您可能需要返回到流程中的上一个阶段，以重复第一次执行不正确或不完整的特定步骤。

当然，这会减慢应急响应流程的速度。但彻底完成每个阶段比试图节省时间加快步骤更重要。

1：Preparation 准备

目标：让您的团队做好准备，高效且有效地处理事件。

每个有权访问您的系统的人都需要为事件做好准备——而不仅仅是事件响应团队。人为错误是大多数网络安全漏洞的罪魁祸首。因此，IR 的第一步也是最重要的一步是教育人员要寻找什么。利用模板化的事件响应计划为所有参与者（安全领导者、运营经理、帮助台团队、身份和访问经理以及审计、合规性、沟通和高管）建立角色和职责，可以确保高效的协调。

攻击者将继续发展他们的社会工程和鱼叉式网络钓鱼技术，试图在培训和宣传活动中领先一步。虽然现在大多数人都知道要忽略一封写得不好的电子邮件，该电子邮件承诺以少量预付款作为回报，但一些目标会成为下班后短信的受害者，这些短信假装是他们的老板，寻求时间敏感的帮助。任务。为了适应这些调整，您的内部培训必须定期更新，以反映最新的趋势和技术。

您的事件响应人员（或安全运营中心 (SOC)，如果有的话）也需要定期培训，最好是基于实际事件的模拟。密集的桌面练习可以提高肾上腺素水平，让您的团队感受到真实事件的体验。您可能会发现一些团队成员在热火朝天时表现出色，而另一些成员则需要额外的培训和指导。

准备工作的另一部分是概述具体的应对策略。最常见的方法是遏制并消除事件。另一种选择是观察正在进行的事件，以便您可以评估攻击者的行为并确定他们的目标，前提是这不会造成无法挽回的伤害。

除了培训和策略之外，技术在事件响应中也发挥着巨大作用。日志是一个关键组件。简而言之，您记录的信息越多，IR 团队调查事件就越容易、越高效。

此外，使用具有集中控制功能的端点检测和响应 (EDR) 平台或扩展检测和响应 (XDR) 工具可让您快速采取防御操作，例如隔离机器、将其与网络断开连接以及大规模执行对抗命令。

IR 所需的其他技术包括可以分析日志、文件和其他数据的虚拟环境，以及容纳这些信息的充足存储空间。您不想在事件发生期间浪费时间设置虚拟机和分配存储空间。

最后，您需要一个系统来记录事件的调查结果，无论是使用电子表格还是专用的 IR 文档工具。您的文档应涵盖事件的时间线、受影响的系统和用户以及您发现的恶意文件和危害指标 (IOC)（当前和回顾）。

2：Identification 检测

目标：检测您是否遭到破坏并收集 IOC。

您可以通过多种方法来确定事件已经发生或当前正在进行。

• 内部检测：事件可以由您的内部监控团队或组织的其他成员（由于您的安全意识努力）通过一个或多个安全产品的警报或在主动威胁搜寻过程中发现。
• 外部检测：第三方顾问或托管服务提供商可以使用安全工具或威胁搜寻技术代表您检测事件。或者，业务合作伙伴可能会看到表明潜在事件的异常行为。
• 泄露的数据被泄露：最坏的情况是在发现数据已从您的环境中泄露并发布到互联网或暗网站点后才得知事件已经发生。如果这些数据包含敏感的客户信息，并且在您有时间准备协调一致的公众回应之前将新闻泄露给媒体，那么影响会更严重。

如果不引起警觉疲劳，任何关于识别的讨论都是不完整的。

如果安全产品的检测设置调得太高，您将收到太多有关端点和网络上不重要活动的警报。这是让您的团队不知所措的好方法，并可能导致许多警报被忽略。

相反的情况，即您的设置调得太低，同样会出现问题，因为您可能会错过关键事件。平衡的安全态势将提供适量的警报，以便您可以识别值得进一步调查的事件，而不会遭受警报疲劳。您的安全供应商可以帮助您找到适当的平衡点，理想情况下，可以自动过滤警报，以便您的团队可以专注于重要的事情。

在识别阶段，您将记录从警报中收集的所有危害指标 (IOC)，例如受到危害的主机和用户、恶意文件和进程、新注册表项等。

一旦您记录了所有 IOC，您将进入遏制阶段。

3：Containment 遏制

目标：尽量减少损害。

遏制既是一种战略，也是 IR 中的一个独特步骤。

您将需要建立适合您的特定组织的方法，同时牢记安全性和业务影响。尽管隔离设备或将其与网络断开连接可以防止攻击在整个组织中蔓延，但也可能导致重大的财务损失或其他业务影响。这些决定应该提前做出，并在您的 IR 策略中明确阐明。

遏制措施可以分为短期和长期步骤，每个步骤都有独特的影响。

• 短期：这包括您当前可能采取的步骤，例如关闭系统、断开设备与网络的连接以及主动观察威胁行为者的活动。每个步骤都有优点和缺点。
• 长期：最好的情况是让受感染的系统保持离线状态，以便您可以安全地进入根除阶段。然而，这并不总是可行，因此您可能需要采取修补、更改密码、终止特定服务等措施。

