Ryan+Francis+楊勇

如果沒有計劃，您就是盲目飛行。這里列出了您應(yīng)該遵循的9個步驟。

在開發(fā)應(yīng)急響應(yīng)（IR，Incident Response）計劃時，細(xì)節(jié)非常關(guān)鍵。但是，即使是最成功的IR計劃也可能缺乏關(guān)鍵信息，導(dǎo)致不能很快的恢復(fù)正常業(yè)務(wù)運營。

Cybereason的這一指南深入介紹了九個經(jīng)常被遺忘，但是非常重要的步驟，您應(yīng)該將其納入您的IR計劃中。

整個公司都要做好準(zhǔn)備

一名優(yōu)秀的安全領(lǐng)導(dǎo)應(yīng)能讓全公司的員工都參與幫助制定IR計劃。雖然CISO最有可能管理應(yīng)對威脅的團隊，但處理好泄露事件的后果則需要整個公司的努力。

例如，如果法律要求企業(yè)披露所遇到的泄露事件，那么處理泄露事件影響的銀行可能需要其公共關(guān)系員工的幫助。

如果對手通過利用公司網(wǎng)站中的漏洞（例如WordPress漏洞）進行攻擊，那么銀行的Web開發(fā)團隊也要參與進來。此外，如果員工的個人信息被泄露，則可能需要聯(lián)系公司的人力資源部門。銀行的應(yīng)急響應(yīng)計劃應(yīng)包括所有這些部門的反饋。

一個全面的應(yīng)急響應(yīng)計劃規(guī)定了當(dāng)檢測到泄露事件時應(yīng)通知的關(guān)鍵人員，以及怎樣把泄露事件信息通報到整個企業(yè)內(nèi)部和外部。在準(zhǔn)備階段，應(yīng)向計劃中添加通信時間表和關(guān)鍵人員的聯(lián)系信息。

明確測量和指標(biāo)

一個成功的應(yīng)急響應(yīng)計劃會預(yù)先定義好安全部門在事件期間要測量的關(guān)鍵性能指標(biāo)（KPI）。要跟蹤的一些比較好的時間相關(guān)測量指標(biāo)包括檢測時間、報告事件的時間、分流時間、調(diào)查時間和響應(yīng)時間。定性的，一些要跟蹤的指標(biāo)包括虛警的數(shù)量、攻擊的性質(zhì)（基于惡意軟件與非惡意軟件）和發(fā)現(xiàn)事件的工具。

保持測試運行

公司應(yīng)在準(zhǔn)備階段考慮好可能發(fā)生的各種泄露事件場景。應(yīng)在團隊培訓(xùn)、桌面練習(xí)和藍(lán)隊紅隊對抗等活動中練習(xí)這些場景。企業(yè)甚至應(yīng)該模擬泄露事件，以便員工在真的出現(xiàn)泄露事件時知道自己應(yīng)該干什么。

在這一階段，公司發(fā)現(xiàn)其弱點和風(fēng)險因素，找出需要密切監(jiān)控的活動，并決定怎樣把安全預(yù)算花出去。如果公司成長非常迅速，那么應(yīng)該每年或者更頻繁地修訂IR計劃。此外，應(yīng)急響應(yīng)計劃應(yīng)包括所有的業(yè)務(wù)規(guī)章制度。

對顯示為良性的警報展開調(diào)查

威脅檢測可以從最初看起來是良性的并且與安全無關(guān)的情形開始。例如，對運行較慢的計算機進行IT調(diào)查可能會發(fā)現(xiàn)機器感染了惡意軟件，調(diào)查對網(wǎng)絡(luò)釣魚攻擊的恐懼程度，以及通過調(diào)查發(fā)現(xiàn)是否有人點擊了可疑鏈接。IT專業(yè)人員在查看技術(shù)問題時一定要檢查是不是有破壞的跡象——即使事件似乎與安全無關(guān)。

