信息化觀察網(wǎng)

本文來(lái)自科技云報(bào)道。

技術(shù)永遠(yuǎn)都是把雙刃劍，這在攻防不斷交織的網(wǎng)絡(luò)安全領(lǐng)域，表現(xiàn)的尤為突出。

隨著創(chuàng)新性技術(shù)的涌現(xiàn)，攻擊者的攻擊能力也在不斷提高。

例如，物聯(lián)網(wǎng)設(shè)備和云計(jì)算等技術(shù)的發(fā)展極大擴(kuò)展了應(yīng)用場(chǎng)景的范圍，但也使得攻擊者更容易訪問(wèn)用戶的關(guān)鍵數(shù)據(jù)。

為快速應(yīng)對(duì)安全問(wèn)題，盡可能的降低安全事件造成的損失，進(jìn)行有效事件響應(yīng)（Incident Response,IR）成為企業(yè)的優(yōu)選方案。

安全事件響應(yīng)：

保持網(wǎng)絡(luò)彈性的關(guān)鍵步驟

根據(jù)IBM的《X-Force威脅情報(bào)指數(shù)2022》報(bào)告，2019年第三季度至2020年第四季度期間，物聯(lián)網(wǎng)惡意軟件活動(dòng)增加了3000%。

但情況“沒(méi)有最壞，只有更壞”，2021年的數(shù)據(jù)再次打破了記錄。

根據(jù)身份盜竊資源中心(Identity Theft Resource Center)2021年的數(shù)據(jù)泄露報(bào)告，去年共發(fā)生1862起數(shù)據(jù)泄露事件，高于2020年的1108起。

這些數(shù)據(jù)強(qiáng)調(diào)了一個(gè)殘酷的事實(shí)，即每個(gè)組織都應(yīng)為最壞的情況做準(zhǔn)備。而最有效的方法是制定為響應(yīng)任何安全事件將采取的詳細(xì)步驟。

事件響應(yīng)是對(duì)安全問(wèn)題和事件的有計(jì)劃的反應(yīng)。

例如，在遭遇或可能遭遇安全事件時(shí)，安全團(tuán)隊(duì)在試圖保證數(shù)據(jù)完好性的同時(shí)如何反應(yīng)，采取哪些行動(dòng)來(lái)減少損失，以及何時(shí)能夠恢復(fù)資源。

Palo Alto Networks（派拓網(wǎng)絡(luò)）近期發(fā)布的《2022年Unit 42事件響應(yīng)報(bào)告》指出，總體而言，勒索軟件和商業(yè)電子郵件泄露（BEC）是事件響應(yīng)團(tuán)隊(duì)在過(guò)去12個(gè)月中做出響應(yīng)的首要事件類型，約占事件響應(yīng)案例的70%。

事件響應(yīng)案例中受影響最大的行業(yè)包括金融、專業(yè)和法律服務(wù)、制造、醫(yī)療保健、高科技以及批發(fā)和零售。

這些行業(yè)內(nèi)的企業(yè)往往會(huì)存儲(chǔ)、傳輸和處理大量攻擊者可以從中獲利的敏感信息。

此外，在該報(bào)告中還能看到許多細(xì)分?jǐn)?shù)據(jù)，能夠幫助企業(yè)用戶正確認(rèn)識(shí)事件響應(yīng)案例中的具體威脅類型。

例如，在一半的事件響應(yīng)案例中，企業(yè)在面向互聯(lián)網(wǎng)的關(guān)鍵系統(tǒng)上缺乏多因素身份驗(yàn)證解決方案；

在13%的案例中，企業(yè)沒(méi)有針對(duì)暴力憑據(jù)攻擊采取措施鎖定帳戶；

在28%的案例中，不合格的補(bǔ)丁管理程序?qū)е鹿粽哂袡C(jī)可乘；

在44%的案例中，企業(yè)沒(méi)有端點(diǎn)檢測(cè)和響應(yīng)（EDR）或擴(kuò)展檢測(cè)和響應(yīng)（XDR）安全解決方案，或是沒(méi)有完全部署在最初受影響的系統(tǒng)上以檢測(cè)和對(duì)惡意攻擊做出響應(yīng)；

75%的內(nèi)部威脅案例涉及企業(yè)前員工。

雖然我們無(wú)法100%地阻止網(wǎng)絡(luò)攻擊，但可以通過(guò)加強(qiáng)事后響應(yīng)及恢復(fù)能力，將損失降至最低。

2021年的RSA大會(huì)主題是Resilience（彈性），構(gòu)建網(wǎng)絡(luò)彈性的能力可以理解為預(yù)防、抵御、恢復(fù)、適應(yīng)那些施加于含有網(wǎng)絡(luò)資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。

