事件響應(IR)計劃用于測試公司響應安全事件的能力。最終目标,是在縮減修複時間及成本的同時控制住情況,限制對公司造成的傷害。
然而不幸的是,大(dà)多數IR計劃都沒能實現承諾。最近的調查顯示,1/3的公司甚至都沒有IR計劃;而在有IR計劃的公司中(zhōng),IR計劃往往十分(fēn)簡陋,僅有個基本框架,且甚少涉及除信息安全和IT團隊以外(wài)的其他業務線。很多IR計劃還基本未經測試和審查,因而在安全事件降臨時往往達不到預期效果。
想要切實可行的事件響應(IR)計劃,不妨遵循以下(xià)九步。
1. 處理業務問題并分(fēn)配角色
如上所述,有IR計劃的公司太少。即便有個IR計劃,最好的那些計劃都可能會缺乏關鍵信息,或沒納入合适的人。
事實上,IR文檔往往“過時”且“籠統”,“遭遇危機時無法指導具體(tǐ)行動”。這意味着,應從基礎開(kāi)始實現計劃,規劃出正确的架構,并合理安排員(yuán)工(gōng)角色。
首先,在開(kāi)發過程早期,公司企業應将擁有并維護IR文檔的人納入進來。這有助于項目從專項IR計劃轉向常規業務實踐。開(kāi)發其他關鍵組件,比如事件分(fēn)類系統(幫助攻擊識别和修複)和數據分(fēn)類框架,同樣重要。
最關鍵的是,這些計劃真正吃透了公司業務,描清了特定員(yuán)工(gōng)應扮演的角色。有人建議,應讓一(yī)名高管擔負起在公司各部門實現該計劃的責任,而且各部門的地理位置也不能忽視。
IR計劃必須貼合關鍵業務、公司文化、當前事件響應方式,及改變響應以适應未來發展的方式。
——普華永道網絡安全業務負責人 斯洛納·門克斯
定義清晰的角色和責任是關鍵。确保人員(yuán)都經過良好培訓,可以有效履行這些角色職能和責任非常重要。
2. 确認相關業務部門并讓他們參與進來
與大(dà)多數安全問題的根源一(yī)樣,未經測試的脆弱IR計劃,往往是因爲仍舊(jiù)以單獨的IT和信息安全部門全權負責而失敗。訓練有素的IR計劃需要業務部門間的合作,因爲響應數據洩露或安全事件需要同等級的通信和業務協作。
例如,零售商(shāng)遭到入侵遺失了信用卡信息,便需要公共關系(PR)部門披露事件,需要Web開(kāi)發人員(yuán)找尋并修複軟件缺陷,需要運營部門檢查服務水平協議(SLA),需要市場部和客戶支持部門。
建立良好IR計劃的最佳方式,是在制定過程中(zhōng)引入利益相關者,确保在公司範圍内獲得最大(dà)的認可。RACI表有助于責任分(fēn)配。
——思科事件響應服務主管 肖恩·梅森(sēn)
于是,到底哪些人應該牽涉進來呢?除了常規的信息安全團隊和其他支持性IT職能部門,一(yī)份各部門的細目清單應成爲IR計劃的一(yī)部分(fēn)。高管層、關鍵業務團隊、研發/業務持續性、情報團隊、人力資(zī)源、法律、公共關系、執法、外(wài)部IR團隊和廠商(shāng)都是可以酌情納入的。
業務線必須參與到計劃過程中(zhōng)。舉個例子,盡管IT和法律可能是一(yī)緻的,但業務功能擁有者或許不同意某項行動,或者可能看到其他需要被處理的負面影響。在業務層級擁有精準洞見,對規劃一(yī)個有效且全面的IR計劃特别重要。
3. 确定KPI以衡量事件
一(yī)個好的IR計劃很可能是主觀的,因而普遍不太清楚其有用程度——除非有明确的關鍵績效指标(KPI)定義什麽才是成功的構成因素。專家認爲,這些KPI應既定性又(yòu)定量。對于前者,可包含檢測時間、事件報告(注意:2018年5月即将實行的GDPR規定了72小(xiǎo)時報告窗口)、事件分(fēn)類和調查。定量方面,KPI可包含誤報數量、攻擊本質(惡意軟件還是非惡意軟件)、識别出事件的安全工(gōng)具等。
