把握安全事件響應的黃金一小時
對於電腦保安事件響應(CSIRT)團隊來說,必須時刻準備好應對突發的網路安全事件。根據過去的處置經驗,在嚴重安全事件後,把握好第一個小時的時間視窗無比重要。當事件發生後,快速制定應急方案,充分調動內外部團隊資源,並讓所有成員搞清楚自己的分工是一項艱鉅但重要的任務。此刻,保持頭腦冷靜、行動周全對於成功處理安全事件至關重要,而如果陷入到焦慮不安的恐慌中,將會嚴重影響事件響應團隊做出正確的決策。
通過對成功應急案例的分析,本文總結了把握安全事件響應黃金一小時的幾個關鍵點,可以幫助企業提升安全事件響應的效果。
要點一:快速瞭解事件相關資訊
在嚴重安全事件突然發生後,如果要充分利用好最關鍵的黃金一小時,不僅需要現場的預案與準確處置,更需要事先全面瞭解資產和潛在對手,提前設定好處置任務的優先順序,這樣才能在需要時迅速做出決策,並在必要時通過使用排除法來發現真相。
在開啟突發安全事件處置流程之前,安全分析師要儘可能全面瞭解事件相關資訊,這需要他們在日常工作中充分熟悉自身的角色和職責。快速變化的IT環境經常需要分析師實時同步更新自己的技能組合,比如瞭解雲端計算、大資料等。在安全事件實際發生後,分析師應迅速識別其負責的所有資產執行狀態,並積極參與到漏洞管理和掃描發現過程。
所收集的安全事件資訊質量決定了事件響應的結果,幫助分析師準確瞭解他們面臨威脅的程度與可能後果。需要指出的是,由於很多攻擊團伙在現在使用“攻擊即服務”的Saas化商業模式,這些攻擊技術並不複雜,CSIRT團隊通過日常積累,就可以對可能面臨的主要威脅提前進行準備。但是在一些比較敏感的場景(比如能源等關鍵基礎設施部門受到攻擊)中,安全分析師需要留意是否存在更多的非常規性攻擊方法。
要點二:和時間賽跑,跳過卡住的問題
警鈴響起,安全團隊需要迅速冷靜下來,準備回答第一個問題:“我在第一個小時應該做什麼?”嚴重事件的第一個小時又叫危機階段,其特點是混亂、恐慌、趕到現場和陷入僵局。但是訓練有素的安全分析師會展開細緻入微的調查工作。
另一方面,在許多情況下,分析師可能往往資訊不全、無法在有限的時間內實施解決方案以及缺少相應的許可權。在這種情況下,事件響應團隊必須清楚地表述其專業知識,並推動工作開展下去。
在進行調查和根本原因分析時,事件響應團隊常常陷入尋找遺失的線索這種困境。這又導致懷疑和猶豫。在嚴重事件後的第一個小時,時間很寶貴。就像參加時間限定的考試一樣,先跳過卡住的問題。
如今,由於很多企業組織廣泛採用了威脅檢測和響應技術,事件響應遏制流程常常得到簡化,這類技術或產品,甚至只需按一下按鈕,即可快速實現網路遏制功能。然而,如果使用傳統的網路遏制工具,其效果可能並不那麼容易實現,此時安全人員需要儘快找到穩妥並可靠的實現辦法。
要點三:找出真相,堵住缺口
也許一小時後,仍有很多問題沒有被解決。現在應該花一些時間思考種種可能性,並列出一份清單。以筆者實際處理過的一起安全事件為例:攻擊者在伺服器上啟動了反向shell。我們決定立即決定遏制這臺伺服器,並收集所有攻擊證據。但是,我們無法弄清楚這臺伺服器是如何被闖入的,於是列出了所有可訪問的服務,仔細檢查了每個服務的相關日誌。
我們起初以為一款IT操作工具是攻陷指標。但最終排除所有可能性,推翻了這種猜測,得出了Web服務存在固有的安全漏洞這一結論。
有時在事後分析期間,安全分析師在瞭解事件相互之間的關係時可能遇到挫折。但只要有足夠的耐心和合理的心態,真相總會浮出水面。
來自 “ 安全牛 ”, 原文作者:aqniu;原文連結:https://www.aqniu.com/industry/81822.html,如有侵權,請聯絡管理員刪除。
相關文章
- 網路安全事件應急響應事件
- 記一次安全應急響應事件事件
- TVSquared:黃金時段電視廣告響應率比平均水平低18%
- 《黃金時代》總結
- 安全響應中心 — 垃圾郵件事件報告(4.18)事件
- 《2021安全事件響應觀察報告》|從安全事件中探尋安全建設發展方向事件
- 早晚餐的“黃金時間”出爐!
- 世界黃金協會:中國金飾市場響應不斷變化的消費者行為
- 深度剖析遊戲直播的黃金時代遊戲
- cc.Node事件響應事件
- 直播+的黃金時代,電商直播系統的應用場景和特色
- 記錄下:iOS事件的事件的傳遞和響應iOS事件
- 他說,程式設計的黃金時代已到程式設計
- Virtuos:影片遊戲重製的黃金時代遊戲
- 《自然》:免疫治療的黃金時間段找到了!
- 理解響應者和響應鏈如何處理事件事件
- 【眼界】NLP 迎來了黃金時代
- Flutter:如何響應觸控事件Flutter事件
- Flutter:如何響應互動事件?Flutter事件
- UIDatePicker事件不響應問題UI事件
- Java進階09 事件響應Java事件
- 事件傳遞和響應鏈事件
- Flutter事件響應原始碼分析Flutter事件原始碼
- 一小時的時間,上手 WebpackWeb
- Flutter 使用者互動事件的響應Flutter事件
- 計算機架構新黃金時代計算機架構
- 世界黃金協會:2022年全球黃金展望
- 資料分析的黃金時期,你再不會就晚了!
- iOS GestureRecognizer與UIResponder touch事件響應iOSUI事件
- C#事件及響應方法概述C#事件
- Windows 應急響應是指在系統出現安全事件或威脅時,採取迅速行動以應對和限制威脅的過程。以下是一個基本的Windows應急響應流程:Windows事件
- 什麼是應急響應?網路安全應急響應體系的要素!
- 可觀察性在事件響應中的作用事件
- 黃金與氣候變化:當前及未來的影響報告
- 黃金礦工
- 提高java程式設計安全性的12條黃金法則Java程式設計
- 黃金芽供應價格-志強茶莊
- 什麼是應急響應?網路安全應急響應的物件是什麼?物件