譯者 | 晶顏

審校 | 重樓

一個殘酷的現(xiàn)實是，網(wǎng)絡(luò)威脅不會消失！隨著技術(shù)的不斷發(fā)展，威脅行為者使用的戰(zhàn)術(shù)和技術(shù)也將隨之演變。Statista最近的一份報告顯示，到2029年，全球網(wǎng)絡(luò)犯罪的成本將達(dá)到15.63萬億美元。為了解決這個問題，組織可以做的最重要的事情之一就是做好準(zhǔn)備。根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的說法，在事件響應(yīng)生命周期的四個關(guān)鍵階段中，首先也是尤為重要的就是準(zhǔn)備階段。

組織可以采取多個主動型準(zhǔn)備步驟來確保事件響應(yīng)（IR）準(zhǔn)備就緒，這些步驟包括定期進(jìn)行風(fēng)險評估、實施全面的安全政策、提供持續(xù)的監(jiān)控和威脅情報收集。組織還可以通過投資培訓(xùn)計劃和模擬演練來增強(qiáng)其IR能力，從而對網(wǎng)絡(luò)事件做出更快速有效的響應(yīng)。

以下是組織可以在任何網(wǎng)絡(luò)安全事件發(fā)生之前進(jìn)行的一些準(zhǔn)備活動，這些措施最終可以幫助提高組織的整體IR和網(wǎng)絡(luò)安全成熟度。

1. 進(jìn)行IR準(zhǔn)備評估

未經(jīng)測試的組織可能無法完全掌握他們不知道的事情。由外部第三方進(jìn)行的IR準(zhǔn)備評估提供了對組織當(dāng)前準(zhǔn)備狀態(tài)的關(guān)鍵觀點。這樣的評估包括評估過程、程序、人員、文檔和技術(shù)，以衡量組織整體IR準(zhǔn)備的成熟度。與審計不同，這些評估的目的是找出可能會削弱組織對事件的有效反應(yīng)能力的潛在弱點。

組織可以通過識別人員（能力和技能缺口）、過程或技術(shù)來主動解決潛在缺陷。這種積極主動的方法不僅能加強(qiáng)網(wǎng)絡(luò)威脅防御能力，還為改進(jìn)準(zhǔn)備狀況提供了機(jī)會。最終，這樣的評估使組織能夠加強(qiáng)防御，并在日益復(fù)雜和具有挑戰(zhàn)性的網(wǎng)絡(luò)安全環(huán)境中更好地保護(hù)自己。

2. 制定健全的IR計劃

IR計劃是管理網(wǎng)絡(luò)事件的全面指南。它細(xì)致地概述了組織在任何類型和嚴(yán)重性事件發(fā)生之前、期間和之后的響應(yīng)策略。它還詳細(xì)說明了組織IR團(tuán)隊的結(jié)構(gòu)，指定了角色和職責(zé)，以確保事件期間的清晰度和效率。

該計劃應(yīng)該包括IR的基本步驟：準(zhǔn)備、發(fā)現(xiàn)和分析、遏制、根除和恢復(fù)以及事件后活動。每個步驟都旨在系統(tǒng)地處理和緩解事件的影響，確保事件管理的結(jié)構(gòu)化方法。此外，一個有效的計劃還會定義目標(biāo)和目的、事件嚴(yán)重程度和其他關(guān)鍵因素，這些因素有助于形成一個全面的響應(yīng)框架。

最重要的是，IR計劃應(yīng)被視為一份動態(tài)文件。它需要定期更新和維護(hù)以保持有效性和相關(guān)性。Fortinet建議對該計劃進(jìn)行兩年一次的審查，并在每次重大事件發(fā)生后進(jìn)行重新評估。這個審查過程可以確保吸取的經(jīng)驗教訓(xùn)被集成到計劃中，并且組織發(fā)生的任何變化都能得到反映和處理。

如果沒有這樣的計劃，組織可能會在危機(jī)期間做出倉促決定，導(dǎo)致代價高昂且無效的結(jié)果。維護(hù)良好的IR計劃可以在事件期間提供清晰的路線圖，并增強(qiáng)組織快速有效應(yīng)對挑戰(zhàn)的能力。