在遏制阶段，您需要优先考虑域控制器、文件服务器和备份服务器等关键设备，以确保它们没有受到损害。

此阶段的其他步骤包括记录事件期间包含哪些资产和威胁，以及根据设备是否受到损害对设备进行分组。如果你不确定，就做最坏的打算。一旦所有设备都已分类并满足您的遏制定义，此阶段就结束了。

加分步骤：调查

目标：确定谁、什么、何时、何地、为什么、如何。

在这个阶段值得注意的是IR的另一个重要方面：调查。

调查贯穿整个IR 流程。虽然它不是一个单独的阶段，但在执行每个步骤时都应该牢记这一点。调查旨在回答有关哪些系统被访问以及违规起源的问题。当事件得到控制后，团队可以通过从磁盘和内存映像以及日志等来源捕获尽可能多的相关数据来促进彻底调查。

该流程图直观地展示了整个过程：

您可能熟悉数字取证和事件响应(DFIR) 一词，但值得注意的是，IR 取证的目标与传统取证的目标不同。在 IR 中，取证的主要目标是帮助尽可能有效地从一个阶段进展到下一阶段，以恢复正常的业务运营。

数字取证技术旨在从捕获的证据中提取尽可能多的有用信息，并将其转化为有用的情报，帮助更全面地了解事件，甚至帮助起诉不良行为者。

为发现的工件添加上下文的数据点可能包括攻击者如何进入网络或四处移动、访问或创建了哪些文件、执行了哪些进程等等。当然，这可能是一个耗时的过程，可能会与 IR 发生冲突。

值得注意的是，自从该术语首次被创造以来，DFIR 已经发生了演变。如今，组织拥有数百或数千台计算机，每台计算机都有数百 GB 甚至多个 TB 的存储空间，因此从所有受感染计算机捕获和分析完整磁盘映像的传统方法不再实用。

当前的情况需要采取更加外科手术的方法，捕获并分析每台受感染机器的特定信息。

4：Eradication 根除

目标：确保威胁被完全消除。

遏制阶段完成后，您可以转向根除，这可以通过磁盘清理、恢复到干净的备份或完整磁盘重新映像来处理。清理需要删除恶意文件以及删除或修改注册表项。重新映像意味着重新安装操作系统。

在采取任何行动之前，IR 团队需要参考任何组织策略，例如，在发生恶意软件攻击时要求对特定计算机进行重新映像。

与之前的步骤一样，文档在根除过程中发挥着作用。 IR 团队应仔细记录每台机器上采取的操作，以确保没有遗漏任何内容。作为一项附加检查，您可以在根除过程完成后对系统执行主动扫描，以查找任何威胁证据。

5：Recovery 恢复

目标：恢复正常运营。

你们的一切努力都在引领着这里！恢复阶段是指您可以照常营业的阶段。确定何时恢复运营是此时的关键决策。理想情况下，这可以立即发生，但可能需要等待组织的下班时间或其他安静时段。

再进行一项检查，以验证恢复的系统上不存在任何 IOC。您还需要确定根本原因是否仍然存在并实施适当的修复。

现在您已经了解了此类事件，您将来将能够对其进行监控并建立保护控制措施。

6：Lessons learned 经验总结

目标：记录发生的事情并提高您的能力。

现在事件已经过去了，是时候反思每个主要的 IR 步骤并回答关键问题了，有很多问题和方面需要提出和审查，以下是一些示例：

• 识别：在最初的泄露发生后，需要多长时间才能检测到该事件？
• 遏制：事件的遏制需要多长时间？
• 根除：根除后，您是否仍然发现任何恶意软件或妥协的迹象？

探究这些将帮助您退后一步，重新考虑一些基本问题，例如：我们是否拥有合适的工具？我们的员工是否接受过适当的培训以应对事件？

然后，循环回到准备阶段，您可以进行必要的改进，例如更新事件响应计划模板、技术和流程，并为您的员工提供更好的培训。

确保安全的 4 个专业提示

最后，让我们谨记四点最后建议：

1. 您记录的越多，调查就越容易。确保尽可能多地记录以节省金钱和时间。
2. 通过模拟针对您的网络的攻击做好准备。这将揭示您的 SOC 团队如何分析警报及其沟通能力——这在实际事件中至关重要。
3. 人员是组织安全态势不可或缺的一部分。您知道 95% 的网络泄露是由人为错误造成的吗？这就是为什么定期对两个群体进行培训非常重要：最终用户和安全团队。
4. 考虑拥有一个随时待命的专业第 3 方 IR 团队，该团队可以立即介入，帮助解决可能超出您的团队解决能力的更困难的事件。这些团队可能已经解决了数百起事件，并且拥有启动 IR 和加速 IR 所需的 IR 经验和工具。