把握安全事件響應的黃金一小時

安全頻道發表於2022-03-21

對於電腦保安事件響應(CSIRT)團隊來說,必須時刻準備好應對突發的網路安全事件。根據過去的處置經驗,在嚴重安全事件後,把握好第一個小時的時間視窗無比重要。當事件發生後,快速制定應急方案,充分調動內外部團隊資源,並讓所有成員搞清楚自己的分工是一項艱鉅但重要的任務。此刻,保持頭腦冷靜、行動周全對於成功處理安全事件至關重要,而如果陷入到焦慮不安的恐慌中,將會嚴重影響事件響應團隊做出正確的決策。

透過對成功應急案例的分析,本文總結了把握安全事件響應黃金一小時的幾個關鍵點,可以幫助企業提升安全事件響應的效果。

要點一:快速瞭解事件相關資訊

在嚴重安全事件突然發生後,如果要充分利用好最關鍵的黃金一小時,不僅需要現場的預案與準確處置,更需要事先全面瞭解資產和潛在對手,提前設定好處置任務的優先順序,這樣才能在需要時迅速做出決策,並在必要時透過使用排除法來發現真相。

在開啟突發安全事件處置流程之前,安全分析師要儘可能全面瞭解事件相關資訊,這需要他們在日常工作中充分熟悉自身的角色和職責。快速變化的IT環境經常需要分析師實時同步更新自己的技能組合,比如瞭解雲端計算、大資料等。在安全事件實際發生後,分析師應迅速識別其負責的所有資產執行狀態,並積極參與到漏洞管理和掃描發現過程。

所收集的安全事件資訊質量決定了事件響應的結果,幫助分析師準確瞭解他們面臨威脅的程度與可能後果。需要指出的是,由於很多攻擊團伙在現在使用“攻擊即服務”的Saas化商業模式,這些攻擊技術並不複雜,CSIRT團隊透過日常積累,就可以對可能面臨的主要威脅提前進行準備。但是在一些比較敏感的場景(比如能源等關鍵基礎設施部門受到攻擊)中,安全分析師需要留意是否存在更多的非常規性攻擊方法。

要點二:和時間賽跑,跳過卡住的問題

警鈴響起,安全團隊需要迅速冷靜下來,準備回答第一個問題:“我在第一個小時應該做什麼?”嚴重事件的第一個小時又叫危機階段,其特點是混亂、恐慌、趕到現場和陷入僵局。但是訓練有素的安全分析師會展開細緻入微的調查工作。

另一方面,在許多情況下,分析師可能往往資訊不全、無法在有限的時間內實施解決方案以及缺少相應的許可權。在這種情況下,事件響應團隊必須清楚地表述其專業知識,並推動工作開展下去。

在進行調查和根本原因分析時,事件響應團隊常常陷入尋找遺失的線索這種困境。這又導致懷疑和猶豫。在嚴重事件後的第一個小時,時間很寶貴。就像參加時間限定的考試一樣,先跳過卡住的問題。

如今,由於很多企業組織廣泛採用了威脅檢測和響應技術,事件響應遏制流程常常得到簡化,這類技術或產品,甚至只需按一下按鈕,即可快速實現網路遏制功能。然而,如果使用傳統的網路遏制工具,其效果可能並不那麼容易實現,此時安全人員需要儘快找到穩妥並可靠的實現辦法。

要點三:找出真相,堵住缺口

也許一小時後,仍有很多問題沒有被解決。現在應該花一些時間思考種種可能性,並列出一份清單。以筆者實際處理過的一起安全事件為例:攻擊者在伺服器上啟動了反向shell。我們決定立即決定遏制這臺伺服器,並收集所有攻擊證據。但是,我們無法弄清楚這臺伺服器是如何被闖入的,於是列出了所有可訪問的服務,仔細檢查了每個服務的相關日誌。

我們起初以為一款IT操作工具是攻陷指標。但最終排除所有可能性,推翻了這種猜測,得出了Web服務存在固有的安全漏洞這一結論。

有時在事後分析期間,安全分析師在瞭解事件相互之間的關係時可能遇到挫折。但只要有足夠的耐心和合理的心態,真相總會浮出水面。

來自 “ 安全牛 ”, 原文作者:aqniu;原文連結:https://www.aqniu.com/industry/81822.html,如有侵權,請聯絡管理員刪除。

相關文章