創建安全事件響應計劃的5個步驟

Neal Weinberg

受到網絡攻擊固然很糟糕，而與之相比更為糟糕的是受到了網絡攻擊，卻沒有事先制訂好強有力的安全事件響應計劃。

狡猾的高級持續威脅（APT）攻擊通常是針對高價值目標，例如，存儲大量信用卡數據和其他個人信息的信用卡公司、銀行、零售商、醫療保健機構和連鎖酒店等。但實際上，企業無論規模大小，無論身處哪一行業，都很難免受內部攻擊或者隨機惡意軟件、網絡釣魚、勒索軟件和拒絕服務攻擊的影響。

企業應對泄露事件是否得當，意味著要么能夠控制事件的發展并迅速恢復正常業務，要么企業聲譽持續多年深受損害。

根據波內蒙研究所（Ponemon Institute）《2019年數據泄露事件成本報告》，全球泄露事件平均成本為390萬美元，而美國企業平均成本為820萬美元。據該報告，如果事先建立了事件響應小組，那么泄露事件的成本能夠降低36萬美元。

此外，據該報告，整個事件響應（IR）生命周期包括了檢測、遏制、根除、補救和恢復等過程，如果企業能夠在200天以內完成這一過程，與那些花費200天以上的企業相比，能夠節省120萬美元。

企業還需記住，與泄露事件相關的成本中，有67%發生在第一年;第二年是22%，這是因為企業會努力恢復聲譽，減緩客戶流失率，吸引新客戶。據Ponemon報告，在第三年甚至更長的時間里，人們都能感受到泄露事件的長期影響。

創建事件響應計劃看起來是一項艱巨的任務，但有一些方法可以把這個過程分解為易于處理的部分。把事件響應視為一個完整的反饋循環過程，一開始，在威脅造成任何傷害之前便能夠發現威脅，如果確實發生了泄露事件，則快速將其遏制住，修復安全防御系統中可能被攻擊的任何漏洞，然后從事件中吸取教訓，這些教訓可以應用到企業持續進行的泄露事件預防和檢測活動中。換句話說，計劃應涵蓋泄露事件前、事件中和事件后的活動。

1.組建事件響應小組

如果企業不幸曾被攻擊過，那么最后悔的可能是之前沒有組建事件響應小組。企業都應該有一個事件響應小組，其中包括最有能力的IT安全專業人員，但也需要整個企業的廣泛參與，這一點非常重要。

來自高管層的支持也很重要。有了企業領導層的支持，IT主管就能夠招聘到需要的合格人員來實施計劃。這些人應接受培訓，以便他們知道自己的角色和責任。

按照企業的規模和在全球的分布情況，可能需要組件多個小組，例如，一個北美小組，一個亞太小組，以適應不同的語言、法規和報告要求等。

除了安全分析師，還需要有人去處理事件響應技術人員和關鍵相關方（包括高級領導層、董事會和非技術員工）之間的內部溝通。還應立即通知參與供應鏈的合作伙伴、供應商和其他第三方。

律師和審計師應參與到處理各種問題的循環過程中來，包括合規、法律責任，與執法部門打交道等。在公共關系方面，必須有一個危機管理小組來設法處理泄露事件帶來的負面影響。需要通知客戶。市場營銷也要適時參與進來，以制定旨在重建客戶信任的公關策略。

小組還必須有一個領導，即事件響應經理，并且應該指派專人來收集文檔。同樣重要的是要有暢通的溝通渠道，能隨時聯系上每一個人，如果小組關鍵成員休假或者在災難發生時聯系不上，還應該有備份或者備用方案。

對于應向IT管理層、高管層、受影響的部門、受影響的客戶和媒體傳達多少細節，應該有明確的原則。

還需要考慮其他溝通問題：如果剛剛發現攻擊，攻擊者可能仍在監聽內部通信，那么最好暫停使用電子郵件、即時通信和協作應用程序，每個人應該在房間里面對面地進行交流。小組可能需要從公司總部前往泄露事件發生所在地，因此需要考慮相關的后勤保障。

確實要組件事件響應小組，不能紙上談兵。企業應留出時間進行適當的演習，以確保每個人都知道當真正出現事故時該怎么辦。

2.制訂行動手冊

企業應制訂行動手冊，全面、詳細地指導怎樣應對安全事件。行動手冊是事件響應計劃的根本。

行動手冊應涵蓋準備、檢測、分析、遏制、根除、恢復和事故后處理等環節。手冊的一個關鍵點是，必須制訂的非常詳細，清楚地闡明角色、職責和處理程序。另一方面，由于很難預測泄露事件的類型和嚴重程度，因此，手冊應非常靈活，人們能夠根據情況需要，有權自由地隨時作出重要決定。

例如，卡內基梅隆大學制訂的行動手冊長達11頁。加利福尼亞州科技部的事件響應計劃有4頁，包括小組成員應遵循的17步檢查表。

同樣重要的是，隨著環境的變化和威脅的演變，企業應不斷更新行動手冊。要根據事件響應小組在應對威脅時所汲取的經驗教訓，不斷完善行動手冊。行業協會、分析師和同業團體等外部資源的見解也應納入行動手冊中。

