事件响应(有时称为网络安全事件响应)是指组织用于检测和响应网络威胁、安全违规或网络攻击的流程和技术。 事件响应的目标是防患于未然,以及最大程度减少任何网络攻击造成的成本和业务中断。
理想情况下,组织以正式的事件响应计划 (IRP) 的形式定义事件响应流程和技术,该计划明确规定如何发现、遏制和解决不同类型的网络攻击。 有效的事件响应计划可以帮助网络安全团队更快地检测和遏制网络威胁并恢复受影响的系统,减少收入损失、监管罚款以及与这些威胁有关的其他成本。 IBM 的《2022 年数据泄露成本》报告发现,与没有事件响应团队和 IRP 的组织相比,具有事件响应团队并定期检验事件响应计划的组织的平均数据泄露成本要低 266 万美元。
安全事件是指威胁到保密性、完整性或可用性或者组织的信息系统或敏感数据的任何数字或物理安全违规情况。 安全事件的范围非常广泛,例如黑客或未经授权用户有意实施的网络攻击,以及合法授权用户无意违反安全策略的情况。
一些最常见的安全事件包括:
勒索软件 勒索软件是一种恶意软件,它会锁定受害者的数据或计算设备,并且威胁要一直将其锁定,甚至出现更糟的结果 — 除非受害者向攻击者支付赎金。 根据 IBM 的《2022 年数据泄露成本》报告,从 2021 年到 2022 年,勒索软件攻击次数增加了 41%。
网络钓鱼和社会工程。 网络钓鱼攻击是试图操纵接收者分享敏感信息、下载恶意软件、向错误的人转移金钱或资产,或采取其他破坏性行动的数字或语音消息。 诈骗者精心设计网络钓鱼消息,使其看起来或听上去就像来自受信任或可信的组织或个人 — 有时甚至是收件人本人认识的个人。
根据 IBM 的《2022 年数据泄露成本》报告,网络钓鱼是造成的损失最大,同时是第二常见的数据泄露原因。 这也是社会工程攻击的最常见形式 — 此类攻击直击人性,而不是攻击数字安全漏洞,旨在未经授权地访问敏感的个人或企业数据或资产。
DDoS 攻击 在分布式拒绝服务 (DDoS) 攻击中,黑客获得大量计算机的远程控制权,使用巨大的流量压垮目标组织的网络或服务器,使这些资源无法为合法用户提供服务。
供应链攻击。 供应链攻击是指通过攻击目标组织的供应商,例如通过盗窃供应商系统中的敏感数据,或者使用供应商的服务传播恶意软件,从而渗透目标组织的网络攻击。 在 2021 年 7 月,网络犯罪分子利用 Kaseya 的 VSA 平台的一个缺陷 (链接位于 ibm.com 外部),以合法软件更新的幌子向客户传播勒索软件。 根据 IBM 的《2021 年网络弹性组织调研》,尽管供应链攻击日益频繁,但只有 32% 的组织制定了事件响应计划以应对这种特殊的网络威胁。
内部威胁 有两种类型的内部威胁。 恶意的内部人员是指故意破坏组织的信息安全的员工、合作伙伴或其他授权用户。 疏忽的内部人员是指由于未遵守安全最佳实践,例如使用弱密码或在不安全的地方存储敏感数据,而无意破坏安全性的授权用户。
事件响应规划
如上所述,事件响应计划用于指导组织的事件响应工作。 通常,这些计划由计算机安全事件响应团队 (CSIRT) 负责制定和执行,该团队由来自整个组织的各种利益相关方构成,包括首席信息安全官 (CISO)、安全运营中心 (SOC) 和 IT 人员,还包括最高管理层、法务、人力资源、法规合规性和风险管理等职能领域的代表。
事件响应计划通常包括
CSIRT 针对各种不同类型的事件起草不同的事件响应计划的情况并不少见,因为每种类型都可能需要独特的响应方式。 根据 IBM 的《2021 年网络弹性组织调研》,大多数组织都制定了针对 DDoS 攻击、恶意软件和勒索软件攻击以及网络钓鱼攻击的具体事件响应计划,近一半的组织制定了针对内部威胁的计划。
一些组织采用外部合作伙伴来提供事件响应服务,以补充内部 CSIRT 的不足。 这些合作伙伴通常以收取定金的形式提供服务,协助执行事件管理流程的各个方面,包括准备和执行 IRP。
事件响应流程
大多数 IRP 还遵循相同的通用事件响应框架,该框架基于 SANS 研究所、 美国国家标准与技术研究院 (NIST) 以及美国网络安全和基础设施安全局 (CISA) 开发的事件响应模型。
准备。 事件响应的第一个阶段也是一个持续的过程,旨在确保 CSIRT 始终具有已实施的最佳程序和工具,尽快控制事件并从中恢复,最大程度减少业务中断。
