信息化觀察網(wǎng)

人非圣賢，孰能無過？但在安全行業(yè)，小過失往往造成大損失。從缺乏計(jì)劃到緊急關(guān)閉事件，這些常見錯誤都會嚴(yán)重破壞應(yīng)急響應(yīng)（IR）工作的有效性，進(jìn)而損害企業(yè)利益。

運(yùn)行良好的網(wǎng)絡(luò)事件響應(yīng)團(tuán)隊(duì)（CIRT）可以通過阻止早期入侵轉(zhuǎn)變成全面的數(shù)據(jù)泄露事件，來證明網(wǎng)絡(luò)安全計(jì)劃的最終保障能力。至少，CIRT可以在事情沒有演變得不可收拾之前，將數(shù)據(jù)泄露的影響降至最低。

盡管當(dāng)前許多網(wǎng)絡(luò)安全組織都部署了早期的網(wǎng)絡(luò)事件響應(yīng)團(tuán)隊(duì)，但是真正實(shí)現(xiàn)良好運(yùn)行的卻并不多。

根據(jù)具備災(zāi)后恢復(fù)工作經(jīng)驗(yàn)的安全專家表示，由于應(yīng)急響應(yīng)（IR）故障，許多事件變得更加糟糕。而且這些故障都是企業(yè)反復(fù)觸及的一些常見錯誤集。為了幫助企業(yè)組織更好地實(shí)現(xiàn)應(yīng)急響應(yīng)，安全專家總結(jié)了top 10失誤點(diǎn)，以及關(guān)于如何規(guī)避這些錯誤的相關(guān)建議。

1. 沒有合適的應(yīng)急響應(yīng)計(jì)劃

毫無疑問，排在第一的應(yīng)急響應(yīng)錯誤就是未能制定適當(dāng)?shù)挠?jì)劃，該計(jì)劃可以在發(fā)生安全事件時有效地指導(dǎo)安全團(tuán)隊(duì)行事。

Digital Guardian網(wǎng)絡(luò)安全副總裁Tim Bandos表示：

“時至今日，我仍然看到很多企業(yè)并未制定適當(dāng)?shù)膽?yīng)急響應(yīng)計(jì)劃來應(yīng)對安全事件。通常來說，這一過程需要雇傭第三方應(yīng)急響應(yīng)團(tuán)隊(duì)參與進(jìn)來，部署代理、收集證據(jù)、執(zhí)行分析等等。這可能會花費(fèi)很多時間，但是結(jié)果一定是值得的。因?yàn)橐溃瑦阂庑袨檎咴谄髽I(yè)環(huán)境中潛伏的越久，他們用于竊取企業(yè)信息的時間也就越多。所以，部署適當(dāng)?shù)挠?jì)劃，及時發(fā)現(xiàn)和阻止攻擊，對于企業(yè)而言是具有高投資回報率的事情。”

對于這種情況，安全顧問和第三方響應(yīng)公司早就察覺到了?？上В匀挥泻芏喙緵]有準(zhǔn)備響應(yīng)計(jì)劃，也沒有遏制和響應(yīng)策略，甚至也沒有適當(dāng)?shù)纳売?jì)劃。

Kudelski Security首席執(zhí)行官Andrew Howard表示：

“我們的應(yīng)急響應(yīng)小組還發(fā)現(xiàn)，客戶對于應(yīng)對違規(guī)行為時所面臨的威脅普遍缺乏了解。造成這種缺乏了解和準(zhǔn)備的因素有很多：其中一個就是，許多網(wǎng)絡(luò)事件響應(yīng)程序在創(chuàng)建之初都沒有考慮任何策略，取而代之的是，創(chuàng)建一個團(tuán)隊(duì)并提供一組威脅檢測或威脅情報工具，然后要求他們進(jìn)行操作。不幸的是，如果沒有驅(qū)動整個團(tuán)隊(duì)的理念和計(jì)劃，這只會造成一種虛假的安全感。”

2. 無法測試計(jì)劃可行性

Beyond Security首席執(zhí)行官Aviram Jenik表示，如果最大的錯誤是根本不具備應(yīng)急響應(yīng)計(jì)劃的話，那么緊隨其后的就是永遠(yuǎn)不會實(shí)際地測試計(jì)劃的可行性和有效性。

