本文概述
随着网络攻击的数量, 多样性和复杂性不断增长, 除了更具破坏性和破坏性之外, 组织还必须做好有效应对的准备。
除了部署有效的安全解决方案和实践之外, 他们还需要能够快速识别和应对攻击的能力, 从而确保将损害, 破坏和成本降至最低。
每个IT系统都是网络攻击的潜在目标, 大多数人都认为这不是问题的关键, 而是何时发生。但是, 影响的程度取决于你解决问题的速度和效率, 因此需要做好事件响应的准备。
网络安全事件响应(IR)指组织为应对对其IT系统的攻击而采取的一系列过程。这需要正确的硬件和软件工具以及实践的结合, 例如组织中每个人的正确计划, 过程, 培训和支持。
安全事件发生之前, 之中和之后的最佳做法
当发生网络攻击时, 可能同时发生多种活动, 如果没有协调或没有适当的事件处理程序, 这可能会很忙。
但是, 提前准备并建立清晰易懂的事件响应计划和策略可以使安全团队协调工作。除了避免不必要的业务中断外, 这使他们能够专注于限制IT系统, 数据和声誉的潜在损害的关键任务。
制定事件响应计划
事件响应计划记录了在发生攻击或任何其他安全问题时应采取的步骤。尽管实际步骤可能会因环境而异, 但是基于SANS(SysAdmin, 审计, 网络和安全性)框架的典型过程将包括准备, 识别, 遏制, 消除, 恢复, 事件通知和事后通知。事件审查。
事件响应处理流程(基于NIST模板)图像NIST
准备工作包括制定计划, 其中包含相关信息以及计算机事件响应小组(CIRT)将要遵循的实际步骤来解决事件。
这些包括:
- 负责事件响应过程的每个步骤的特定团队和个人。
- 定义构成事件的原因, 包括保证采取何种类型的响应的原因。
- 需要更多保护和保障的关键数据和系统。
- 为了司法目的保留受影响系统的受影响状态的一种方法。
- 确定何时以及向谁通知安全问题的过程。发生事件时, 可能有必要通知受影响的用户, 客户, 员工执法人员等, 但这在一个行业和另一个案例中会有所不同。
事件响应计划必须易于理解和实施, 并与其他计划和组织策略保持一致。但是, 不同行业, 团队, 威胁和潜在损害的策略和方法可能有所不同。定期测试和更新可确保该计划有效且有效。
发生网络攻击时的事件响应步骤
一旦发生安全事件, 团队应迅速有效地采取行动遏制此事件, 并防止其传播到干净的系统中。以下是解决安全问题时的最佳做法。但是, 这些可能会根据组织的环境和结构而有所不同。
组建或参与计算机事件响应团队
确保跨学科的内部或外包CIRT团队拥有具有适当技能和经验的适当人员。从这些人中, 选择一个团队负责人, 他将是负责人的指示, 并确保响应按照计划和时间表进行。领导者还将与管理层携手合作, 尤其是在就运营做出重要决策时。
识别事件并确定攻击的类型和来源
在发现任何威胁迹象时, IR团队应迅速采取行动, 以验证这确实是安全问题, 无论是内部还是外部安全问题, 同时确保尽快将其遏制。确定何时存在问题的典型方法包括但不限于;
- 来自安全监视工具的警报, 系统内的故障, 异常行为, 意外或异常文件修改, 复制或下载等
- 用户, 网络或系统管理员, 安全人员或外部第三方合作伙伴或客户的报告。
- 审计日志中有异常用户或系统行为的迹象, 例如多次登录尝试失败, 文件下载量大, 内存使用率高以及其他异常。
英雄安全事件自动警报-图片英雄
评估并分析攻击的影响
攻击造成的损害取决于其类型, 安全解决方案的有效性以及团队响应的速度。大多数情况下, 直到完全解决问题后才能看到损坏的程度。分析应找出攻击的类型, 其影响以及可能影响的服务。
