主页

topics

事件响应

什么是事件响应?
深入了解 IBM 的事件响应解决方案 订阅 Think 时事通讯
包含云朵、手机、指纹、对号的拼贴插图

更新日期:2024 年 8 月 20 日
撰稿人:Jim Holdsworth、Matthew Kosinski

什么是事件响应?

事件响应(有时称为网络安全事件响应)是指组织用于检测和响应网络威胁、安全漏洞或网络攻击的相关流程和技术。正式的事件响应计划使网络安全团队能够限制或防止损害。

事件响应的目标是在网络攻击发生之前进行防御,并尽可能地减少因任何网络攻击造成的成本和业务中断。事件响应是事件管理的技术部分,其中还包括严重事件的行政、人力资源和法律管理。

理想情况下,组织在正式的事件响应计划 (IRP) 中定义事件响应流程和技术,该计划指定应如何识别、遏制和解决不同类型的网络攻击。

有效的事件响应计划可以帮助网络事件响应团队检测和遏制网络威胁,恢复受影响的系统并减少收入损失、监管罚款和其他成本。

IBM 的数据泄露成本报告发现,拥有事件响应团队和正式的事件响应计划使组织能够将泄露成本平均降低近五十万美元(473,706 美元)。

IBM® X-Force Threat Intelligence Index

此报告基于通过每天监控 130 多个国家/地区超过 1500 亿个安全事件而收集到的洞察分析和观察,可帮助提高事件响应能力。

相关内容 注册以获取《数据泄露的代价》报告
什么是安全事件?

安全事件是指威胁组织信息系统或敏感数据的机密性、完整性或可用性的任何数字或物理漏洞。安全事件的范围从黑客或未授权用户故意进行网络攻击,到合法授权用户无意中违反 IT 安全策略。

一些最常见的安全事件包括:

  • 勒索软件
  • 网络钓鱼和社会工程
  • DDoS 攻击
  • 供应链攻击
  • 内部威胁
  • 特权升级攻击
  • 中间人攻击
勒索软件

勒索软件是一种恶意软件,它会锁定受害者的数据或计算设备,并威胁称,除非受害者支付赎金,否则会将其锁定(甚至更糟)。IBM 最新的 X-Force Threat Intelligence Index 报告称,20% 的网络攻击使用了勒索软件,而勒索攻击是网络犯罪的驱动力,仅次于数据盗窃和泄露。

了解更多有关勒索软件的信息
网络钓鱼和社会工程

网络钓鱼攻击是一种数字或语音信息,试图操纵收件人共享敏感信息、下载恶意软件、向不法分子转移资金或资产,或采取其他一些破坏性行动。  

攻击者精心制作网络钓鱼信息,使其看起来或听起来像是来自可信或可靠的组织或个人,有时甚至是收件人认识的个人。

根据 IBM 数据泄露成本报告,网络钓鱼与凭证被盗或泄露是两种最常见的攻击媒介。网络钓鱼也是最常见的一种社会工程攻击,这类攻击利用的是人性而非数字安全漏洞,目的是在未经授权的情况下访问个人或企业的敏感数据或资产。

了解有关社会工程的更多信息
DDoS 攻击

在分布式拒绝服务 (DDoS) 攻击中,黑客会控制并利用大量计算机来制造虚假流量,以压垮目标组织的网络或服务器,使合法用户无法使用这些资源。

了解有关 DDoS 攻击的更多信息
供应链攻击

供应链攻击是通过攻击供应商来渗透目标组织的网络攻击。例如,这可能包括从供应商的系统中窃取敏感数据或使用供应商的服务分发恶意软件。

了解有关供应链安全的更多信息
内部威胁

内部威胁有两种类型。恶意内部人员是指故意危害组织信息安全的员工、合作伙伴或其他授权用户。玩忽职守的内部人员是指未遵循安全最佳实践(例如,使用弱密码或在不安全的地方存储敏感数据),从而无意中危及安全的授权用户。