3. 通過IR手冊提供指導(dǎo)

事件響應(yīng)手冊是更廣泛的IR計劃的重要延伸，提供針對特定事件的標(biāo)準(zhǔn)化程序。手冊提供了一個清晰的、可操作的框架，概述了組織為準(zhǔn)備、響應(yīng)和從各種不同類型的事件中恢復(fù)所必須采取的精確步驟。通過關(guān)注具體的事件場景，手冊能確保反應(yīng)不僅迅速，而且有效且一致。

每個IR手冊都提供了IR所有階段的詳細(xì)指導(dǎo)，包括準(zhǔn)備、檢測和分析、遏制、根除、恢復(fù)和事件后活動。這些文件的設(shè)計也應(yīng)該是全面的，包括分配給響應(yīng)小組特定成員的逐步行動項目。這種級別的細(xì)節(jié)可以確保在事件響應(yīng)期間，所有任務(wù)都得到考慮，每個目標(biāo)都得到滿足。

典型的手冊包括勒索軟件、惡意軟件、商業(yè)電子郵件欺詐（BEC）、拒絕服務(wù)攻擊、數(shù)據(jù)丟失事件、設(shè)備丟失或被盜、內(nèi)部威脅和零日漏洞。手冊應(yīng)該描述每個場景的具體行動和責(zé)任，確保響應(yīng)團(tuán)隊做好充分準(zhǔn)備，有效而自信地處理事件。

4. 用桌面演練測試IR計劃

一旦IR計劃和手冊準(zhǔn)備就緒，就可以使用桌面演練來測試它們了。根據(jù)NIST的說法，桌面演練是“一種基于討論的練習(xí)，人員在緊急情況下（討論）他們的角色以及他們對特定緊急情況的反應(yīng)。”

簡而言之，桌面演練就像角色扮演游戲。引導(dǎo)者為參與者提供有關(guān)虛構(gòu)的網(wǎng)絡(luò)安全事件的事實或“注入”。然后，參與者討論如何使用IR計劃和手冊作為指導(dǎo)來應(yīng)對這些“事實”。這些演練可以迎合特定的受眾進(jìn)行開發(fā)，通常作為技術(shù)團(tuán)隊成員的操作練習(xí)，或者作為組織領(lǐng)導(dǎo)者在事件期間關(guān)注業(yè)務(wù)和策略相關(guān)決策的高級練習(xí)。

桌面演練應(yīng)至少每年進(jìn)行一次。然而，一個季度的周期是團(tuán)隊保持新鮮感和提高其對網(wǎng)絡(luò)安全事件反應(yīng)能力的最佳選擇。

5. 開發(fā)系統(tǒng)清單和網(wǎng)絡(luò)圖

不幸的是，許多安全和IT專業(yè)人員不知道存在哪些IR資源或如何訪問它們。這使得安全團(tuán)隊很難理解已知活動的上下文，或有效地發(fā)現(xiàn)事件的廣度和深度，關(guān)鍵時間都被浪費在追蹤業(yè)務(wù)所有者、構(gòu)建網(wǎng)絡(luò)圖或其他本應(yīng)在事件發(fā)生之前實施的活動上。這可能顯著拖緩響應(yīng)工作并加劇業(yè)務(wù)影響。

系統(tǒng)清單應(yīng)包括諸如業(yè)務(wù)所有者、系統(tǒng)功能、主機(jī)名和IP、數(shù)據(jù)分類、數(shù)據(jù)關(guān)鍵性、相關(guān)審計或監(jiān)管信息，以及其他可能對事件響應(yīng)者有用的關(guān)鍵標(biāo)識信息。這些信息可以幫助識別并確保對整個組織中最關(guān)鍵系統(tǒng)的及時響應(yīng)。了解與這些系統(tǒng)相關(guān)的業(yè)務(wù)流程同樣非常重要，這樣可以在整個事件過程中做出明智的決策。

網(wǎng)絡(luò)圖幫助事件響應(yīng)人員了解系統(tǒng)的位置、網(wǎng)絡(luò)分段情況，以及可用于幫助遏制和消除威脅行為者的潛在阻塞點或隔離點。在事件發(fā)生之前開發(fā)系統(tǒng)清單和網(wǎng)絡(luò)圖可以實現(xiàn)更高效地響應(yīng)，使響應(yīng)人員能夠了解在事件發(fā)生期間給定系統(tǒng)受到損害對組織的影響。

