在開發應急響應(IR,IncidentResponse)計劃時,細節非常關鍵。但是,即使是最成功的IR計劃也可能缺乏關鍵信息,導緻不能很快的恢複正常業務運營。
Cybereason的這一指南深入介紹了九個經常被遺忘,但是非常重要的步驟,您應該将其納入您的IR計劃中。
整個公司都要做好準備
一名優秀的安全領導應能讓全公司的員工都參與幫助制定IR計劃。雖然CISO最有可能管理應對威脅的團隊,但處理好洩露事件的後果則需要整個公司的努力。
例如,如果法律要求企業披露所遇到的洩露事件,那麼處理洩露事件影響的銀行可能需要其公共關系員工的幫助。
如果對手通過利用公司網站中的漏洞(例如WordPress漏洞)進行攻擊,那麼銀行的Web開發團隊也要參與進來。此外,如果員工的個人信息被洩露,則可能需要聯系公司的人力資源部門。銀行的應急響應計劃應包括所有這些部門的反饋。
一個全面的應急響應計劃規定了當檢測到洩露事件時應通知的關鍵人員,以及怎樣把洩露事件信息通報到整個企業内部和外部。在準備階段,應向計劃中添加通信時間表和關鍵人員的聯系信息。
明确測量和指标一個成功的應急響應計劃會預先定義好安全部門在事件期間要測量的關鍵性能指标(KPI)。要跟蹤的一些比較好的時間相關測量指标包括檢測時間、報告事件的時間、分流時間、調查時間和響應時間。定性的,一些要跟蹤的指标包括虛警的數量、攻擊的性質(基于惡意軟件與非惡意軟件)和發現事件的工具。
保持測試運行
公司應在準備階段考慮好可能發生的各種洩露事件場景。應在團隊培訓、桌面練習和藍隊紅隊對抗等活動中練習這些場景。企業甚至應該模拟洩露事件,以便員工在真的出現洩露事件時知道自己應該幹什麼。
在這一階段,公司發現其弱點和風險因素,找出需要密切監控的活動,并決定怎樣把安全預算花出去。如果公司成長非常迅速,那麼應該每年或者更頻繁地修訂IR計劃。此外,應急響應計劃應包括所有的業務規章制度。
對顯示為良性的警報展開調查
威脅檢測可以從最初看起來是良性的并且與安全無關的情形開始。例如,對運行較慢的計算機進行IT調查可能會發現機器感染了惡意軟件,調查對網絡釣魚攻擊的恐懼程度,以及通過調查發現是否有人點擊了可疑鍊接。IT專業人員在查看技術問題時一定要檢查是不是有破壞的迹象——即使事件似乎與安全無關。
公司針對攻擊最好的防禦措施是讓用戶受到良好的訓練,例如,他們知道在收到有奇怪鍊接的電子郵件後應該與安全部門聯系。
此外,IT和安全部門不要忽視用戶的懷疑。因為一個人的直覺最終可能會發現洩露事件,因此,一定要重視預感。
創建統一的數據庫
無論公司使用何種方法來檢測威脅,一個重要步驟是把所有事件合并到中央存儲庫中。公司在這方面通常使用SIEM,但有時這不足以在IT環境中掌握全面情況。
應急響應團隊一般會嘗試事後為在此環境下發生的所有事件建立一個全景視圖。在這一點,建立全面的視圖通常為時太晚,應急響應團隊最終得到的結果非常不全面,沒有任何價值。構建并維護在整個環境中都具有連續性和廣泛可見性的數據庫不僅對于法規要求至關重要,而且對加快調查和迅速響應也非常重要。
不要忽視工業控制
許多企業具有運行工業系統的設施,例如煉油廠或者制藥廠。然而,公司可能不認為攻擊者會瞄準這些地方,沒有密切監視他們的惡意活動。
在某些情況下,IT或者安全部門以外的其他部門負責管理工業控制系統基礎設施。該部門的人員可能缺乏密切監視這些系統所需的知識,有可能導緻忽略了安全問題。
遏制和補救
完全停下來,進行徹底的遏制和補救工作,而不是隻解決攻擊的表面症狀——這是非常有必要的。然而,安全部門通常為一個非常廣泛的問題提供特定的解決方案,這導緻相同的攻擊很有可能再次發生。
遏制和補救計劃必須基于安全部門對事件的調查結果。一般而言,開發的計劃依賴于僅在初步檢測期間收集到的信息。例如,如果SIEM檢測到與C2服務器的惡意連接,典型的解決方案是終止創建通信的進程,并阻斷防火牆中的IP地址。但是,如果惡意軟件是持續性的,當計算機重新啟動時,它會重新加載,可能使用不同的進程名稱,并與不同的服務器進行通信。
之後,安全部門就會針對同一種威脅而沒完沒了地進行檢測、遏制和根除工作。另一方面,如果團隊調查了惡意軟件所采用的技術和感染媒介,那就會有更好的根除計劃,并可能開發出預防計劃。
做好事後預算和資源計劃
事後工作對于防止安全事件再次發生至關重要。然而,公司往往不完全遵循這一步驟。事後工作産生的一些建議需要花費資金,預算有限的企業可能不會接受這些步驟。成本較低的選擇包括向SIEM添加新的檢測規則,而一些較為昂貴的事後步驟則需要雇傭額外的安全分析師或者購買技術來檢測攻擊。
事後階段也是企業審查其KPI的績效并确定是否需要進行調整的階段。例如,安全部門會确定某些檢測規則導緻出現過多的誤報,這些誤報不利于對事件做出迅速響應。然後,可以去改進所采用的一組檢測規則,或者升級到能力更好的其他檢測系統。安全部門還可以決定添加基于用戶報告事件的檢測規則,而不是基于由SIEM檢測到的事件。
整個企業的後續行動
在洩露事件後,企業應準備好投入時間和金錢進行學習和改進。同樣重要的是,學習和改進過程不應隻有IT和安全部門參與。通常情況下,與準備階段相似,事後工作隻關注安全部門做什麼工作——一般是遏制和檢測。
如果事後工作隻限于安全部門,那麼管理過程雖然會比較容易,但沒有考慮公司中的其他部門應如何參與才能提高他們在未來更好地應對安全事件的能力。應急響應需要整個企業所有部門的合作,而不僅僅是IT和安全部門。
RyanFrancis是《網絡世界》的主編兼CSO。可以通過rfrancis@idgenterprise聯系他。
原文網址:http://www.csoonline/article/3181330/dataprotection/do-you-havean-incident-responseplan-in-place.html