事件响应步骤：安全响应的6个步骤

当发生安全事件时，每一秒都很重要。恶意软件感染迅速蔓延，勒索软件可能造成灾难性破坏，被破坏的帐户可用于特权升级，从而使攻击者获得更敏感的资产。

 

无论您的组织规模大小，您都应该拥有一支训练有素的事件响应团队，负责在事件发生时立即采取行动。请继续阅读以学习一个六步过程，该过程可以帮助您的事件响应者在警报响起时更快，更有效地采取措施。

什么是事件响应？

事件响应（IR）是一种用于处理安全事件，破坏和网络威胁的结构化方法。定义明确的事件响应计划使您可以有效地识别，最大程度地减少损害并降低网络攻击的成本，同时查找并修复原因以防止将来遭受攻击。

在网络安全事件中，安全团队将面临许多未知数和疯狂的活动。在这种繁忙的环境中，他们可能无法遵循适当的事件响应程序来有效地限制损害。这很重要，因为安全事件可能是高压事件，您的IR团队必须立即专注于手头的关键任务。在安全事件期间，思路清晰并迅速采取预先计划的事件响应步骤，可以防止许多不必要的业务影响和声誉受损。

通过制定全面的事件响应（IR）计划，可以帮助您的团队对网络安全事件做出完整，快速和有效的响应。此外，完成事故响应计划清单 并开发和部署 投资者关系政策 在您完全制定IR计划之前，它将为您提供帮助。

为什么您应该立即报告网络安全事件？

当安全分析人员确认网络安全事件后，尽快通知相关各方非常重要。隐私法，例如GDPR 加州CCPA要求公开通知，在某些情况下，如果发生数据泄露，则需要通知数据主体。

根据违规的严重程度，应参与法律，新闻和执行管理。在许多情况下，客户服务，财务或IT等其他部门需要立即采取行动。您的事件响应计划应根据违规的类型和严重性明确说明应通知谁。该计划应包括完整的联系方式以及如何与每个相关方进行沟通，以节省攻击后的时间。

网络安全事件发生后应采取的6个事件响应（IR）步骤

第一要务是事先准备一个具体的IR计划。在重大攻击或数据泄露发生之前，您的事件响应方法应经过严格的测试。它应解决NIST定义的以下响应阶段计算机安全事件处理指南 （SP 800-61）。

• 准备–预先计划如何处理和预防安全事件
• 检测和分析–涵盖了从监视潜在攻击媒介到查找事件征兆以及确定优先级的所有内容
• 遏制，根除和恢复–制定遏制策略，识别和缓解受到攻击的主机和系统，并制定恢复计划
• 事后活动–回顾汲取的教训并制定证据保留计划

在概述的NIST阶段的基础上，以下是特定的事件响应步骤，一旦检测到关键安全事件，便应采取以下步骤：

1.  组建您的团队–拥有具有适当技能的适当人员以及相关的部落知识至关重要。任命负责全面应对事件的团队负责人。该人员应与管理层保持直接沟通，以便可以迅速做出重要决策，例如在必要时使关键系统脱机。

在较小的组织中或威胁不严重的地方，您的SOC团队或受管安全顾问可能足以处理事件。但是对于更严重的事件，您应该包括公司的其他相关领域，例如公司沟通和人力资源。

如果您建立了安全事件响应小组（CSIRT），现在是时候激活您的团队了，并招募了所有预先指定的技术和非技术专家。

如果违规行为可能导致诉讼或需要公开通知和补救，则应立即通知法律部门。

2.检测并确定来源。您组建的IR小组应首先确定违规原因，然后确保其得到遏制。

安全团队将从各种各样的指标中意识到事件正在发生或已经发生，包括：

• 组织内的用户，系统管理员，网络管理员，安全人员以及其他人员报告安全事件的迹象
• SIEM或其他安全产品根据对日志数据的分析生成警报
• 文件完整性检查软件，使用哈希算法来检测重要文件何时被更改
• 反恶意软件程序
• 日志（包括与审计有关的数据），应通过以下方式对其进行系统检查，以查看异常和可疑活动：
  • 用户数
  • 外部存储
  • 实时记忆
  • 网络设备
  • 操作系统
  • 云服务
  • 应用领域

3.控制和恢复–安全事件类似于森林大火。一旦检测到事件及其来源，就需要控制损失。这可能涉及为已知被病毒或其他恶意软件感染的计算机禁用网络访问（以便将它们隔离），并安装安全补丁来解决恶意软件问题或网络漏洞。您可能还需要为帐户遭到破坏的用户重置密码，或者阻止可能导致此事件的内部人员帐户。此外，您的团队应备份所有受影响的系统，以保留其当前状态以供日后取证。

接下来，转到任何需要的服务还原，其中包括两个关键步骤：

1. 执行系统/网络验证和测试，以证明所有系统都可以运行。
2. 重新认证所有在操作和安全方面都受到威胁的组件。

确保您的长期遏制策略不仅包括将所有系统恢复生产以支持标准业务运行，还包括锁定或清除启用入侵的用户帐户和后门。

4.评估损坏程度和严重性–在烟雾消失之前，很难把握事件的严重程度及其造成的破坏程度。例如，这是否是由于服务器受到外部攻击而导致的，这些攻击可能会关闭诸如电子商务或预订系统之类的关键业务组件？或者，例如，Web应用程序层入侵是否执行了SQL注入攻击以在Web应用程序的数据库上执行恶意SQL语句，或者潜在地将Web服务器用作从关键后端系统窃取数据或控制关键后端系统的途径？如果涉及关键系统，请升级事件并立即激活CSIRT或响应团队。

通常，请查看事件的原因。如果存在成功的外部攻击者或恶意内部人员，则将事件视为更严重的事件并做出相应的响应。在适当的时候，回顾启动全面功能的利弊网络归因调查。

5.开始通知过程–数据泄露是指由未经授权的个人复制，传输，查看，窃取或使用的敏感，受保护或机密数据的安全事件。隐私法，例如GDPR 和 加州的CCPA如果发生此类数据泄露事件，则需要公开通知。通知受影响的各方，以便他们可以保护自己免受身份盗用或其他因泄露机密个人或财务数据而造成的影响。请参阅Exabeam的博客，了解如何创建违规行为通知信 在发生安全事件之前。

6.从现在开始，以防止将来发生相同类型的事件–安全事件稳定下来后，请检查为防止类似事件再次发生而吸取的教训。这可能包括修补服务器漏洞，培训员工如何避免网络钓鱼诈骗或部署技术以更好地监视内部威胁。可以解决在事发后的活动中发现的安全漏洞或漏洞。

另外，请回顾从事件中汲取的教训，并通过对员工和员工的培训对安全策略进行适当的更改。例如，如果攻击是由于不知情的员工打开Excel文件作为电子邮件附件而引起的，请实施公司范围的策略和培训，以了解如何识别和响应网络钓鱼电子邮件。

最后，更新您的安全事件响应计划以反映所有这些预防措施。

每个组织将根据其独特的IT环境和业务需求采取不同的事件响应步骤。研究行业指南，例如由国家标准技术研究所 确保您的IR计划包括所有必要的事件响应步骤，以在发生网络安全事件时保护您的组织。