了解有关内部威胁的更多信息
特权升级攻击

在这类攻击中,攻击者首先会在系统中获得有限权限,然后使用这些权限进行横向移动,从而获得更高权限,在此过程中还能访问更敏感的数据。

窃取的凭据可以帮助攻击者初次进入或提升他们的权限。根据 X-Force Threat Intelligence Index,滥用有效帐户是当今攻击者破坏系统的最常见方式。

了解有关横向移动的更多信息
中间人 (MITM) 攻击

在中间人 (MITM) 攻击中,威胁行为者会拦截通信(通常是包含用户名或密码等敏感信息的电子邮件),然后进行窃取或篡改。攻击者要么直接使用窃取的信息,要么注入恶意软件并将其转发给目标收件人。

了解有关中间人攻击的更多信息
事件响应计划

组织的事件处理工作通常以事件响应计划为指导。通常,计划由计算机安全事件响应团队 (CSIRT) 创建和执行,该团队由整个组织的利益相关者组成。

CSIRT 团队可能包括首席信息安全官 (CISO)、安全运营中心 (SOC)、安全分析师和 IT 人员。它还可能包括来自高管层、法律、人力资源、监管合规、风险管理的代表,以及可能来自服务提供商的第三方专家。

数据泄露成本报告指出:“通过投资于响应准备,组织可以降低数据泄露所造成的成本高昂且极具破坏性的影响,为运营连续性提供支持,并帮助维护与客户、合作伙伴和其他关键利益相关者的关系。”

事件响应计划通常包括:

  • 事件响应运行手册,包括整个事件响应生命周期中每个 CSIRT 成员的角色和职责。

  • 整个企业安装的安全解决方案 – 软件、硬件和其他技术。

  • 业务连续性计划,概述在发生中断时尽快恢复关键系统和数据的程序。

  • 事件响应方法,详细说明在事件响应流程的每个阶段应采取的具体步骤以及执行者。

  • 沟通计划,用于向公司领导、员工、客户和执法部门通报事件。

  • 关于收集和记录事件相关信息以供事后审查和(如有必要)法律诉讼的说明。

CSIRT 可能会针对不同类型的事件制定不同事件响应计划,因为每种类型可能都需要专门的响应。许多组织都有针对 DDoS 攻击、恶意软件、勒索软件、网络钓鱼和内部威胁的特定事件响应计划。

制定针对组织环境定制的事件响应计划,是减少响应、修复攻击以及从攻击中恢复的时间的关键。

一些组织通过外部合作伙伴来补充内部 CSIRT,提供事件响应服务。这些合作伙伴通常会担任固定职务并协助处理整个事件管理流程的各个方面,包括制定和执行事件响应计划。

事件响应如何进行

大多数事件响应计划都遵循相同的通用事件响应框架,该框架基于美国国家标准与技术研究院 (NIST) 1 和 SANS Institute2 开发的模型。常见的事件响应步骤包括:

  • 准备工作
  • 检测和分析
  • 遏制
  • 根除
  • 恢复
  • 事后审查
准备工作

事件响应的第一阶段也是一个持续阶段。CSIRT 会选择最佳的程序、工具和技术来尽可能快地响应、识别、遏制事件并从中恢复,并尽量减少业务中断。

通过定期风险评估,CSIRT 可以明确要保护的业务环境、潜在网络漏洞以及对网络构成风险的各类安全事件。团队根据每类事件对组织的潜在影响来确定事件的优先级。

CSIRT 可能会对几种不同的攻击战略进行“兵棋推演”,然后创建最有效的响应模板,以便在真实攻击期间快速行动。可以跟踪响应时间,以便为未来的演习和可能的攻击建立指标。根据完整的风险评估,CSIRT 可能会更新现有的事件响应计划或起草新的计划。

检测和分析

在此阶段,安全团队成员监控网络中是否存在可疑活动和潜在威胁。他们分析从设备日志和各种安全工具(防病毒软件、防火墙)中收集的数据、通知和警报,以识别正在发生的事件。团队致力于从真实事件中过滤误报,并按严重程度对实际警报进行分类。

