网络安全事件响应管理及最佳实践介绍

随着网络攻击在数量、多样性和复杂性上的不断增长,除了更具破坏性和破坏性之外,组织必须准备好有效处理它们。

除了部署有效的安全解决方案和实践外,他们需要快速识别和解决attacks,从而确保最小的损害、中断和成本。

每个IT系统都是网络攻击的潜在目标,大多数人都认为这不是一个问题,而是一个问题。然而,如何快速有效地解决问题对影响有所不同,因此需要事故响应准备。

网络安全事故响应(IR)是指组织采取的一系列流程来应对其IT系统遭受攻击的过程。这需要正确的硬件和软件工具的组合,以及适当的规划、流程、培训和全体组织成员的支持。

安全事故前、中、后的最佳实践

当发生网络攻击时,可能会同时进行多种活动,如果没有协调或适当的事故处理程序,这可能会令人繁忙。

然而,提前准备并建立明确且易于理解的事故响应计划和政策可以使安全团队协调工作。这使他们能够专注于限制对其IT系统、数据和声誉的潜在损害,并避免不必要的业务中断。

准备事故响应计划

事故响应计划记录在发生攻击或其他安全问题时要遵循的步骤。尽管实际步骤可能因环境而异,但基于SANS(SysAdmin,Audit,Network和Security)框架的典型流程将包括准备、识别、遏制、消除、恢复、通知事件以及事后审查。

事故响应流程(基于NIST模板)图像 NIST

准备阶段包括制定一个计划,其中包含计算机事件响应团队(CIRT)将遵循以解决事故的实际程序和相关信息。

这些包括:

  • 负责事故响应过程中每个步骤的特定团队和个人。
  • 定义什么构成事故,包括什么类型的响应。
  • 需要更多保护和保障的关键数据和系统。
  • 为法证目的保留受影响系统的受影响状态的方法。
  • 确定何时以及向谁通报安全问题的程序。当发生事故时,可能需要通知受影响的用户、客户、员工执法人员等,但这将因行业和案例而异。

事故响应计划必须易于理解和实施,并与其他计划和组织政策保持一致。然而,策略和方法在不同行业、团队、威胁和潜在损害之间可能会有所不同。定期测试和更新可确保计划有效。

发生网络攻击时的事故响应步骤

一旦出现安全事故,团队应迅速高效地采取行动,遏制并防止其蔓延到干净的系统。以下是解决安全问题时的最佳实践。然而,这些可能因组织的环境和结构而有所不同。

组建或参与计算机事故响应团队

确保内部或外包的多学科CIRT团队拥有具备正确技能和经验的合适人员。从中选择一位团队领导者,该领导者将成为指导方向和确保响应按计划和时间表进行的关键人物。领导者还将与管理层紧密合作,特别是在涉及运营方面的重要决策时。

确定事件并确定攻击的类型和来源

一旦出现威胁迹象,IR团队应迅速采取行动以验证它确实是一个安全问题,无论是内部还是外部的,同时确保尽快控制住它。确定存在问题的典型方法包括但不限于:

  • 来自安全监控工具的警报、系统内部故障、异常行为、意外或异常的文件修改、复制或下载等
  • 用户、网络或系统管理员、安全人员或外部第三方合作伙伴或客户的报告。
  • 具有异常用户或系统行为迹象的审计日志,例如多次登录失败尝试、大容量文件下载、高内存使用率和其他异常行为。
Varonis安全事件自动警报 – 图片 Varonis 

评估和分析攻击的影响

攻击造成的损害因其类型、安全解决方案的有效性和团队响应的速度而异。通常情况下,在完全解决问题之前很难看到损害的程度。分析应确定攻击的类型、影响以及可能受到影响的服务。

查找攻击者可能留下的任何痕迹并收集有助于确定活动时间表的信息也是良好的做法。这涉及分析受影响系统的所有组件、捕获相关信息,并确定每个阶段可能发生了什么。

根据攻击的程度和发现情况,可能需要将事件升级给相关团队。

遏制、消除威胁和恢复

遏制阶段包括阻止攻击的传播以及将系统恢复到初始运行状态。理想情况下,CIRT团队应识别威胁和根本原因,通过阻止或断开被入侵系统、清除恶意软件或病毒、阻止恶意用户和恢复服务来消除所有威胁。

他们还应确定和解决攻击者利用的漏洞,以防止将来发生类似事件。典型的遏制措施包括短期和长期措施以及当前状态的备份。

在恢复干净的备份或清理系统之前,将受影响系统的状态进行备份非常重要。这是为了保留当前状态,这在取证时可能会有用。备份完成后,下一步是恢复中断的服务。团队可以分两个阶段实现这一点:

  • 检查系统和网络组件,以验证所有组件的正常工作
  • 重新检查受感染或受损组件,确认它们现在是安全、干净和可操作的。

通知和报告

事件响应团队进行分析、响应和报告。他们需要探索事件的根本原因,记录对事件的影响、问题解决方法和恢复策略的发现,同时将相关信息传递给管理层、其他团队、用户和第三方供应商。

与外部机构和提供商的沟通图像 NIST

如果违规涉及到需要通知法律执法机构的敏感数据,团队应该发起此事,并按照他们的IT政策中制定的程序进行。

通常,攻击会导致机密、个人、私人和商业信息等敏感数据的盗窃、滥用、损坏或其他未经授权的活动。因此,通知受影响的人是至关重要的,这样他们可以采取预防措施并保护他们的关键数据,如财务、个人和其他机密信息。

例如,如果攻击者成功访问用户账户,安全团队应通知他们并要求他们更改密码。

进行事后事件审查

解决事故还可以提供经验教训,团队可以分析他们的安全解决方案,并解决弱点,以预防将来类似的事故。一些改进措施包括为内部和外部威胁部署更好的安全和监控解决方案,向员工和用户普及诸如钓鱼、垃圾邮件、恶意软件等安全威胁,以及他们应该避免的其他威胁。

其他保护措施包括运行最新和有效的安全工具,修补服务器,解决客户端和服务器计算机上的所有漏洞等。

尼泊尔NIC Asia银行事件响应案例研究

不足的检测能力或响应可能导致过大的损失和损失。一个例子是尼泊尔NIC Asia银行的案例,在2017年遭受业务过程妥协后,失去了一部分资金,并成功追回了一部分资金。攻击者破坏了SWIFT,并将资金欺诈性地转移到了英国、日本、新加坡和美国的各种账户。

幸运的是,当局发现了非法交易,但只成功追回了被盗的一部分资金。如果有一个更好的警报系统,安全团队可能会在攻击者成功进行业务过程妥协之前的早期阶段就发现事件。

由于这是一个涉及其他国家的复杂安全问题,银行不得不通知执法和调查机构。此外,范围超出了银行内部事件响应团队的职责,因此有来自毕马威、中央银行等外部团队的参与。

中央银行的外部团队进行的法证调查确定,此事可能是由内部违规行为导致关键系统暴露。

根据一份报告,当时的六名操作员使用专用的SWIFT系统电脑进行其他无关任务。这可能导致SWIFT系统暴露,使攻击者能够破坏它。事发后,银行将这六名员工调到了其他不那么敏感的部门。

得到的教训:除了创建适当的安全意识并执行严格的政策外,银行还应该部署一种有效的monitoring and alerting system

结论

一个精心策划的事故响应、优秀的团队以及相关的安全工具和实践能够使您的组织能够快速行动并解决各种安全问题。这减少了损害、服务中断、data theft、声誉损失和潜在责任。

类似文章