主页
topics
事件响应
更新日期:2024 年 8 月 20 日
撰稿人:Jim Holdsworth、Matthew Kosinski
事件响应(有时称为网络安全事件响应)是指组织用于检测和响应网络威胁、安全漏洞或网络攻击的相关流程和技术。正式的事件响应计划使网络安全团队能够限制或防止损害。
此报告基于通过每天监控 130 多个国家/地区超过 1500 亿个安全事件而收集到的洞察分析和观察,可帮助提高事件响应能力。
安全事件是指威胁组织信息系统或敏感数据的机密性、完整性或可用性的任何数字或物理漏洞。安全事件的范围从黑客或未授权用户故意进行网络攻击,到合法授权用户无意中违反 IT 安全策略。
一些最常见的安全事件包括:
勒索软件是一种恶意软件,它会锁定受害者的数据或计算设备,并威胁称,除非受害者支付赎金,否则会将其锁定(甚至更糟)。IBM 最新的 X-Force Threat Intelligence Index 报告称,20% 的网络攻击使用了勒索软件,而勒索攻击是网络犯罪的驱动力,仅次于数据盗窃和泄露。
在分布式拒绝服务 (DDoS) 攻击中,黑客会控制并利用大量计算机来制造虚假流量,以压垮目标组织的网络或服务器,使合法用户无法使用这些资源。
供应链攻击是通过攻击供应商来渗透目标组织的网络攻击。例如,这可能包括从供应商的系统中窃取敏感数据或使用供应商的服务分发恶意软件。
内部威胁有两种类型。恶意内部人员是指故意危害组织信息安全的员工、合作伙伴或其他授权用户。玩忽职守的内部人员是指未遵循安全最佳实践(例如,使用弱密码或在不安全的地方存储敏感数据),从而无意中危及安全的授权用户。
在这类攻击中,攻击者首先会在系统中获得有限权限,然后使用这些权限进行横向移动,从而获得更高权限,在此过程中还能访问更敏感的数据。
窃取的凭据可以帮助攻击者初次进入或提升他们的权限。根据 X-Force Threat Intelligence Index,滥用有效帐户是当今攻击者破坏系统的最常见方式。
在中间人 (MITM) 攻击中,威胁行为者会拦截通信(通常是包含用户名或密码等敏感信息的电子邮件),然后进行窃取或篡改。攻击者要么直接使用窃取的信息,要么注入恶意软件并将其转发给目标收件人。
组织的事件处理工作通常以事件响应计划为指导。通常,计划由计算机安全事件响应团队 (CSIRT) 创建和执行,该团队由整个组织的利益相关者组成。
CSIRT 团队可能包括首席信息安全官 (CISO)、安全运营中心 (SOC)、安全分析师和 IT 人员。它还可能包括来自高管层、法律、人力资源、监管合规、风险管理的代表,以及可能来自服务提供商的第三方专家。
数据泄露成本报告指出:“通过投资于响应准备,组织可以降低数据泄露所造成的成本高昂且极具破坏性的影响,为运营连续性提供支持,并帮助维护与客户、合作伙伴和其他关键利益相关者的关系。”
事件响应计划通常包括:
事件响应运行手册,包括整个事件响应生命周期中每个 CSIRT 成员的角色和职责。
整个企业安装的安全解决方案 – 软件、硬件和其他技术。
业务连续性计划,概述在发生中断时尽快恢复关键系统和数据的程序。
事件响应方法,详细说明在事件响应流程的每个阶段应采取的具体步骤以及执行者。
沟通计划,用于向公司领导、员工、客户和执法部门通报事件。
关于收集和记录事件相关信息以供事后审查和(如有必要)法律诉讼的说明。
CSIRT 可能会针对不同类型的事件制定不同事件响应计划,因为每种类型可能都需要专门的响应。许多组织都有针对 DDoS 攻击、恶意软件、勒索软件、网络钓鱼和内部威胁的特定事件响应计划。
制定针对组织环境定制的事件响应计划,是减少响应、修复攻击以及从攻击中恢复的时间的关键。
一些组织通过外部合作伙伴来补充内部 CSIRT,提供事件响应服务。这些合作伙伴通常会担任固定职务并协助处理整个事件管理流程的各个方面,包括制定和执行事件响应计划。
大多数事件响应计划都遵循相同的通用事件响应框架,该框架基于美国国家标准与技术研究院 (NIST) 1 和 SANS Institute2 开发的模型。常见的事件响应步骤包括:
事件响应的第一阶段也是一个持续阶段。CSIRT 会选择最佳的程序、工具和技术来尽可能快地响应、识别、遏制事件并从中恢复,并尽量减少业务中断。
通过定期风险评估,CSIRT 可以明确要保护的业务环境、潜在网络漏洞以及对网络构成风险的各类安全事件。团队根据每类事件对组织的潜在影响来确定事件的优先级。
CSIRT 可能会对几种不同的攻击战略进行“兵棋推演”,然后创建最有效的响应模板,以便在真实攻击期间快速行动。可以跟踪响应时间,以便为未来的演习和可能的攻击建立指标。根据完整的风险评估,CSIRT 可能会更新现有的事件响应计划或起草新的计划。