6. 實施補(bǔ)丁管理流程

威脅行為者正通過利用公開系統(tǒng)中的漏洞作為初始訪問媒介，獲取長久而穩(wěn)定的立足點。根據(jù)FortiGuard調(diào)查數(shù)據(jù)顯示，在2023年下半年和2024年上半年處理的全部IR事件中，46%的事件是由面向公眾的應(yīng)用程序中的漏洞直接導(dǎo)致的。供應(yīng)商通常在這些漏洞被攻擊者利用前幾周、幾個月甚至幾年就提供了補(bǔ)丁。雖然有人可能會說，由于零日漏洞的存在，打補(bǔ)丁并非萬無一失，但打補(bǔ)丁能夠有效地縮小組織的威脅范圍，并消除容易實現(xiàn)的目標(biāo)，是不可或缺的防御措施。

7. 定期進(jìn)行漏洞評估和滲透測試

漏洞評估對于評估和改進(jìn)補(bǔ)丁管理過程的有效性至關(guān)重要。這些評估通常針對內(nèi)部/外部IP或系統(tǒng)，使用自動化工具和手動技術(shù)來檢查系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)設(shè)備之間的現(xiàn)有漏洞。在此評估過程中，仔細(xì)審查結(jié)果以消除誤報并準(zhǔn)確評估漏洞對組織的潛在影響是至關(guān)重要的。

漏洞評估側(cè)重于已知的漏洞，而滲透測試則在發(fā)現(xiàn)可能危及組織網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用程序的未知漏洞方面發(fā)揮補(bǔ)充作用。滲透測試可以針對特定的環(huán)境（例如內(nèi)部或外部網(wǎng)絡(luò)）進(jìn)行調(diào)整，以確定威脅行為者可能利用的潛在入口點。另外，滲透測試可能側(cè)重于特定的Web或移動應(yīng)用程序，進(jìn)行徹底的檢查，以識別可能被惡意利用或在網(wǎng)絡(luò)中獲得未經(jīng)授權(quán)訪問的潛在漏洞。

盡管相關(guān)法規(guī)可能要求組織對特定環(huán)境進(jìn)行年度滲透測試，但對于許多組織來說，更頻繁地進(jìn)行這些評估是明智的?？紤]到網(wǎng)絡(luò)環(huán)境的動態(tài)性，漏洞評估應(yīng)該定期進(jìn)行，頻率通常是每月一次，而滲透測試通常至少每年進(jìn)行一次，如果可能的話，更頻繁會更好。

8. 檢查活動目錄環(huán)境

活動目錄（AD）基礎(chǔ)設(shè)施通常會隨著組織的發(fā)展而擴(kuò)展。雖然AD環(huán)境是身份和訪問管理（IAM）程序的一部分，但在徹底的管理和安全監(jiān)督方面，AD環(huán)境卻經(jīng)常被忽視。對AD環(huán)境進(jìn)行全面審查，確保其與Microsoft和標(biāo)準(zhǔn)組織（如NIST）的關(guān)鍵建議保持一致，不僅能增強(qiáng)AD配置的整體安全態(tài)勢，促進(jìn)日志記錄功能的優(yōu)化，還能推動更有效的事件檢測和調(diào)查工作。

對AD環(huán)境的評估應(yīng)該包括根據(jù)行業(yè)最佳實踐評估其配置。此過程旨在識別和修復(fù)潛在的安全漏洞、錯誤配置或惡意行為者可能利用的漏洞。通過實施推薦的協(xié)議，組織可以顯著減少整體威脅，并加強(qiáng)對未經(jīng)授權(quán)訪問和潛在破壞的防御。