优良作法是查找攻击者可能留下的任何痕迹, 并收集有助于确定活动时间表的信息。这涉及分析受影响系统的所有组件, 捕获与法医相关的信息, 并确定每个阶段可能发生的情况。
根据攻击的程度和发现, 可能有必要将发生率上报给相关团队。
遏制, 威胁消除和恢复
遏制阶段包括阻止攻击蔓延以及将系统恢复到初始操作状态。理想情况下, CIRT团队应识别威胁和根本原因, 通过阻止或断开受感染的系统, 清除恶意软件或病毒, 阻止恶意用户以及恢复服务来消除所有威胁。
他们还应该建立并解决攻击者用来防止将来再次发生的漏洞。典型的遏制措施涉及短期和长期措施以及对当前状态的备份。
在还原干净备份或清理系统之前, 重要的是要保留受影响系统状态的副本。这对于保留当前状态是必要的, 这在进行取证时会很有用。一旦备份, 下一步就是恢复中断的服务。团队可以分两个阶段实现这一目标:
- 检查系统和网络组件以确认所有组件均正常运行
- 重新检查所有感染或破坏, 然后清洗或还原的组件, 以确保它们现在安全, 干净且可操作。
通知和报告
事故响应小组负责分析, 响应和报告。他们需要探索事件的根本原因, 记录其影响发现, 解决问题的方式, 恢复策略, 同时将相关信息传递给管理层, 其他团队, 用户和第三方提供商。
与外部机构和提供商的沟通Image NIST
如果违规涉及需要通知执法部门的敏感数据, 则团队应启动此过程并遵循其IT策略中规定的程序。
通常, 攻击会导致对机密, 个人, 私人和商业信息等敏感数据的盗窃, 滥用, 损坏或其他未经授权的活动。因此, 必须告知受影响的人, 以便他们可以采取预防措施并保护其关键数据, 例如财务, 个人和其他机密信息。
例如, 如果攻击者设法访问用户帐户, 则安全团队应通知他们, 并要求他们更改密码。
进行事后审查
解决事件还可以提供经验教训, 团队可以分析其安全解决方案并解决薄弱环节, 以防止将来发生类似事件。其中的一些改进包括针对内部和外部威胁部署更好的安全性和监视解决方案, 使工作人员和用户了解网络钓鱼, 垃圾邮件, 恶意软件以及其他应避免的安全威胁。
其他保护措施包括运行最新有效的安全工具, 修补服务器, 解决客户端和服务器计算机上的所有漏洞等。
尼泊尔NIC亚洲银行事件响应案例研究
检测能力或响应能力不足会导致过多的损坏和损失。尼泊尔的NIC亚洲银行就是一个例子, 该银行在2017年业务流程遭到破坏后损失并收回了一些钱。攻击者破坏了SWIFT, 并从该银行欺诈性地将资金转移到了英国, 日本, 新加坡和美国的多个帐户中。
幸运的是, 当局发现了非法交易, 但只设法追回了一部分赃款。如果有一个更好的警报系统, 安全团队将在更早的阶段检测到该事件, 也许是在攻击者成功破坏业务流程之前。
由于这是涉及其他国家的复杂安全问题, 因此该银行必须通知执法和调查部门。此外, 范围也超出了该银行的内部事件响应团队, 因此也没有来自毕马威, 中央银行和其他机构的外部团队。
来自其中央银行的外部团队的法医调查表明, 该事件可能是由于暴露关键系统的内部舞弊行为造成的。
根据一份报告, 当时的六名操作员已将专用的SWIFT系统计算机用于其他无关的任务。这可能暴露了SWIFT系统, 从而使攻击者可以对其进行破坏。事发后, 银行将这六名员工转移到其他不太敏感的部门。
经验教训:除了在员工之间建立适当的安全意识并执行严格的政策外, 银行还应该部署有效的监视和警报系统。
总结
精心计划的事件响应, 良好的团队以及相关的安全工具和实践使你的组织能够快速采取行动, 并解决各种安全问题。这样可以减少损坏, 服务中断, 数据盗窃, 声誉损失和潜在的责任。
评论前必须登录!
注册