公司針對攻擊最好的防御措施是讓用戶受到良好的訓(xùn)練，例如，他們知道在收到有奇怪鏈接的電子郵件后應(yīng)該與安全部門聯(lián)系。

此外，IT和安全部門不要忽視用戶的懷疑。因為一個人的直覺最終可能會發(fā)現(xiàn)泄露事件，因此，一定要重視預(yù)感。

創(chuàng)建統(tǒng)一的數(shù)據(jù)庫

無論公司使用何種方法來檢測威脅，一個重要步驟是把所有事件合并到中央存儲庫中。公司在這方面通常使用SIEM，但有時這不足以在IT環(huán)境中掌握全面情況。

應(yīng)急響應(yīng)團隊一般會嘗試事后為在此環(huán)境下發(fā)生的所有事件建立一個全景視圖。在這一點，建立全面的視圖通常為時太晚，應(yīng)急響應(yīng)團隊最終得到的結(jié)果非常不全面，沒有任何價值。構(gòu)建并維護在整個環(huán)境中都具有連續(xù)性和廣泛可見性的數(shù)據(jù)庫不僅對于法規(guī)要求至關(guān)重要，而且對加快調(diào)查和迅速響應(yīng)也非常重要。

不要忽視工業(yè)控制

許多企業(yè)具有運行工業(yè)系統(tǒng)的設(shè)施，例如煉油廠或者制藥廠。然而，公司可能不認(rèn)為攻擊者會瞄準(zhǔn)這些地方，沒有密切監(jiān)視他們的惡意活動。

在某些情況下，IT或者安全部門以外的其他部門負(fù)責(zé)管理工業(yè)控制系統(tǒng)基礎(chǔ)設(shè)施。該部門的人員可能缺乏密切監(jiān)視這些系統(tǒng)所需的知識，有可能導(dǎo)致忽略了安全問題。

遏制和補救

完全停下來，進行徹底的遏制和補救工作，而不是只解決攻擊的表面癥狀——這是非常有必要的。然而，安全部門通常為一個非常廣泛的問題提供特定的解決方案，這導(dǎo)致相同的攻擊很有可能再次發(fā)生。

遏制和補救計劃必須基于安全部門對事件的調(diào)查結(jié)果。一般而言，開發(fā)的計劃依賴于僅在初步檢測期間收集到的信息。例如，如果SIEM檢測到與C2服務(wù)器的惡意連接，典型的解決方案是終止創(chuàng)建通信的進程，并阻斷防火墻中的IP地址。但是，如果惡意軟件是持續(xù)性的，當(dāng)計算機重新啟動時，它會重新加載，可能使用不同的進程名稱，并與不同的服務(wù)器進行通信。

之后，安全部門就會針對同一種威脅而沒完沒了地進行檢測、遏制和根除工作。另一方面，如果團隊調(diào)查了惡意軟件所采用的技術(shù)和感染媒介，那就會有更好的根除計劃，并可能開發(fā)出預(yù)防計劃。

做好事后預(yù)算和資源計劃

事后工作對于防止安全事件再次發(fā)生至關(guān)重要。然而，公司往往不完全遵循這一步驟。事后工作產(chǎn)生的一些建議需要花費資金，預(yù)算有限的企業(yè)可能不會接受這些步驟。成本較低的選擇包括向SIEM添加新的檢測規(guī)則，而一些較為昂貴的事后步驟則需要雇傭額外的安全分析師或者購買技術(shù)來檢測攻擊。

事后階段也是企業(yè)審查其KPI的績效并確定是否需要進行調(diào)整的階段。例如，安全部門會確定某些檢測規(guī)則導(dǎo)致出現(xiàn)過多的誤報，這些誤報不利于對事件做出迅速響應(yīng)。然后，可以去改進所采用的一組檢測規(guī)則，或者升級到能力更好的其他檢測系統(tǒng)。安全部門還可以決定添加基于用戶報告事件的檢測規(guī)則，而不是基于由SIEM檢測到的事件。

整個企業(yè)的后續(xù)行動

在泄露事件后，企業(yè)應(yīng)準(zhǔn)備好投入時間和金錢進行學(xué)習(xí)和改進。同樣重要的是，學(xué)習(xí)和改進過程不應(yīng)只有IT和安全部門參與。通常情況下，與準(zhǔn)備階段相似，事后工作只關(guān)注安全部門做什么工作——一般是遏制和檢測。

如果事后工作只限于安全部門，那么管理過程雖然會比較容易，但沒有考慮公司中的其他部門應(yīng)如何參與才能提高他們在未來更好地應(yīng)對安全事件的能力。應(yīng)急響應(yīng)需要整個企業(yè)所有部門的合作，而不僅僅是IT和安全部門。