審查和增強(qiáng)AD日志記錄對于快速和準(zhǔn)確的事件響應(yīng)至關(guān)重要。正確配置的日志提供了對用戶活動、身份驗證嘗試和系統(tǒng)事件的關(guān)鍵洞察，使安全團(tuán)隊能夠及時檢測和緩解威脅。這種主動的方法有助于降低潛在風(fēng)險，并確保符合法規(guī)要求和行業(yè)標(biāo)準(zhǔn)。而對AD環(huán)境進(jìn)行全面審查和持續(xù)管理則有助于維護(hù)穩(wěn)健的IAM實踐，并增強(qiáng)整體網(wǎng)絡(luò)安全彈性。

9. 啟用集中日志并確保監(jiān)控

許多網(wǎng)絡(luò)安全事件可能持續(xù)數(shù)周甚至數(shù)月而未被發(fā)現(xiàn)，這凸顯了日志在有效事件調(diào)查中的關(guān)鍵作用。采用基于風(fēng)險的方法對于確定要捕獲哪些日志、定義保留期限和建立必要的詳細(xì)級別以支持調(diào)查過程至關(guān)重要。通過集成設(shè)備、網(wǎng)絡(luò)和安全解決方案生成的日志，組織可以將數(shù)據(jù)關(guān)聯(lián)起來，以幫助調(diào)查和檢測其環(huán)境中的異常行為。

集中的日志記錄構(gòu)成了有效檢測程序的基礎(chǔ)，但是監(jiān)視這些信息同樣重要。如果沒有強(qiáng)大的監(jiān)控，組織可能會忽略或錯過關(guān)鍵警報，從而可能導(dǎo)致網(wǎng)絡(luò)安全事件升級。因此，組織必須確保及時響應(yīng)通過集中日志和安全警報機(jī)制識別的異常和警報。

通過集成集中日志記錄和監(jiān)控，組織可以在事件升級為全面事件之前主動識別和響應(yīng)事件。這種主動姿態(tài)增強(qiáng)了IR能力，提升了整體網(wǎng)絡(luò)彈性，能夠更好地在當(dāng)今動態(tài)威脅環(huán)境中防范潛在威脅。

不要忘記終端用戶

FortiGuard IR團(tuán)隊觀察到，有效憑據(jù)在過去一年中的使用量顯著增加，約占初始訪問方法的54%。這一趨勢表明，攻擊者越來越老練，他們正利用合法憑據(jù)獲得未經(jīng)授權(quán)的訪問，以繞過傳統(tǒng)的安全措施。為了有效地對抗這種威脅，組織應(yīng)該優(yōu)先分析其環(huán)境中的正常用戶行為，以識別指示惡意活動的異常值。一個強(qiáng)大的方法是實現(xiàn)用戶和實體行為分析（UEBA）。UEBA利用先進(jìn)的算法和機(jī)器學(xué)習(xí)來監(jiān)視用戶操作，建立行為基線，并檢測可能發(fā)出安全事件信號的異常情況。

然而，對于用戶行為分析來說，復(fù)雜的工具并非剛需，前提是擁有健壯的日志記錄實踐（參見上面的第9項）。組織可以通過系統(tǒng)地記錄各種用戶活動（如登錄時間、用于身份驗證的設(shè)備、訪問的系統(tǒng)和使用的應(yīng)用程序）來創(chuàng)建全面的行為基線。這些基線能夠識別可能指示潛在網(wǎng)絡(luò)安全事件的異常值。定義什么是正常行為并為異?；顒咏㈤撝凳侵陵P(guān)重要的步驟。當(dāng)檢測到異常時，表明帳戶可能被泄露或存在內(nèi)部威脅，需要立即進(jìn)行調(diào)查和響應(yīng)。不過，不管用戶行為分析是如何進(jìn)行的，都必須要為響應(yīng)者準(zhǔn)備一份行動指南。

將行為分析集成到安全策略中對于緩解日益加劇的憑據(jù)濫用威脅至關(guān)重要。通過利用UEBA（甚至是基本的日志記錄和監(jiān)視），組織可以創(chuàng)建一個動態(tài)的、響應(yīng)性強(qiáng)的安全態(tài)勢，從而快速識別和緩解威脅。這種主動的方法增強(qiáng)了對惡意活動的早期檢測，提升了IR能力，并強(qiáng)化了組織的安全框架。

原文標(biāo)題：Preparation Is Not Optional: 10 Incident Response Readiness Considerations for Any Organization，作者：John Hollenberger