Jenik表示：

“記住，每個企業(yè)都可以制定一份計(jì)劃，但是計(jì)劃有效性如何，也許只有到直面挑戰(zhàn)的那一天才知曉。為了最大限度地降低攻擊影響，您需要應(yīng)急響應(yīng)小組介入，來檢測該計(jì)劃的可行性和有效性。”

進(jìn)行測試的方法有很多種，應(yīng)該從程序級別，桌面練習(xí)以及技術(shù)級別（如定期的紅隊(duì)練習(xí)）進(jìn)行驗(yàn)證。此外，安全專家還建議可以使用更高級的預(yù)檢和模擬對所有部件進(jìn)行進(jìn)一步測試。

Optiv公司威脅管理技術(shù)總監(jiān)Curtis Fechner稱：

“涵蓋單個遵從性驅(qū)動方案的基本桌面練習(xí)，可能無法提供足夠的維度來驗(yàn)證該計(jì)劃的基本原理是否合理，并切實(shí)地支持企業(yè)級別的應(yīng)急響應(yīng)（IR）可執(zhí)行計(jì)劃。認(rèn)真對待這項(xiàng)測試以推動持續(xù)改進(jìn)至關(guān)重要。”

3. 計(jì)劃中暗藏過時細(xì)節(jié)

定期進(jìn)行安全測試可以幫助減少另一項(xiàng)常見錯誤：應(yīng)急響應(yīng)計(jì)劃成為過時品。

Pen Test Partners公司取證顧問Andrew Bassi表示：

“應(yīng)急響應(yīng)程序的生命歷程大致是這樣的：編寫完成、擱置、蒙塵、攻擊來襲再匆忙將其挖掘出來。屆時，最初設(shè)定的聯(lián)系人可能早已離職或者更換他人，而且過程也可能不適用當(dāng)前環(huán)境中所部署的硬件/軟件。”

Bassi建議，雖然不一定每次公司更換平臺時都需要編寫新計(jì)劃，但確實(shí)需要定期對其進(jìn)行審查以獲取更新信息。

除此之外，還可以在某些部分（如升級計(jì)劃）編寫得足夠通用一些，這樣就不會過時得那么快。比如，工作流應(yīng)該按部門、職務(wù)或角色指定負(fù)責(zé)的人員或小組，而不是按個人姓名來，以此避免人員流動帶來的問題。總之，所有的人機(jī)交互都應(yīng)該是通用的，但要精確地確定所有權(quán)——例如，指定數(shù)據(jù)隱私官或云安全架構(gòu)師，而不是John或Sandy。

4. 缺少自動化的最佳選擇

自動化可以大大提高應(yīng)急響應(yīng)程序的效率和效果。其背后的原理是，通過適當(dāng)?shù)淖詣踊?，以削減低價值的手動勞作，同時還可以將更適合人工決策的任務(wù)交給最精明的分析人員處理，實(shí)現(xiàn)了人員效益最大化。

RedSeal的首席技術(shù)官M(fèi)ike Lloyd表示：

“有些組織會因?yàn)樽詣踊潭炔蛔?，或者?yīng)急響應(yīng)過程遇到困難而最終迷失其中，空留一個響亮的口號。還有一部分組織則適得其反，過度地利用了自動化，完全沒有意識到機(jī)器決策仍然存在不足，致其成為攻擊者的攻擊入口。”

5. 在弄不清狀況的情況下工作

為可靠的應(yīng)急響應(yīng)實(shí)踐奠定的一些最佳基礎(chǔ)，也是實(shí)現(xiàn)良好的IT管理和安全管理的解決方案。包括進(jìn)行一些資產(chǎn)發(fā)現(xiàn)和分類等“發(fā)現(xiàn)自我”的工作。

要知道，未能解決資產(chǎn)清單或數(shù)據(jù)分類及管理等方面的問題，將會導(dǎo)致諸多錯誤。不知道自己在保護(hù)什么，或者企業(yè)最寶貴的東西是什么，在哪里，就很難制定合理的投資者關(guān)系策略。

6. 讓威脅行為持續(xù)太久

警報優(yōu)先級和分類是管理分析工作負(fù)載的重要組成部分。但是，簡單地根據(jù)關(guān)鍵高點(diǎn)對操作進(jìn)行優(yōu)先級排序，而忽略低級和不明顯的威脅行為，可能會使導(dǎo)致某些異?；顒颖缓雎?，直至發(fā)生入侵事件才悔之晚矣。