如今,大多数组织使用一种或多种安全解决方案(例如安全信息和事件管理 (SIEM) 以及端点检测和响应 (EDR))来实时监控安全事件并自动执行响应工作。(有关更多信息,请参阅“事件响应技术”部分。)

沟通计划在此阶段也会发挥作用。当 CSIRT 确定了他们正在处理的威胁或漏洞类型后,他们会通知相应人员,然后进入事件响应流程的下一阶段。

遏制

事件响应团队采取措施,阻止泄露事件或其他恶意活动对网络造成进一步损害。随后开始实施紧急事件响应计划。遏制活动可分为两类:

  • 短期缓解措施侧重于通过隔离受影响的系统(例如使受感染的设备离线)来防止当前威胁扩散。

  • 长期遏制措施侧重于保护未受影响的系统,通过在系统周围设置更强大的安全控制来实现,例如将敏感数据库与网络的其余部分隔离开来。

在此阶段,CSIRT 可能还会为受影响和不受影响的系统创建备份,以防更多数据丢失,并捕获事件的取证证据以供未来研究。

根除

在威胁得到控制后,团队将采取全面修复措施,将威胁从系统中彻底清除。其中可能包括删除恶意软件,或将未经授权用户和恶意用户踢出网络。团队还会对受影响和未受影响的系统进行审查,确保不留下任何漏洞痕迹。

恢复

事件响应团队确信威胁已完全消除后,他们会将受影响的系统恢复正常运行。修复措施可能包括部署补丁、从备份重建系统以及使系统和设备恢复在线。保留攻击及解决方案的记录,以便进行分析和改进系统。

事后审查

在事件响应流程的每个阶段,CSIRT 都会收集泄露证据并记录为遏制和根除威胁而采取的步骤。在此阶段,CSIRT 审查这些信息,以更好地了解事件并收集“经验教训”。CSIRT 致力于确定攻击的根本原因,确定其如何成功入侵网络并修复漏洞,以便将来不再发生此类事件。

CSIRT 还会回顾哪些方面进展顺利,并寻找机会改进系统、工具和流程,以加强针对未来攻击的事件响应计划。视违规情况而定,执法部门也可能参与事后调查。

事件响应技术

除了描述 CSIRT 在安全事件期间应采取的步骤外,事件响应计划通常会概述事件响应团队应用于实施或自动执行关键工作流的安全解决方案,例如收集和关联安全数据、实时检测事件并响应正在进行的攻击

一些最常用的事件响应技术包括:

  • ASM(攻击面管理)
  • EDR(端点检测和响应)
  • SIEM(安全信息和事件管理)
  • SOAR(安全编排、自动化和响应)
  • UEBA(用户和实体行为分析)
  • XDR(扩展检测和响应)
ASM(攻击面管理)

ASM 解决方案可以自动进行持续发现、分析、修复和监控组织攻击面内所有资产的漏洞和潜在攻击媒介。ASM 可以发现以前未监控的网络资产,并映射资产之间的关系。

了解有关攻击面管理的更多信息
EDR(端点检测和响应)

EDR 这款软件旨在自动保护组织的用户、端点设备和 IT 资产免受通过杀毒软件和其他传统端点安全工具的网络威胁。

EDR 可从网络上的所有端点持续收集数据。它还会实时分析数据以查找已知或可疑网络威胁的证据,并可自动进行响应以规避或最大限度减少所发现威胁造成的损害。

了解有关端点检测和响应的更多信息
SIEM(安全信息和事件管理)

SIEM 汇总和关联来自不同内部安全工具(例如防火墙漏洞扫描器和威胁情报源)以及来自网络设备的信息。

SIEM 可以通过区分实际威胁指标和安全工具生成的大量通知来帮助对抗“警报疲劳”。

了解有关安全信息和事件管理的更多信息
SOAR(安全编排、自动化和响应)