IR人員(yuán)不應該恐懼KPI數據。它們隻是對管理的衡量。理解了它們的效用,你才能與高管無礙溝通。公司用KPI衡量績效和響應時間,選擇一(yī)套定義良好的KPI可使團隊申請到更多資(zī)源,獲得公司的更多支持。
4. 測試,測試,再測試
事件響應中(zhōng)一(yī)個最大(dà)的問題在于,盡管公司企業确實進行常規紅隊動作,對IR計劃的壓力測試卻往往不足。IR計劃壓力測試應涉及到公司每一(yī)個人,最好還模拟出安全事件發生(shēng)狀态。但實際上,有人說,公司隻是有時候知(zhī)道該測試應該是什麽樣子的。
執行這些測試可以保持IR計劃不斷更新,适應現代社會的需求,同時還特别有助于發現并修複業務線中(zhōng)的薄弱環節。最終,影響到安全預算的投入方向。
認識到有很多公司僅僅創建但不測試IR計劃很重要。測試有可能成爲後勤噩夢,往往需要一(yī)整天,甚至很多天。IR計劃測試最大(dà)的障礙,與高管的時間、協調和承諾有關。測試還需要高管商(shāng)讨那些日常運營未必受影響而被認爲不緊急的事項。
5. 經常審查計劃
IR計劃必須定期修訂,尤其是在公司不斷成長的情況下(xià)。IR計劃須足夠健壯,要能提供極好的操作框架,同時還需足夠靈活,幾乎可以處理所有面臨的情況。靈活性與IR計劃更新容易程度相關,應經常審查并更新計劃。
6. 定義事件
與KPI緊密相關的,是事件定義——确定哪些是事件而哪些不是。這麽做,可以找出哪些東西必須處理,而哪些可以無視,确保你的安全團隊專心處理最嚴重的問題。
比如說,攻擊嘗試是事件嗎(ma)?或者攻擊者成功侵入了才值得響應?一(yī)旦定義好,公司企業就可通過發現并記錄影響到當前安全狀态的威脅、風險和潛在失敗,來執行事件威脅分(fēn)析。
美國國家标準與技術局(NIST)的事件拓撲學,将事件粗略分(fēn)類爲未授權訪問、惡意代碼、拒絕服務和不當使用,可将之作爲一(yī)份有用的指南(nán)。
7. 組建由IR分(fēn)析師領導的團隊
事件響應團隊分(fēn)析安全問題與威脅情報報告,制定出公司的事件響應策略。事件響應團隊的類型很多,可以是内部的、外(wài)部的,或者内外(wài)兼容的。
有人認爲,盡管該過程必須涉及各方利益相關者、IT團隊内部及外(wài)部人士(包括主要調查人員(yuán)和IT主管),該過程十分(fēn)依賴有經驗的滲透測試員(yuán)和IR領導者,卻依然是不争的事實。
通常,團隊包含各方面的技術人員(yuán),最重要的主管和網絡取證人員(yuán)。另外(wài),好的團隊往往配備有内存分(fēn)析專家、惡意軟件分(fēn)析和威脅情報技術人員(yuán)。
但是,别忽視了滲透測試和捕獵團隊,這樣攻擊和記錄分(fēn)析技能才有用武之地。對IR團隊經理來說,能做到以上所有,且理解高管說話(huà)做事方式的老練IR分(fēn)析師,才是最值得尋找并珍惜的人才。
8. 實施正确的工(gōng)具
良好IR計劃将圍繞網絡可見性、攻擊者檢測、恰當的警報、團隊安全通信,以及與公司其他部門的良好溝通展開(kāi)。好的威脅情報有助對攻擊者活動的可見性與理解,良好溝通可使IR團隊向公司其他部門解釋安全事件以便推行修複。
9. 建立溝通策略
事件響應中(zhōng)任何時候都必不可少的就是溝通了,有一(yī)套通告第三方和内部團隊的溝通策略尤其重要。而對外(wài),司法部門和潛在事件修複提供者也應被通告,雇員(yuán)則是内部溝通的首要對象。他們應該知(zhī)道事件響應計劃,接受響應流程培訓,能夠清楚了解自己的角色。
上一(yī)篇:DNS查詢竟然可以黑掉Systemd
下(xià)一(yī)篇:網絡攻擊之避免中(zhōng)間人攻擊的解決方式