因此，安全事件響應(yīng)能力成為關(guān)鍵一環(huán)。

理想的豐滿與現(xiàn)實(shí)的骨感

事件響應(yīng)不招待見(jiàn)？

根據(jù)Shred-it在2021年發(fā)布的一份數(shù)據(jù)保護(hù)報(bào)告，10名企業(yè)領(lǐng)導(dǎo)者中有4名將未來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn)評(píng)為為4或5（5分制，5為最高風(fēng)險(xiǎn)），并且超過(guò)一半的受訪企業(yè)并沒(méi)有部署事件響應(yīng)計(jì)劃。

這表明一些企業(yè)雖然了解風(fēng)險(xiǎn)，但未能充分采取保護(hù)其關(guān)鍵數(shù)據(jù)的措施。

因此，一旦發(fā)生安全事件，企業(yè)響應(yīng)可能會(huì)很慢甚至束手無(wú)策，從而導(dǎo)致代價(jià)高昂的損失。

1/3的人更傾向于入侵防御而不是事件響應(yīng)。這是根據(jù)2022年5月的一份名為“Breaches Prompt Changes to Enterprise IR Plans and Processes”的報(bào)告得出的結(jié)果。

該調(diào)查針對(duì)188名IT和網(wǎng)絡(luò)安全專業(yè)人士進(jìn)行了分析，以了解其真實(shí)的事件響應(yīng)想法和能力。

上圖數(shù)據(jù)顯示，共有34%的受訪者表示他們更愿意將80%（21%的受訪者）、90%（10%的受訪者）或100%（3%的受訪者）的資源用于入侵防御而不是事件響應(yīng)。

另有34%的人也優(yōu)先考慮防御。兩年間的數(shù)據(jù)類似，表明這一趨勢(shì)并沒(méi)有多大變化。

以上結(jié)果表明，組織在防御方面仍然比響應(yīng)和修復(fù)更加重視，事件響應(yīng)缺失的現(xiàn)象還很突出。

無(wú)獨(dú)有偶，2021年，Wakefield Research進(jìn)行的一項(xiàng)調(diào)查顯示，36%的公司沒(méi)有制定詳細(xì)的事件響應(yīng)計(jì)劃。

并且，人們對(duì)外圍防御技術(shù)的興趣很高，72%的人表示入侵防御和檢測(cè)措施仍然有效。

然而，來(lái)自政府和網(wǎng)絡(luò)保險(xiǎn)公司的壓力可能會(huì)使得企業(yè)轉(zhuǎn)向事件響應(yīng)。

2022年3月15日,美國(guó)總統(tǒng)拜登正式簽署了《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法》，要求關(guān)鍵基礎(chǔ)設(shè)施行業(yè)公司在遭遇網(wǎng)絡(luò)事件時(shí)要在72小時(shí)內(nèi)向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）報(bào)告，在遭受勒索軟件攻擊而支付贖金后24小時(shí)內(nèi)向CISA報(bào)告，并采取補(bǔ)救措施。

雖然該法律僅適用于被劃定的16個(gè)關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，但它為其他希望制定事件響應(yīng)計(jì)劃的組織指明了方向。

制定事件響應(yīng)策略

我國(guó)的網(wǎng)絡(luò)安全法規(guī)定，“國(guó)家支持網(wǎng)絡(luò)運(yùn)營(yíng)者之間在網(wǎng)絡(luò)安全信息收集、分析、通報(bào)和應(yīng)急處置等方面進(jìn)行合作，提高網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保障能力”“國(guó)家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度”“國(guó)家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練”。

這為網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)提供了制度依據(jù)。

事件響應(yīng)能力是可以通過(guò)做出準(zhǔn)備來(lái)獲得。一個(gè)良好的事件響應(yīng)策略應(yīng)易于遵循，畢竟安全事件是全天候都可能發(fā)生的，其突發(fā)性可能會(huì)使得未做好充分準(zhǔn)備的安全團(tuán)隊(duì)措手不及。

安全事件響應(yīng)策略的主要目標(biāo)是為團(tuán)隊(duì)的所有成員定義在發(fā)生（或疑似發(fā)生）安全事件后必須遵循的流程。

該策略應(yīng)包含響應(yīng)、監(jiān)控程序、任何違規(guī)行為以及因未遵守策略而進(jìn)行處罰的詳細(xì)信息。安全事件響應(yīng)策略應(yīng)包括如下幾個(gè)要素：