SOAR 使安全团队能够定义运行手册、正式化工作流,用于协调不同的安全操作和工具,以响应安全事件。在可能的情况下,SOAR 平台还可以实现部分工作流的自动化。

了解有关安全编排、自动化和响应的更多信息
UEBA(用户和实体行为分析)

UEBA 使用行为分析、机器学习算法和自动化来识别有潜在危险的异常用户和设备行为。

UEBA 可以有效识别内部威胁(恶意内部人员或使用遭到入侵的内部凭据的黑客),这些威胁因为会模仿经授权的网络流量,可以躲避其他安全工具。SIEM、EDR 和 XDR 解决方案中通常包含 UEBA 功能。

了解有关用户和实体行为分析的更多信息
XDR(扩展检测和响应)

XDR 是一种网络安全技术,可在整个混合 IT 环境中使用统一的安全工具、控制点、数据和遥测源以及分析。XDR 可创建单一的中央企业系统用于威胁防御、检测和响应。XDR 可以帮助超负荷的安全团队和 SOC 消除安全工具之间的孤岛,在整个网络威胁杀伤链中自动进行响应,从而实现事半功倍的效果

了解有关扩展检测和响应的更多信息
人工智能与事件响应的未来

人工智能 (AI)可以帮助组织增强对网络威胁的防御,就像数据窃贼和黑客使用 AI 来增强他们的攻击一样。 

使用附加的 AI 保护可以节省大量成本。根据 IBM 数据泄露成本报告,使用 AI 驱动的安全解决方案的组织可以节省多达 220 万美元的泄露成本。

企业级人工智能驱动的安全系统可通过以下方式提高事件响应能力:

  • 更快地检测异常
  • 更加主动的响应流程
  • 预测可能的攻击渠道
更快地检测异常

AI 驱动的系统可以通过监控大量数据来加速搜索可疑流量模式或用户行为,从而加速威胁检测和缓解。

更加主动的响应流程

人工智能驱动的系统可以为网络安全团队提供实时洞察分析、自动进行事件分流、协调防御网络威胁,甚至隔离受到攻击的系统,从而支持更加积极主动的事件响应流程。 

预测可能的攻击渠道

人工智能驱动的风险分析可以生成事件摘要,以加快警报调查并帮助找到故障的根本原因。这些事件摘要有助于预测未来最有可能发生哪些威胁,以便事件响应团队调整制定更有力的计划来应对这些威胁。

网络研讨会:生成式 AI 如何改变网络安全态势
相关解决方案
威胁检测和响应解决方案

利用 IBM 威胁检测和响应解决方案来加强您的安全性并加速威胁检测。

深入了解威胁检测和响应解决方案
IBM Security and Compliance Center

集成解决方案套件使您能够将策略定义为代码,实施安全数据控制,并评估混合多云环境的安全性和合规性。

深入了解 IBM Security and Compliance Center
IBM NS1 Connect DNS 可观测性

使用 DNS 数据快速识别配置错误和安全问题。

深入了解 IBM NS1 Connect
资源 生成式 AI 时代的网络安全

了解当今的安全环境如何变化,以及如何利用生成式 AI 的弹性。

IBM 安全框架与发现研讨会

通过一场 3 小时的线上或线下设计思维免费会议,了解贵组织的网络安全状况,并与 IBM 资深安全架构师和咨询顾问共同确定各种安全计划的优先执行顺序。

什么是勒索软件?

勒索软件是一种恶意软件,它会劫持受害者的设备和数据,直至支付赎金。

采取后续步骤

IBM 网络安全服务提供咨询、集成和托管安全服务以及进攻和防御功能。我们将全球专家团队、专有技术及合作伙伴技术相结合,共创量身定制的安全计划来管理风险。

深入了解网络安全服务 订阅 Think 时事通讯
脚注

所有链接均为 ibm.com 外部链接

1 网络安全框架的五项功能,美国国家标准与技术研究院 (NIST),2024 年 2 月 26 日。

2 SANS 白皮书:Incident Handler's Handbook,SANS Institute,2012 年 2 月 21 日。