Search

应急黄金响应一小时

面临突发的网络安全事件,应急响应工程师有效管理高危事件出现后第一个小时至关重要。在高危事件中,想明白该做什么通常是一项艰巨的任务。并且,高危事件伴随的负面情绪通常会阻止应急响应工程师做出有效的决策。但是,保持冷静的头脑和有计划的行动对于成功处理安全事件至关重要。本文将详细阐述如下观点,以帮助读者更好地理解有效的应急响应程序。

做好充足的准备必不可少

在处理任何安全事件之前,一个合格的应急响应工程师需要掌握大量的知识。首先,应急响应工程师需要熟悉他们的角色和职责。IT基础设施近几年来发展迅速。例如,我们观察到云计算和数据存储被越来越广泛地利用。快速变化的 IT 环境不断更新对安全工程师技能的需求,例如学习云安全。因此,应急响应安全工程师需要动手实践并保持对IT行业各系统的了解。在实践中,外部的应急响应顾问需要能迅速了解他们需要负责的系统。同时,公司内部应急响应安全工程师也应积极参与漏洞扫描与管理的流程。

收集信息的质量往往决定了事件响应的结果。应急响应工程师需要了解他们将面临的威胁。随着网络安全防御性技术频繁的升级,恶意攻击者的技术也在不断演变。例如,根据 2010 年的一篇论文,最活跃的10个勒索软件团体中有4个现在正在使用“勒索软件即服务”商业模式。此模式表明,由于降低了此类攻击的技术门槛,恶意攻击者将更容易部署勒索软件。所以,网络安全应急响应团队需要了解他们会遇到的主要威胁。例如,一名应急响应工程师在看到常见的恶意软件时可能得出结论认为它没有其他威胁。但是当这种事件出现在更敏感的场景中时,例如在重要产业部门中,应急响应工程师们则需要更敏锐的思考并寻找其是否为更严重的安全入侵的蛛丝马迹。为了有效应对事件响应,应急响应工程师需要熟悉他负责的基础设施以及他将面临的网络安全威胁图景。

制定健全的流程

知道只是成功的一半。当高危安全事件出现时,我们需要迅速让自己冷静下来,并准备回答第一个问题,“第一个小时内我该做什么?” 《危急事件的阶段》一文中,将高危安全事件出现的第一个小时称为“危机阶段”,其特点是“混乱、恐慌、贸然和僵局“ ,而一名训练有素的应急响应工程师则需要在这种情况下保持洞察力。

另一方面,在许多安全现场中可能出现信息模糊、无法在有限的时间范围内实施解决方案以及缺乏运营管辖权的问题。在这种情况下,安全事件响应团队必须自己动手,清楚地阐述自己的专业知识,并推动事件响应的的运作。在进行调查和根本原因分析时,安全事件响应团队经常陷入寻找缺失重要信息的困境。这些困难往往会导致怀疑和优柔寡断。在此类事件中,分析人员往往只能猜测,但无法确定该事件是由一种或多种可能性引起的。在这些情况下,最好的办法是假设最合理的可能性并采取相应的行动。在第一个小时,时间是必不可少的。就像参加时间有限的考试一样,请先跳过您不会的问题。

如今,得益于端点检测和响应 (EDR) 技术的广泛采用,该技术提供了快速进行网络隔离的功能。事件响应与控制流程通常得到简化。尽管如此,即使使用传统的安全工具,彻底隔离设备并不总是一件容易的事。人们并不总会选择最安全的选项。但俗话说,安全总比后悔好!

找出真相并填补空缺

在安全事件发生一小时后,也许仍有一些缺失的信息。那这时候我们应该花时间推论一下所有的可能性并整理出一份列表。以我曾经处理的一个安全事件为例,攻击者在一台服务器上执行了反向shell。我立即决定隔离服务器并收集所有证据。但是在分析过后,我们仍然无法弄清楚服务器是如何被入侵的,所以我们列出了所有可访问的服务并检查了每个服务的相关日志。我们最初猜测IT的运维工具是入侵的来源。但最终,在排除所有可能性后,我们推翻了这种猜测,并不得不得出结论认为其Web服务中一定存在的安全漏洞。在安全事件事后分析中,应急响应工程师们可能会在溯源进攻链时遇到挫折。但只要有足够的耐心和正确的心态,真相总会水落石出。

总结

在安全事件发生后,有效管理高危事件需要的不仅仅是现场学习。除了不可或缺的专业知识,一个经验丰富的应急响应工程师还需要广泛了解其它需要负责的IT资产和威胁面,并在出现安全事件时懂得优先划分不同的任务,在需要时快速做出决策,以及能够通过排除法来找出事情真相。