當面對現(xiàn)實生活中的網(wǎng)絡安全威脅時，很少有組織知道首先要采取哪些步驟來處理事件并將其對業(yè)務的影響降至最低。制定經(jīng)過深思熟慮的網(wǎng)絡安全事件響應計劃(IRP)是讓自己為應對這種情況做好充分準備的唯一方法。

在本文中，將詳細探討如何使用NIST事件響應框架構建完全符合業(yè)務需求的IRP。

事件響應計劃什么、價值以及如何構建？

什么是IRP？?

事件響應計劃是包含用于處理和減輕安全事件、網(wǎng)絡攻擊和數(shù)據(jù)泄露后果的結構化方法的文檔。

為什么制定事件響應計劃很重要？?

強烈建議任何規(guī)模的企業(yè)使用IRP。在規(guī)劃事件響應時，采用多層方法來保護組織的網(wǎng)絡和資產(chǎn)非常重要。

此外，始終需要在安全性與企業(yè)網(wǎng)絡和部署系統(tǒng)的生產(chǎn)力之間取得平衡。

用于構建示例事件響應計劃的清單

下面，我們探討十個技巧來建立或檢查事件響應計劃。進一步閱讀詳細的NIST指南、關鍵步驟和尋找技術解決方案的提示。

• 指定需要遵循的主要事件響應要求（NIST、HIPAA、PCI DSS等）以及與業(yè)務相關的要求（響應時間、恢復策略等）。
• 進行安全審計，以確定公司網(wǎng)絡和部署系統(tǒng)中的弱點，可以立即解決這些弱點。
• 定義什么是安全事件。員工需要知道哪些事件被視為安全事件，如何定義其嚴重性等。
• 指定將在事件期間負責的負責人，并決定需要通知哪些各方并參與處理事件。
• 包括一個全面的溝通計劃。IRP必須指定在發(fā)生事件時首先給誰打電話、什么時候給他們打電話，以及在他們不可用時聯(lián)系誰。
• 列出組織最有可能面臨或過去曾面臨的安全事件的簡短列表。計劃處理事件的程序。然后一點一點地擴大涵蓋的安全事件的范圍。
• 向IRP添加各種選項：可能的數(shù)據(jù)泄露級別、事件嚴重性級別、受影響端點的類型等。
• 計劃恢復方案。整合備份解決方案并指定在發(fā)生安全事件時應遵循的系統(tǒng)恢復和數(shù)據(jù)恢復程序。
• 向有關當局報告。包括在發(fā)生特定事件時應通知的當局列表。例如，歐盟GDPR和美國加利福尼亞州的 SB1386要求在數(shù)據(jù)泄露的情況下發(fā)布公共通知。
• 根據(jù)以前的事件改進IRP。處理新事件后，深入分析它以使用更有效的響應策略、程序和方案更新當前的 IRP。

現(xiàn)在，讓我們看看如何為組織構建合適的 IRP。在確定如何應對潛在的安全事件時，首先選擇要遵循的指南。

NIST作為構建事件響應計劃的指南

雖然有很多指導方針和現(xiàn)成的網(wǎng)絡事件響應計劃模板，但并非所有這些模板都適用于所有類型的組織。

從頭開始創(chuàng)建事件響應程序與構建內(nèi)部威脅程序一樣具有挑戰(zhàn)性。對于每個組織，最有效的事件響應方案的選擇將取決于特定的IT環(huán)境、組織面臨的威脅以及組織的業(yè)務需求。

但是，美國國家標準與技術研究院(NIST)提供了一系列指南，每個組織都可以將其用作構建其事件響應計劃的基準。

特別是，可以遵循計算機安全事件處理指南800-61修訂版2的建議來有效管理潛在的網(wǎng)絡安全事件。

根據(jù)NIST事件管理指南，事件響應計劃應包括以下主要階段：

每個階段都包括組織應考慮添加到其IRP的多個步驟。讓我們仔細看看這些階段。

準備?

組織應在網(wǎng)絡安全事件實際發(fā)生之前做好應對準備，并提前計劃所有必要的響應程序。準備階段還包括首先計劃如何防止數(shù)據(jù)泄露或攻擊發(fā)生。

檢測分析?

組織必須能夠檢測網(wǎng)絡事件，并擁有適當?shù)墓ぞ吆图夹g來收集、記錄和分析與事件相關的數(shù)據(jù)。為了更輕松地完成這項任務，NIST指定了八個攻擊向量（見下文）并列出了網(wǎng)絡安全事件的最常見跡象。

必要時，組織還應該能夠根據(jù)事件的影響和可恢復性確定事件的優(yōu)先級，然后將違規(guī)情況通知有關當局。

遏制、根除和恢復?

組織必須能夠有效地處理攻擊、消除威脅并開始恢復受影響的系統(tǒng)和數(shù)據(jù)。

在這些階段，收集有關事件的證據(jù)以供日后用于解決事件和法律訴訟也很重要。

事后活動?

