當前位置：安全 → 行業動態 → 正文

九步成功打造應急響應計劃

責任編輯：editor005 作者：nana |來源：企業網D1Net 2016-08-02 15:28:16 本文摘自：安全牛

在網絡攻擊襲擊之企業前，準備好預案是事關生死的大事。

細節決定成敗，制定事件響應(IR)計劃時尤其如此。但，即使最成功的IR計劃也會缺失關鍵信息，阻礙正常業務運營的快速恢復。以下，是應集成到IR計劃中的很重要卻經常被遺忘的9個步驟。

一、總動員

精明的安全主管應該有能力讓整個公司員工參與到IR計劃制定中來。CISO通常只管理負責威脅處理的團隊，而搞定數據泄露引發的紛爭則需要全公司的努力。

舉個例子，如果一家銀行有法律義務公開事件，那么它處理數據泄露事件影響的時候就會需要其公關部門的協助。該銀行的網站開發團隊也需要參與進來，如果黑客是通過利用公司網站漏洞實現攻擊的話。另外，如果員工個人信息被泄露，公司人力資源部也需要聯系一下。該銀行的事件響應計劃需要囊括進所有上述部門的意見。

一份詳盡的事件響應計劃，會鋪陳出檢測到數據泄露時應通知的關鍵人物，也會規劃事件發生時在公司內部和外部信息流通的方式。在準備階段，關鍵員工的溝通時間線和聯系信息應被加入到計劃中。

二、判明衡量標準

一份成功的事件響應計劃會預先定義好關鍵業績指標(KPI)供安全團隊對事件作出評估。一些時間相關的度量包括：檢測時間、事件報告時間、事件分類時間、調查時間、響應時間。在定性層面上，應追蹤的一些數據包括：誤報數量、攻擊屬性(惡意軟件 VS 非基于惡意軟件的)、檢出事件的工具。

　　三、測試

企業應利用準備階段考慮各種各樣的有可能發生的數據泄露事件場景。這些場景應在不同活動中被仔細審查，比如團隊培訓、桌面模擬演練、紅藍對抗等。企業甚至應該模擬異常數據泄露事件，讓員工知曉當真實事件發生時自己扮演的角色。

準備階段，就是公司發現自身弱點和風險因素，辨明哪些行為需要嚴密監測，決定怎么分配安全預算的時候。IR計劃應每年重新修訂，如果公司發展很快，重修訂間隔還應更短些。另外，IR計劃中應包含相關經營規范。

四、核查看起來良性的警報

威脅檢測有時候也會源于乍看良性且與安全無關的情形。對運行很慢的計算機進行IT檢查或許會揭示出該機器已經感染了惡意軟件，比如說，提起對網絡釣魚攻擊的警醒，展開對是否有人點擊了可疑鏈接的調查。IT工作人員應總是在面對技術問題時記得檢查是否有安全隱患，即使事件看起來似乎與安全無關。

公司對抗敵人的最佳防御，是訓練良好的用戶，比如說，那些收到帶奇怪鏈接的郵件時知道該聯系安全團隊的用戶。

另外，IT和安全團隊不應該無視用戶的懷疑。應認真對待每一個直覺，人的直覺有時候會提供偵獲數據泄露的線索。

五、構建整合的數據倉庫

無論公司使用什么方法檢測威脅，將所有事件整合進一個中央存儲倉庫都是其中重要一環。企業通常會使用SIEM來做這事兒，但有時候SIEM也不足以完整呈現IT環境。

事件響應團隊經常需要重現當時環境中所發生的所有事。而這種時候才來構筑全面視圖往往已經太遲，事件響應團隊最終得到的，頂多是零零散散的局部重現，毫無價值。打造并維護一個有著廣泛可見性的連續的數據倉庫，不僅僅是監管上的要求。它對加速調查和響應也舉足輕重。

六、別忽視工業控制

很多企業都有運行工業系統的設施，比如煉油廠或者制藥廠。然而，企業或許沒想到攻擊者也會瞄準這些地點，因而放松了對這些設施的惡意行為監測。

另一些情況下，是由非IT或非安全部門來主管這些工控系統設施。該部門的人員也許就缺乏嚴密監測此類系統的知識，導致在安全上出現疏忽。

七、遏制和緩解

有徹底的遏制和緩解過程阻擋整個攻擊行動而不僅僅是簡單地解決攻擊癥狀，對企業而言十分重要。不過，安全團隊通常都單用某個特定的解決方案來面對諸多問題，為同樣的攻擊重現留下了大量機會。

遏制和緩解計劃必須建立在安全團隊對事件的調查結果上。太多時候，制定出來的計劃都僅僅是基于預先檢測的信息。比如說，如果SIEM系統檢測到了連到C2服務器的連接，典型的解決方案就是殺死發起連接的進程，在防火墻中封掉該IP。但，如果該惡意軟件是持續性的，只要計算機重啟，惡意軟件又會重新加載上，或許還會改頭換面用另一個進程名，與另一個服務器連接。

于是，安全團隊陷入無窮無盡的對同一個威脅的檢測-遏制-清除循環中。另一方面，如果安全團隊深入調查惡意軟件的技術和感染方式，就能得到更好的根除計劃，也有望開發出預防機制。

八、準備后續預算和資源

后續跟進，是預防安全事件重現的基礎。然而，企業通常都忘了走這一步。有些后續跟進過程會牽涉到金錢支出，讓有預算限制的企業覺得難以承受。花費較少的選擇包括了在SIEM中添加新的檢測規則，而更貴一些的后續跟進步驟，涉及到聘用額外的安全分析師或者購買攻擊檢測技術。