比遭到网络攻击更糟糕的事,莫过于在遭到攻击的同时还没有一个可靠的安全事件响应计划。

复杂的APT攻击往往把目标放在信用卡公司、银行、零售商、医疗设施、连锁酒店等高价值对象上。这些目标往往存有大量的信用卡以及其他个人信息。另一方面,没有任何一家公司,不论规模大小和所在行业,都难免遭到内部攻击或者勒索软件、钓鱼、DoS、或者任何莫名恶意软件的打击。

根据公司对攻击的响应能力不同,往往会有不同的结果:也许能快速限制事件影响范围,并迅速回到日常业务中;或者使得公司名誉在未来几年都遭到损害。

根据Ponemon Institute的2019年数据泄露成本报告,在全球范围内,一次事件的平均损失高达390万美元;而如果有一支安全响应团队则能将一次泄露事件的损失降低36万美元。另一方面,如果企业能在200天内完成整个事件响应生命周期(检测、限制、清除、修复、重建),能减少120万美元的损失。

企业还需要意识到,只有67%的数据泄露损失是在第一年发生的;22%是在第二年重建企业声誉的时候产生,客户流失速度降低,并且会有新的客户出现。剩下的损失会在三年后作为长久效应留存。

制定事件响应计划看上去会很麻烦,但是分步处理会方便很多。将事件响应作为一个完整的循环来看:在威胁造成任何损失之前进行识别、泄露发生时迅速阻断、将攻击中被利用的安全缺口修复、在事件中吸取教训用于今后的防范。换句话说,计划需要涵盖事前、事中、事后三个阶段的活动。

1.建立一支安全响应团队

一旦遭到攻击,千万不要让自己的事件响应团队孤立无援地去处理。一个事件响应团队不仅需要有最有能力的IT安全人员,还需要公司内部的广泛参与。

事件响应团队极度需要高层管理的帮助。在企业领导层的支持下,IT主管能找到有能力制定计划的,并且对他们进行培训,明确他们的位置和责任。

某些大规模的跨国企业,可能需要多个团队,根据不同区域的语言和法律法规,进行应对。

除了安全专家之外,还需要能在企业内部,对技术人员和关键的相关利益者(董事会、高级管理层等)进行沟通。同样,商业伙伴、供应商和供应链中的的其他第三方都需要被迅速通知到。

律师和审计师在这一过程中需要处理多个事宜,包括合规、法律责任,以及应对执法部门。企业还需要一个危机公关团队,从公共层面缓解泄露带来的负面影响。客户需要被告知事件及其影响;同时在某个时间段需要重建客户信心。

团队需要一个事件响应经历去管理,另需要一个专门的人员进行文档记录。团队之间需要清晰的沟通路径与联系方式,同时确保在某些关键团队成员度假或者因事缺席时能马上找到顶替的人。

另一方面,对不同人员(IT管理、高层管理、涉及部门、客户、媒体等)发表的事故细节,也需要有明确的规范。

一旦攻击者依然潜伏在内部,并且对内部沟通进行监听,那么显然使用电子邮件、内部消息、协同办公应用等进行沟通是不可靠的。因此,在计划中需要考虑到如何让相关成员能够聚集到一起,面对面进行沟通,避免响应方案的外泄。

事件响应计划不能只停留于纸面,企业需要花时间进行演戏,确保每个人都知道在真的事件发生时需要做什么。

2.创建工具手册

企业必须创建手册,从而全面、详细地指导如何应对安全事件。可以说没有工具手册,那就没有真正意义上的事件响应计划。

工具手册需要涵盖事前准备、检测、分析、限制、根除、重建和事件后处理。工具手册的关键在于需要足够详细到具体角色、责任和流程都在手册中清晰明了地表现。另一方面,鉴于没有人能预测泄露的类型和严重程度,工具手册也要一定程度的灵活性,允许相关人员在条件允许的情况下临场发挥。

企业还需要随着环境发生改变与威胁演进的时候持续对工具手册进行升级。同样,在事件响应团队对威胁进行响应后,需要将新获取的经验融入到工具手册中。诸如行业协会、其他分析师、同行经验等外部资源,也能加入工具手册中。