●整體事件響應(yīng)策略

●事件響應(yīng)團(tuán)隊(duì)的角色定義

●響應(yīng)過(guò)程和恢復(fù)程序的制定

●事件溯源及確定根因的方法

●建立未來(lái)預(yù)防措施的方法

SANS的事件響應(yīng)報(bào)告則將事件響應(yīng)聚焦在三個(gè)度量指標(biāo)：從失陷到檢出的時(shí)長(zhǎng)（也稱dwell time駐留時(shí)間）、從檢出到遏制的時(shí)長(zhǎng)，以及從遏制到修復(fù)的時(shí)長(zhǎng)。

主要的安全流程包括：隔離感染主機(jī)，阻斷C2惡意IP地址，關(guān)閉/下線系統(tǒng)，恢復(fù)失陷主機(jī)鏡像，移除流氓文件，從網(wǎng)絡(luò)中隔離感染機(jī)器并進(jìn)行修復(fù)，識(shí)別與受感染系統(tǒng)相似的系統(tǒng)，基于已知IoC更新策略和規(guī)則，殺死流氓進(jìn)程，在不重啟系統(tǒng)的條件下刪除被感染主機(jī)的文件和注冊(cè)表鍵值，徹底重建端點(diǎn)，重啟系統(tǒng)，遠(yuǎn)程部署/升級(jí)，從可移動(dòng)存儲(chǔ)設(shè)備上重啟系統(tǒng)并遠(yuǎn)程修復(fù)系統(tǒng)等。

Gartner近期發(fā)布的響應(yīng)網(wǎng)絡(luò)安全事件工具手冊(cè)，也為企業(yè)制定高效的事件響應(yīng)計(jì)劃提供了參考。

該工具手冊(cè)包括制定事件響應(yīng)計(jì)劃、編制詳細(xì)的響應(yīng)手冊(cè)以及定期進(jìn)行桌面演練。

其中，制定事件響應(yīng)計(jì)劃包括了繪制響應(yīng)流程圖、定義事件嚴(yán)重等級(jí)、明確職責(zé)等環(huán)節(jié)；編制詳細(xì)的響應(yīng)手冊(cè)包括編制響應(yīng)手冊(cè)、制定勒索軟件響應(yīng)流程、詳細(xì)記錄響應(yīng)流程等環(huán)節(jié)；定期進(jìn)行桌面演練包括設(shè)置議程并邀請(qǐng)參與者、設(shè)定事件情景和場(chǎng)景、設(shè)計(jì)具有挑戰(zhàn)性的事件場(chǎng)景等環(huán)節(jié)。

此外，事件響應(yīng)策略還包括信息安全事件報(bào)告制度。

第一時(shí)間發(fā)現(xiàn)潛在安全事件的是處于防御第一線的安全人員，他們的反應(yīng)速度直接決定著事件響應(yīng)的成敗與否。

事件響應(yīng)是極耗人力的工作，因此自動(dòng)化成為未來(lái)事件響應(yīng)能力提升的關(guān)鍵。

目前，業(yè)界將SOAR（Security Orchestration,Automation and Response，安全編排和自動(dòng)化響應(yīng)）視為自動(dòng)化響應(yīng)的有效解決方案，許多安全廠商開(kāi)始在該領(lǐng)域大舉投入。

根據(jù)Gartner的定義，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報(bào)警信息，或通過(guò)與其它技術(shù)的集成和自動(dòng)化協(xié)調(diào)，提供包括安全事件響應(yīng)和威脅情報(bào)等功能。

SOAR技術(shù)市場(chǎng)最終目標(biāo)是將安全編排和自動(dòng)化(SOA)、安全事件響應(yīng)(SIR)和威脅情報(bào)平臺(tái)(TIP)功能融合到單個(gè)解決方案中。

因此，用戶獲得高效的自動(dòng)化事件響應(yīng)能力，未來(lái)可期。

結(jié)語(yǔ)

速度決定高度，對(duì)安全事件的響應(yīng)速度決定了安全能力以及企業(yè)業(yè)務(wù)平穩(wěn)運(yùn)行的高度。

未來(lái)，隨著網(wǎng)絡(luò)安全向著體系化、常態(tài)化、實(shí)戰(zhàn)化方向演進(jìn)，攻防對(duì)抗將成為常態(tài)，做好基于事件的響應(yīng)，將對(duì)整體網(wǎng)絡(luò)安全防御帶來(lái)事半功倍的效果。