這種僅遵循優(yōu)先級處理威脅的方法所存在的問題在于，一些低級的威脅可能會在企業(yè)網(wǎng)絡(luò)中潛伏很久很深，而無法被視為優(yōu)先事項(xiàng)進(jìn)行處理。而如果組織可以在流程的較早階段發(fā)現(xiàn)并組織該威脅，實(shí)際上可以更好地減輕企業(yè)組織面臨的風(fēng)險。

針對該問題，可以通過更平衡的應(yīng)急響應(yīng)工具組合以及諸如威脅捕獲之類的積極實(shí)踐來解決。

7. 結(jié)案太快

采取最快的速度結(jié)案，并且不去深究引發(fā)問題的根本原因以及惡意活動的相關(guān)跡象等問題，可能會導(dǎo)致問題的進(jìn)一步擴(kuò)散和惡化，而應(yīng)急響應(yīng)團(tuán)隊(duì)很可能只是在跟表面現(xiàn)象做斗爭，而并未將問題扼殺在萌芽狀態(tài)。

Sophos托管威脅響應(yīng)高級總監(jiān)JJ Thompson表示：

“通過避開需要費(fèi)時挖掘的關(guān)鍵問題，來盡快結(jié)案或贏得勝利，通常會導(dǎo)致更廣泛的傳播問題。通常情況下，這些惡意軟件或明顯的入口點(diǎn)都是假定的，但由于技術(shù)限制而未經(jīng)驗(yàn)證，這可能會導(dǎo)致應(yīng)急響應(yīng)團(tuán)隊(duì)、法務(wù)人員和行政人員之間產(chǎn)生誤會，從而導(dǎo)致錯誤的違規(guī)報告。”

8. 缺乏合作和溝通

無論響應(yīng)者是在安全運(yùn)營中心（SOC）還是遠(yuǎn)程辦公，成功的應(yīng)急響應(yīng)計(jì)劃都能使團(tuán)隊(duì)成員緊密協(xié)作，并且更高效地合作處理案件。由于新冠疫情持續(xù)蔓延，應(yīng)急響應(yīng)團(tuán)隊(duì)現(xiàn)在必須采用新的遠(yuǎn)程工作策略，這也使得他們投入了更多精力在通信方法和渠道上。通過小組聊天、共享的跟蹤表和團(tuán)隊(duì)電話會議，團(tuán)隊(duì)成員間能夠輕松地共享數(shù)據(jù)以及相關(guān)的事件信息，這些都比以往任何時候都更為重要。

IBM X-Force網(wǎng)絡(luò)應(yīng)急響應(yīng)團(tuán)隊(duì)的首席技術(shù)官Chris Scott表示：

“由于此次全球危機(jī)，辦公室內(nèi)的溝通對話減少了。而一旦溝通和協(xié)作中斷，圍繞安全事件的背景信息就會丟失。只有擁有正確的背景信息，人們才有可能做出最佳決策。”

9. 在不設(shè)置腳本的情況下執(zhí)行

僅僅制定總體性和戰(zhàn)略性的應(yīng)急響應(yīng)計(jì)劃是遠(yuǎn)遠(yuǎn)不夠的。應(yīng)急響應(yīng)團(tuán)隊(duì)還需要針對常見情況制定戰(zhàn)術(shù)計(jì)劃，以此來節(jié)省響應(yīng)時間和簡化操作流程。

這就是為什么有些安全專家指出，最大的錯誤之一就是在沒有腳本和設(shè)定程序的情況下處理事件。

By Light公司首席技術(shù)官Ken Jenkins表示：

“企業(yè)必須設(shè)定團(tuán)隊(duì)將要響應(yīng)的特定類型的事件，并制定逐步的程序，而這些程序必須確?？梢栽诋?dāng)下最激烈的攻擊事件中運(yùn)行。關(guān)于這些程序越詳細(xì)越好。”

10. 缺乏時間觀念的事件通知

當(dāng)涉及內(nèi)部和外部違規(guī)通知時，時間就是一切。而企業(yè)組織犯下的最大錯誤之一就是過早或過遲地傳達(dá)違規(guī)通知。

過早溝通會導(dǎo)致無法回答諸多細(xì)節(jié)問題，或無法為組織和第三方的潛在風(fēng)險和影響提供更多見解。而過晚溝通又會帶來無法及時發(fā)現(xiàn)和處理事件的感覺。