3.预防与准备

显然,最好的事件响应计划是与防御未然。企业应该对漏洞情况进行评估,并通过其他类型的分析识别安全隐患。企业还需要教育他们的员工,养成良好的安全习惯,包括创建高强度的密码、不去点击钓鱼信息等。预防阶段还需要确保在攻击事件中所需要的各种工具是随时可用的。

企业同样需要对数据和应用的企业价值进行完整的评估。通过这个步骤,安全团队可以发现企业中对攻击者最具价值的数据和应用,从而对这些数据和应用进行加强防护。

Ponemon的报告中提到,发现数据泄露的平均时长竟高达197天,而在发现泄露事件后对其进行限制只需要69天。这代表了攻击者在被发现以后,可能已经在内部系统里躲藏了6个月。

这种情况发生的原因可能在于企业缺乏一个完善的事件响应计划。根据IDC在Splunk赞助下进行的一项调查发现,只有40%的被调查对象有完整的事件响应计划,而只有14%的受访者有一个自动化响应管理平台。这就导致了安全分析师会被大量告警淹没,从而无法精确发现正确的告警。2/3的受访企业表示自己每周都要经历一次攻击,30%的企业每天都要受到攻击,而有10%的企业甚至每小时都在受到攻击。

在这种持续攻击的环境中,只有27%的受访企业表示对防住这样程度的攻击有信心,28%的企业表示难于应付,而还有5%的企业则表示只能总是亡羊补牢。安全团队在面临海量攻击时,却没有适合的工具、流程和计划去管理他们的事件响应活动。

而在另一项由Imperva进行的研究调查中发现,平均每个SOC的分析师每天发现20-26个事件。在这种密集的告警下,安全人员往往会修改他们的策略以收到更少的告警。53%的受访者表示,企业的SOC很难精确划分严重的安全事件以及纯粹的告警噪音。

减少背景噪音最有效的方法是通过自动化和事件响应的编排。根据Ponemon报告,自动化能减少150万数据泄露产生的损失,并且改善预防、检测、响应和限制攻击的进一步发生。在自动化的帮助下,安全分析师能够更有效地工作,并且基于更精确的信息采取措施。自动化偏偏能力能使事件响应速度快40倍。

4.识别和限制

当安全人员发现一个潜在的事件后,技术层面的响应团队需要马上采取行动,对更大范围的企业成员进行告警,同时和整个事件响应团队协作,收集信息,确定事件类型和严重程度,并且记录下他们做的每一步。

第一目标是将事件影响范围进行限制,避免进一步损害扩散。这一步骤当中包括了多个安全行为,包括对网络进行隔离、下线被攻击服务器、将任何被攻击资产划入隔离区等。

长远目标则是将系统重新回归生产,公司能够进行正常业务运营。由于事件响应分析师可能依然在查看攻击者是如何进入系统的、获取了哪些信息以及攻击是否依然在持续等问题,这项任务会显得尤为复杂。而下一步就是发现事件的根源,然后解决这个问题,并确保将来系统不会受到类似的攻击。

在重建阶段,企业需要将受到影响的业务系统重新上线,包括对系统进行测试,验证这些业务系统能否正常运作,并且对系统进行监控,确保一切正常。

重建之后是全面的修复。举例而言,如果攻击者通过POS机作为入口进行攻击,公司就需要重新审阅一下他们围绕POS的安全策略和安全流程。如果攻击利用了被破解的口令,组织就需要重新考虑他们的口令策略,并采用双因子验证的方式。

5.事件后分析

事件结束后,企业需要花时间进行一次彻底的调查,确定事件的起因、计算损失、并且制定策略预防类似事件的再次发生。

事件的起因可能是安全团队的失误,比如进行了错误的配置;也可能是终端的某个用户点击了钓鱼链接;也可能是从内部人员发起的攻击。但是无论问题的根源是什么,收集这些信息能够帮助企业专注于自己的薄弱之处,防范未来的事件。所有这些经验都需要被收入工具手册之中。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。