在此阶段,安全团队成员监控网络中是否存在可疑活动和潜在威胁。他们分析从设备日志和各种安全工具(防病毒软件、防火墙)中收集的数据、通知和警报,以识别正在发生的事件。团队致力于从真实事件中过滤误报,并按严重程度对实际警报进行分类。
如今,大多数组织使用一种或多种安全解决方案(例如安全信息和事件管理 (SIEM) 以及端点检测和响应 (EDR))来实时监控安全事件并自动执行响应工作。(有关更多信息,请参阅“事件响应技术”部分。)
沟通计划在此阶段也会发挥作用。当 CSIRT 确定了他们正在处理的威胁或漏洞类型后,他们会通知相应人员,然后进入事件响应流程的下一阶段。
事件响应团队采取措施,阻止泄露事件或其他恶意活动对网络造成进一步损害。随后开始实施紧急事件响应计划。遏制活动可分为两类:
短期缓解措施侧重于通过隔离受影响的系统(例如使受感染的设备离线)来防止当前威胁扩散。
长期遏制措施侧重于保护未受影响的系统,通过在系统周围设置更强大的安全控制来实现,例如将敏感数据库与网络的其余部分隔离开来。
在此阶段,CSIRT 可能还会为受影响和不受影响的系统创建备份,以防更多数据丢失,并捕获事件的取证证据以供未来研究。
在威胁得到控制后,团队将采取全面修复措施,将威胁从系统中彻底清除。其中可能包括删除恶意软件,或将未经授权用户和恶意用户踢出网络。团队还会对受影响和未受影响的系统进行审查,确保不留下任何漏洞痕迹。
事件响应团队确信威胁已完全消除后,他们会将受影响的系统恢复正常运行。修复措施可能包括部署补丁、从备份重建系统以及使系统和设备恢复在线。保留攻击及解决方案的记录,以便进行分析和改进系统。
在事件响应流程的每个阶段,CSIRT 都会收集泄露证据并记录为遏制和根除威胁而采取的步骤。在此阶段,CSIRT 审查这些信息,以更好地了解事件并收集“经验教训”。CSIRT 致力于确定攻击的根本原因,确定其如何成功入侵网络并修复漏洞,以便将来不再发生此类事件。
CSIRT 还会回顾哪些方面进展顺利,并寻找机会改进系统、工具和流程,以加强针对未来攻击的事件响应计划。视违规情况而定,执法部门也可能参与事后调查。
除了描述 CSIRT 在安全事件期间应采取的步骤外,事件响应计划通常会概述事件响应团队应用于实施或自动执行关键工作流的安全解决方案,例如收集和关联安全数据、实时检测事件并响应正在进行的攻击
一些最常用的事件响应技术包括:
ASM 解决方案可以自动进行持续发现、分析、修复和监控组织攻击面内所有资产的漏洞和潜在攻击媒介。ASM 可以发现以前未监控的网络资产,并映射资产之间的关系。
EDR 这款软件旨在自动保护组织的用户、端点设备和 IT 资产免受通过杀毒软件和其他传统端点安全工具的网络威胁。
EDR 可从网络上的所有端点持续收集数据。它还会实时分析数据以查找已知或可疑网络威胁的证据,并可自动进行响应以规避或最大限度减少所发现威胁造成的损害。
SIEM 汇总和关联来自不同内部安全工具(例如防火墙、漏洞扫描器和威胁情报源)以及来自网络设备的信息。
SIEM 可以通过区分实际威胁指标和安全工具生成的大量通知来帮助对抗“警报疲劳”。
SOAR 使安全团队能够定义运行手册、正式化工作流,用于协调不同的安全操作和工具,以响应安全事件。在可能的情况下,SOAR 平台还可以实现部分工作流的自动化。
UEBA 使用行为分析、机器学习算法和自动化来识别有潜在危险的异常用户和设备行为。
UEBA 可以有效识别内部威胁(恶意内部人员或使用遭到入侵的内部凭据的黑客),这些威胁因为会模仿经授权的网络流量,可以躲避其他安全工具。SIEM、EDR 和 XDR 解决方案中通常包含 UEBA 功能。
XDR 是一种网络安全技术,可在整个混合 IT 环境中使用统一的安全工具、控制点、数据和遥测源以及分析。XDR 可创建单一的中央企业系统用于威胁防御、检测和响应。XDR 可以帮助超负荷的安全团队和 SOC 消除安全工具之间的孤岛,在整个网络威胁杀伤链中自动进行响应,从而实现事半功倍的效果
AI 驱动的系统可以通过监控大量数据来加速搜索可疑流量模式或用户行为,从而加速威胁检测和缓解。
人工智能驱动的系统可以为网络安全团队提供实时洞察分析、自动进行事件分流、协调防御网络威胁,甚至隔离受到攻击的系统,从而支持更加积极主动的事件响应流程。
人工智能驱动的风险分析可以生成事件摘要,以加快警报调查并帮助找到故障的根本原因。这些事件摘要有助于预测未来最有可能发生哪些威胁,以便事件响应团队调整制定更有力的计划来应对这些威胁。
所有链接均为 ibm.com 外部链接
1 网络安全框架的五项功能,美国国家标准与技术研究院 (NIST),2024 年 2 月 26 日。
2 SANS 白皮书:Incident Handler's Handbook,SANS Institute,2012 年 2 月 21 日。