大(dà)多數企業都搞錯了事件響應的這兩個階段

發布日期:2018-05-08首頁 > IT資(zī)訊

事件響應不是個事情,而是個過程。

事件響應

事件響應是有基準的,SANS培訓出來的安全人員(yuán)都熟悉這6個階段:準備、識别、限制、清除、恢複、總結經驗教訓。這6個階段定義了公司企業以最少的修複時間将網絡攻擊破壞限制在最小(xiǎo)範圍的基本操作。

但是,這6個階段中(zhōng)有些方面是公司企業老弄錯了的。

觀察最近一(yī)系列勒索軟件攻擊的受害者,不難看出事件響應是一(yī)個依所處情況不斷修正的動态過程。

大(dà)多數公司要麽提供SaaS平台供員(yuán)工(gōng)操作,要麽依賴SaaS平台運營,而他們部署的很多事件響應計劃并未真的适應了此類動态環境。

相反,大(dà)多數公司的事件響應計劃的焦點,都集中(zhōng)在本世紀初甚至更早時期的靜态環境上。雖說以前的靜态環境和現在的動态環境還是有很多交集,但确實有些小(xiǎo)的方面如果不注意的話(huà),是可以讓公司栽個大(dà)跟頭,信譽與底線雙雙受損的。

于是,這其中(zhōng)有哪些方面是公司企業尚未投注足夠的重視的呢?有哪些地方尚存有空白(bái)和漏洞呢?

最大(dà)的漏洞恐怕就是沒認識到事件響應是個過程,而不是個事情。你做的不是事件響應,而是事件響應中(zhōng)的一(yī)個階段。

另外(wài),限制和清除這兩個階段之間的差異也少有人意識到。很多人都覺得直接跳到清除過程就好了啊,清除掉了不就限制了威脅的破壞了麽?

然而,這種想法大(dà)錯特錯。

限制階段的存在是有原因的。通過将威脅限制在某一(yī)範圍,事件響應團隊就有時間對事件進行恰當的排查。這又(yòu)走回了識别階段,有些公司就是在這裏會有些迷惑與混亂。識别階段不是入侵檢測,而是确定公司所遭遇攻擊已經嚴重到何種程度。

你得找出每一(yī)台被感染的設備,如若不然,攻擊者就仍然會在公司網絡中(zhōng)留下(xià)據點,即便事件響應的所有6個階段都走完了。

換句話(huà)說,限制階段基本上就是密集監視,對攻擊者圍追堵截,盡一(yī)切努力阻礙其達成最終目标。

這一(yī)階段,響應團隊依然在勾勒對手的輪廓,了解感染的範圍和嚴重程度,但卻又(yòu)好像什麽都沒有幹,因爲你僅僅是在看着。而這就是大(dà)多數公司都很難進行的部分(fēn)之一(yī),畢竟,幹看着對手而不動作的耐心不是每個人都有的。

如果有在司法部門工(gōng)作的經曆,倒是不難理解爲什麽會有“限制”這個階段了。這一(yī)階段可以讓你确定自己已經完全摸清了狀況,可以在真正的壞事即将發生(shēng)時加以阻斷。但如果沒能做好這一(yī)步驟就馬上切到了清除階段,那基本上相當于做無用功,等于又(yòu)重新回到了原點。

大(dà)多數事件響應計劃中(zhōng)的第二大(dà)空白(bái),集中(zhōng)在恢複和經驗總結上。大(dà)多數公司企業在這方面做得糟透了。

他們總是太過關注自己是怎麽被攻擊的,或者發生(shēng)的情況是有多麽異常。

然而,事件的發生(shēng)肯定不僅僅運氣不好這個原因。這些公司卻放(fàng)棄了認識到同樣的事件極有可能再次發生(shēng)的機會。

他們沒有花時間去(qù)追問可以做些什麽來确保既從當前事件中(zhōng)恢複,又(yòu)能檢測并擊敗未來的類似事件。

而一(yī)旦公司防護脆弱的事流傳出去(qù),被攻擊的風險就會成倍上升,因爲别的黑客都排長隊等着試手了,更别說曾經嘗試過的那撥攻擊者了。

攻擊者第一(yī)次沒能得手最終目标的話(huà),他們卷土重來的概率幾乎是100%。

想要公司企業承認自己防護失敗,承認從長遠看自己必須做得更好,是需要相當的自我(wǒ)意識的,這也正是爲什麽回複和經驗總結階段如此重要的原因所在。然而,想要達到這種級别的自我(wǒ)意識,公司文化就不得不做出一(yī)些改變。

事件發生(shēng)後,大(dà)多數公司都集中(zhōng)在打補丁或增加額外(wài)的入侵檢測防護層上,卻忘了問題的根源。

但實際上,退回到最初的幾個階段來衡量某些東西才是真正應該做的。比如,威脅入侵了多長時間你才檢測出來?也就是業内很多人說的,駐留時間有多長?

如果每次事件後都不能縮短駐留時間,那隻是說明公司的入侵檢測存在系統性問題。

但有趣的是,大(dà)多數公司企業都不讨論駐留時間。你幾乎看不到有哪家公司談論自己在哪個年份處理了多少事件,自己的響應速度有多快。

事件響應的底線就在于,這是一(yī)個循環,而你總是處在經驗教訓總結這個階段。

所以,這個循環永遠不會完結,你不過是又(yòu)走回識别階段,在想“别的事件将要發生(shēng),我(wǒ)們能找出來嗎(ma)?”

事件響應成爲大(dà)多數公司日常安全運營而不是有事時才想起來用用的原因正在于此。

事實上,安全行業中(zhōng)将事件響應作爲日常任務采用的公司,也比那些求助于兩三年前就弄好放(fàng)那兒積灰的發展得好。