在有效處理安全事件后，組織應使用從事件中獲得的信息來改進其當前的IRP。

NIST網(wǎng)絡安全框架的最佳之處在于它既靈活又適應性強，因此大企業(yè)和小企業(yè)都可以有效地實施它。讓我們看看如何為組織構建符合NIST的IRP。

實施符合NIST的事件響應計劃的提示

NIST為構建有效的IRP提供了非常詳細的事件響應指南。這里的主要問題是信息太多，可能會發(fā)現(xiàn)自己在推薦中迷失方向。

以下是NIST事件響應清單，其中包含五個必須采取的步驟，以確保事件響應計劃同時滿足NIST要求和組織的需求。

1. 建立網(wǎng)絡安全事件響應小組

或者至少選擇負責的人員。?

無論組織規(guī)模或工作領域如何，在規(guī)劃IRP時首先要做的就是創(chuàng)建一個網(wǎng)絡安全事件響應團隊(CIRT)。

CIRT負責在安全事件期間協(xié)調(diào)關鍵資源和團隊成員，以便將攻擊的影響降至最低，并盡快恢復所有操作。

CIRT的主要職能是：

• 定義事件響應策略和程序
• 及時處理網(wǎng)絡安全事件
• 調(diào)查和分析以前的事件
• 創(chuàng)建事件報告能力并建立必要的溝通
• 培訓員工并提高對網(wǎng)絡安全威脅及其緩解措施的認識
• 改進當前的事件響應計劃

CIRT的成員數(shù)量取決于公司的規(guī)模、潛在的數(shù)據(jù)丟失和地理范圍。但是，請務必指定一名負責響應和處理事件的團隊負責人。?

特別注意CIRT培訓：每個CIRT成員都應該了解組織的關鍵網(wǎng)絡安全政策和程序，以及他們在發(fā)生攻擊時的具體責任。

2. 提前計劃所有程序

提前計劃至關重要。?

如果發(fā)生網(wǎng)絡安全事件，CIRT需要確切知道如何以最小的損失處理它。但是，不僅需要制定而且還需要在實際事件發(fā)生之前對計算機安全事件響應計劃進行實戰(zhàn)測試。

CIRT在規(guī)劃階段需要完成四項主要任務：?

首先，需要確定哪些事件被視為網(wǎng)絡安全事件。然后，為每種類型的潛在事件制定事件響應計劃。

在其計算機安全事件處理指南中，NIST指定了攻擊向量列表，并建議為使用相同攻擊向量的事件開發(fā)通用事件響應方案。

常見的攻擊媒介包括：

• 外部或可移動媒體（例如，受感染的USB設備）
• 設備丟失或被盜（丟失的公司筆記本電腦或授權令牌）
• Web（從Web應用程序執(zhí)行的攻擊）
• 電子郵件攻擊（帶有惡意網(wǎng)站鏈接的電子郵件）
• 冒充（欺騙和中間人攻擊）
• 不當使用（訪問濫用）
• 損耗（蠻力攻擊）
• 其他（所有其他攻擊）

接下來，根據(jù)其影響確定可能的威脅和攻擊的優(yōu)先級。畢竟，當更大的漏洞仍未解決時，浪費時間來管理輕微的攻擊是沒有意義的。

NIST事件響應計劃提供了三個基于影響的標準來確定事件的優(yōu)先級：

NIST事件嚴重程度取決于幾個因素：

(1) 功能影響決定了特定事件對業(yè)務運營的影響。

功能影響分為四個級別：

• 無——對組織的系統(tǒng)沒有功能影響
• 低——組織的系統(tǒng)基本不受影響
• 中等——組織無法提供某些服務高——組織不能為所有用戶提供至少一項關鍵服務

(2) 信息影響取決于事件期間泄露的信息的重要性和敏感性。

信息影響也有四類：

• 無——沒有數(shù)據(jù)泄露
• 隱私泄露——敏感的個人身份信息被泄露
• 專有違規(guī)——可能泄露商業(yè)秘密
• 完整性損失——數(shù)據(jù)可能被更改

(3) 可恢復性影響是衡量組織從事件中完全恢復所需的資源。

可恢復性影響也有四個級別：

• 定期——不需要額外的資源
• 補充——需要額外的資源，但組織可以預測總體恢復時間
• 延長-無法預測恢復時間
• 不可恢復——組織無法從事件中恢復

這種三層方法足夠靈活，可以被任何組織采用。

完成所有分類工作后，就該開始規(guī)劃響應不同類別網(wǎng)絡安全事件的標準程序了?？紤]為最常見的事件類型（例如系統(tǒng)故障、拒絕服務、入侵和間諜軟件感染）制定遏制策略和標準操作程序(SOP)。

在SOP中，指定CIRT在發(fā)生特定事件時使用的技術流程、技術、檢查表和表格。

有關建立適當響應程序的進一步指導，可以參考NIST特別出版物800-86，將取證技術集成到事件響應中的指南。

3. 監(jiān)控用戶和網(wǎng)絡活動

如果你能看到它，你就可以管理它。?