通过定期的风险评估,CSIRT 确定网络漏洞,定义对网络构成风险的各种网络事件,并根据其对组织的潜在影响确定每种类型的优先级。 根据这种风险评估,CSIRT 可能会更新现有事件响应计划或起草新的计划。
检测和分析。 在此阶段,安全团队成员监控网络以发现可疑活动和潜在威胁。 他们分析从设备日志和通过安装在网络上的各种安全工具(反病毒软件、防火墙等)收集的数据、通知和警报,过滤掉假警报,按照严重性对实际警报进行分类。
目前,大多数组织都使用一个或多个安全解决方案,例如 SIEM(安全信息和事件管理)以及 EDR(终端检测和响应),帮助安全团队实时监控和分析安全事件,自动执行事件检测和响应流程。 (有关更多信息,请参阅下面的“事件响应技术”。)
沟通计划也在这个阶段发挥作用。 一旦 CSIRT 确定自己正在处理的威胁或违规的类型,他们将在进入事件响应流程的下个阶段之前,通知相应的人员。
遏制。 事件响应团队采取措施,防止违规对网络造成进一步的危害。 遏制活动可分为两类:
在此阶段,CSIRT 还可创建受影响和未受影响的系统的备份,以防止更多数据丢失,并捕捉事件的取证证据以供进一步研究。
根除。 威胁得到遏制之后,团队就开始执行完整的补救措施,彻底将威胁从系统中移除。 这包括积极根除威胁本身,例如摧毁恶意软件,从网络中移除未经授权的用户或流氓用户;还包括检查受影响和未受影响的系统,以确保彻底消除违规。
恢复。 当事件响应团队确信威胁已完全根除之后,他们负责将受影响的系统恢复至正常运行状态。 这可能涉及部署补丁、根据备份重建系统,以及让修复后的系统和设备重新上线。
事后审查。 在事件响应流程的每个阶段,CSIRT 收集违规的证据,记录用于遏制威胁所采取的步骤。 在此阶段,CSIRT 审查这些信息以更好地了解事件。 CSIRT 努力确定攻击的根本原因,确定威胁是如何成功攻破网络的,并解决漏洞,确保将来不再发生此类事件。
CSIRT 还会审查行之有效的方面,寻找改进系统、工具和流程的机会,以加强事件响应计划,有效应对未来攻击。 根据违规情况,执法机构也可能参与到事后调查。
如上所述,除了描述 CSIRT 在发生安全事件时应采取的步骤外,事件响应计划通常还会列出事件响应团队应实施的安全解决方案,用于人工或自动执行主要的事件响应工作流程,例如收集和关联安全数据,实时检测事件,以及响应正在进行的攻击。
一些最常用的事件响应技术包括:
通过 IBM Security 提供的事件响应订阅,获得您的企业所需的安全保护,完善违规防范工作。 当您与我们的 IR 顾问精英团队合作时,您就拥有了随时待命的可信合作伙伴,他们可帮助您减少响应事件所需的时间,最大限度地降低事件影响,并帮助您在怀疑发生网络安全事件之前更快地恢复过来。
威胁检测只完成了一半的安全工作。 您还需要拥有智能事件响应能力,以应对越来越多的警报、繁杂的工具和人员短缺问题。 在 IBM 的帮助下,通过自动化、流程标准化以及与现有安全工具的集成,加快事件响应速度。
随着笔记本电脑、台式机和远程工作人员的数量不断增加,老练的网络犯罪分子面对您的企业也有了更多的可乘之机。 他们从这些切入点深入,通常不会被察觉。 IBM 提供了一种集全天候预防、检测和快速响应于一身的一站式功能,可以借助威胁情报和主动威胁搜寻功能来识别和补救高级威胁。
远程工作趋势和终端之间的日益互联互通使得恶意活动持续增加。 通过利用 AI 驱动的现代 EDR,自动阻止和隔离恶意软件和勒索软件威胁,减轻分析人员的工作负担。
在一场时长 3 小时、虚拟或面对面的设计思维免费对话中,与 IBM 的资深安全架构师和顾问一起了解贵组织的网络安全形势,确定各种计划的优先顺序。
在一场时长 3 小时、虚拟或面对面的设计思维免费对话中,与 IBM 的资深安全架构师和顾问一起了解贵组织的网络安全形势,确定各种计划的优先顺序。
制定强有力的战略,应对事件响应挑战
勒索软件是劫持受害者的设备和数据作为“人质”,直到支付赎金才释放的恶意软件。
当授权用户有意或无意地公开敏感数据或网络资产时,就发生内部人员威胁。
借助威胁态势的全局视图,了解您面临的网络攻击风险。
这份《数据泄露成本报告》探讨了相关财务影响,以及可帮助贵组织避免数据泄露或在发生数据泄露时降低成本的安全措施。