當然，事件真正來臨時，事件響應小組再身經百戰也未必能完全做好準備，他們可能要每周7天，每天工作18小時，甚至要連續工作幾星期。而定義好了角色和職責的事件響應行動手冊肯定會有幫助。

3.預防和準備

顯然，最好的事件響應計劃是在第一時間阻止泄露事件的發生。企業應進行漏洞評估和其他類型的分析，以發現并堵塞安全漏洞。企業還需要對員工進行安全最佳實踐方面的培訓，例如，創建強密碼，不要點擊網絡釣魚鏈接等。預防階段還應包括在發生泄露事件時提供所需的工具和資源。

企業還需要對數據和應用程序的業務價值認真進行評估。通過這一步驟，安全小組加強了防御，保護企業最重要的資產，首先確定攻擊者最感興趣的高價值數據類型，確保有更強的安全措施來保護這些數據。

Ponemon報告中最令人驚訝的發現是，確認數據泄露所需的時間平均是197天，而一旦發現數據泄露，遏制數據泄露所需的時間平均為69天。這意味著很多情況下，攻擊者在被發現之前，已經在企業的系統里至少扎根了6個月以上。

怎么會這樣？在最近由Splunk贊助的IDC調查中，只有40%的企業制訂了比較寬泛的事件響應計劃，只有14%的企業擁有流程自動化的事件響應管理平臺。

最終的結果是，安全分析人員在雪崩般的警報面前應接不暇，無法對這些警報準確地進行分類，不知道哪些是誤報，哪些是直接威脅。接受IDC調查的2/3的企業報告稱，他們每周遭受一次攻擊，30%的企業至少每天遭受一次攻擊，而10%的企業每小時會遭受一次攻擊。

在這種持續遭受攻擊的環境下，只有27%的受調查企業表示，他們能夠輕松應對這么多的攻擊，28%的企業表示，他們處境艱難，另有5%的企業則表示，他們一直在四處滅火。安全小組面對大量的攻擊措手不及，沒有適當的工具、流程和計劃來有效管理其事件響應活動。

Imperva的一項研究調查支持了這一結論，該調查發現，在安全運維中心（SOC）工作的分析師平均每天調查20～26起事件。警報實在太多了，安全專業人員最終會忽略一些警報，或者修改他們的策略以減少接收到的警報次數。

Imperva調查中的大多數IT專業人員（53%）表示，他們所在企業的SOC一直苦于很難確定哪些安全事件是關鍵的，哪些只是干擾噪聲。

有效地排除背景噪聲的最佳方法是通過自動處理事件響應，對事件響應進行編排。據Ponemon的報告，自動化將數據泄露的平均成本降低了155萬美元，并增強了網絡攻擊的預防、檢測、響應和遏制能力。通過自動化，安全分析師提高了效率，能夠根據更準確的信息來采取行動。Ponemon說，編排使得事件響應速度提高了40倍。

4.發現和遏制

當發現可能會有事件發生時，事件響應技術小組應立即采取行動，通知全公司上一級事件響應小組的成員，開始收集證據，決定事件的類型和嚴重程度，并記錄好他們正在做的所有工作。

當下的目標是遏制事件的發展，防止出現進一步的損害。這涉及各種標準的安全措施，例如隔離受到攻擊的網段、關閉已被攻破的生產服務器，或者將任何其他受損資產進行隔離。

長期來看，目標是使受影響的系統恢復生產，以便企業能夠恢復正常運營。這可能是一項復雜的任務，因為事件響應分析人員可能一直想找出攻擊者是怎樣進入的，他們可能逃脫了什么，以及是否還在進行攻擊。下一步是確定攻擊的根本原因，將其消除，然后加固系統，以防止將來出現類似的攻擊。

在恢復階段，企業將受影響的生產系統重新聯網，這是一個謹慎、有條不紊的過程，包括測試系統、驗證系統是否正常運行并監視系統，以確保一切恢復正常。

恢復之后是進行修復。例如，如果攻擊者是通過銷售點（POS）終端進入的，那么該企業應重新檢查POS相關的所有安全策略和過程。如果攻擊涉及密碼被攻破，那么企業應重新制定其密碼策略，并考慮采用雙重身份驗證。

5.進行事后分析

事件結束后，企業需要花時間進行徹底調查，查明事件原因，計算成本，并制定策略以防止今后發生類似的事件。

回顧并確定安全小組可能犯下的錯誤（例如，導致泄露事件的配置錯誤），這個過程可能會有些痛苦。當然，也可能是最終用戶點擊了釣魚鏈接導致出現泄露。或者是內部攻擊造成的。無論根本原因是什么，收集信息都有助于企業確定把重點放在哪里，以防止未來出現泄露事件。所有這些經驗教訓都需要重新編入行動手冊中。

Neal Weinberg是一名自由技術作家和編輯。可以通過neal@misterwrite.net聯系到他。

原文網址

https：//www.idginsiderpro.com/article/3529381/5-steps-to-create-a-security-incident-response-plan.html