防止?jié)撛诠舻淖罴逊椒ㄖ皇潜O(jiān)視網(wǎng)絡上發(fā)生的一切?？紤]部署用戶活動監(jiān)控解決方案來解決內(nèi)部威脅和與分包商相關的安全風險問題。

通過關注個人用戶的活動和網(wǎng)絡上的活動，可以：

• 及早檢測并終止攻擊
• 收集證據(jù)和有價值的數(shù)據(jù)以供進一步分析

更進一步，可以實施具有行為用戶監(jiān)控功能的解決方案。使用 AI 驅(qū)動的技術，此類解決方案可以檢測到受監(jiān)控基礎設施內(nèi)的異常和與基線用戶行為的偏差。不要忘記通過制定內(nèi)部威脅事件響應計劃來減輕自己組織的風險。

在選擇正確的用戶活動監(jiān)控解決方案時，請尋找一個同時配備靈活事件響應系統(tǒng)的解決方案。能夠設置自定義實時警報并自動化至少一些 SOP 將確保及時響應網(wǎng)絡安全事件。

4. 注意備份和恢復策略

沒有人愿意丟失有價值的數(shù)據(jù)。?

恢復策略是任何 IT 事件響應計劃的關鍵部分。

就像處理事件一樣，最好在實際發(fā)生任何違規(guī)行為之前考慮從事件中恢復，并針對不同場景編寫數(shù)據(jù)恢復過程的詳細示例。

可以從確定哪些數(shù)據(jù)對組織業(yè)務最有價值開始，并額外注意其保護。這在發(fā)生現(xiàn)實生活中的網(wǎng)絡安全事件時應該關注什么：將立即需要恢復哪些數(shù)據(jù)以及哪些資產(chǎn)可以在第二天甚至下周恢復而不會對業(yè)務造成任何損害。

關于組織從網(wǎng)絡安全攻擊或數(shù)據(jù)泄露中的恢復， CIRT 需要牢記兩項主要任務：?

(1) 數(shù)據(jù)恢復。如果沒有備份系統(tǒng)，將很難快速應對網(wǎng)絡安全事件。如果組織面臨網(wǎng)絡安全事件，部署數(shù)據(jù)丟失防護工具并創(chuàng)建備份將幫助組織安全地恢復所有關鍵業(yè)務信息。

為了更好地保護關鍵數(shù)據(jù)，請選擇結合了本地和基于云的服務的混合備份解決方案。此外，考慮通過為 NIST 合規(guī)性部署身份和訪問管理 解決方案來限制對敏感數(shù)據(jù)的訪問。

如果確實發(fā)生了安全事件，請確保備份受影響的系統(tǒng)，以便可以保留其當前狀態(tài)以進行取證。

(2) 服務恢復。以下兩個步驟對于在事件發(fā)生后將組織的系統(tǒng)恢復到正常運行至關重要：

• 檢查網(wǎng)絡以確認所有系統(tǒng)都在運行。
• 重新認證在事件期間可能受到影響的任何系統(tǒng)或組件可操作。

可能還需要為被入侵賬戶的用戶重置密碼，并阻止可能啟用入侵的賬戶和后門。

5. 更新事件響應計劃時要關注什么

總是有改進的余地。?

根據(jù) NIST 的說法，組織應至少每年審查一次事件響應計劃。但是，鑒于新的網(wǎng)絡安全威脅不斷出現(xiàn)，更明智的做法是更頻繁地檢查和更新此計劃，尤其是對于大型公司而言。

每當業(yè)務面臨重大變化時，無論是進入新領域還是更改內(nèi)部基礎架構，這些變化都應反映在IRP 中。

• 與業(yè)務相關的新攻擊向量和安全威脅
• 本地和行業(yè)網(wǎng)絡安全要求的更新和變更
• 從以前的攻擊和違規(guī)中吸取的教訓
• 可以改進的事件處理程序和解決方案

例如，如果組織是新的網(wǎng)絡安全威脅的潛在目標，則為此類攻擊準備足夠的事件響應方案非常重要。計劃、測試和記錄與新威脅相關的所有程序和恢復工具。

檢查組織中處理現(xiàn)實事件的方式也很重要。這樣的分析可以告訴我們當前的策略是否良好，以及可以采取哪些措施來防止此類事件再次發(fā)生。

結論

制定事件響應計劃對于任何規(guī)模的組織和企業(yè)都至關重要。

雖然有現(xiàn)成的事件響應計劃模板，但根據(jù)內(nèi)部調(diào)查構建自定義事件響應計劃以反映組織特定要求并構建自己的內(nèi)部威脅響應計劃會更有益。

為了使這個過程更容易一些，組織可以參考常見的安全標準和流行的準則，例如 NIST 提供的那些。根據(jù) NIST 標準制定事件響應計劃時，組織應涵蓋NIST 事件響應過程的四個主要階段：?

• 準備
• 檢測分析
• 遏制、根除和恢復
• 事后活動

在這些階段的每一個中，都應指定一組工具和程序來處理特定的攻擊向量或特定的安全問題。?