专栏首页FreeBuf事件应急响应管理的5条建议

事件应急响应管理的5条建议

什么是应急响应?

通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。

应急处理的两个根本性目标:确保恢复、追究责任。

除非是“事后”处理的事件,否则应急处理人员首先要解决的问题是如何确保受影响的系统恢复正常的功能。在确保恢复的工作中,应急处理人员需要保存各种必要的证据,以供将来其他工作使用。追究责任涉及到法律问题,一般用户单位或第三方支援的应急处理人员主要起到配合分析的作用,因为展开这样的调查通常需要得到司法许可。

多数企业都建立了应急响应的独立团队,通常称为计算机安全应急响应小组(Computer Security Incident Response Team,CSIRT),以响应计算机安全事件。应急响应涉及多门学科,要求多种能力:通常要求从公司的不同部分获取资源。人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的,需要在应急响应工作中进行配合。

事件响应管理5大建议

下面就为大家分享一些可能行之有效的事件响应实践建议:

1. 事件响应Retainers(Incident Response Retainers,简称IRR)

我们首先推荐Incident Response Retainers并不奇怪,因为它是我们投资组合的基石。但是并不要认为我们如此推荐是存在私心的,毕竟,我想要能在第一时间进行响应是需要Retainers工具加持的。在如今这个时代,任何公司都应该部署自己的IRR产品,当然,这并不包含一些免费的IRR服务。你要记住,付出才有回报,免费的东西自然有它的作用,但是千万不要奢求太多。

此外,在紧急情况下拥有可以与之合作的独立公司也是非常重要的。以思科公司为例,我们不仅能够在紧急情况中引入我们的事件响应(IR)团队,还能够引入我们的Talos威胁情报组织、危机沟通专家、产品团队以及项目经理等等。这些团队对于危机处理具有非常重要的意义。此外,提供retainer服务的公司不应该是被动的,他们应该全年与你一起工作,通过桌面练习来增强防御能力,强化安全计划,甚至是主动和独立捕获对手的能力。当你拥有这样的合作伙伴,你才有机会更为平稳地度过危机。

2. 先进的端点保护

在这所有5项建议中,有2项涉及技术层面的建议,这就是其中一项。在管理活跃事件(active incident)时,作为响应者所需的一项关键能力就是,能够在更大规模的环境中洞察并有效地响应事件。想要实现这一点,就需要一款高级端点保护工具的支持了。

以思科高级恶意软件防护(AMP)工具为例,借助AMP内置的可见性和触手可及的响应能力,我们可以比使用其他方式做出更快速、高效的响应。当与思科安全体系结构中的其他解决方案配合使用时,思科AMP还能够提供一种非常强大且有凝聚力的方式,来持续监控和响应网络上的安全问题。

3. 网络分段

由于缺乏经由网络分段的控制设备,许多网络和组织都已经被攻击“下线”。作为思科IR团队,我们其中一项职责就是在客户端遭受攻击后,与客户合作完成事件响应和灾难恢复工工作。通常情况下,这些攻击已经损害了目标用户的网络环境,并通过勒索软件感染或锁定了数百万计算机设备。是的没错,就是数百万设备!此外,在我们处理的75%以上的勒索软件案件中,受害者客户的备份服务器也被加密锁定了。

过去,分段要么被视为合规问题,要么被控制数据访问的方式,但是对我而言,分段是一种必需的控制机制和基本的网络卫生措施。

4. 安全监控

这一点的重要性可谓不言而喻,但是却仍未获得应有的重视。事实证明,直至2018年,太多的组织似乎仍在依赖外部组织(如FBI)或安全新闻机构来通知他们存在安全问题。这类组织应该进行充分的内部安全监控,以便有能力自行发现并处理自身系统中存在的安全问题。

我始终认为,在购买任何安全产品之前,供应商必须提供所需的资源估算:即鉴于环境规模,成功地运行、配置、维护以及监控产品所需的具体资源(例如人员等)。此外,你还必须聘请并培训相关员工,以支持工具更有效地发挥作用。通常情况下,工具都是被买来作为“辅助性”事物使用的,可以代替部分人力。我记得在最近参与的一项事件响应实践中,事件响应团队登录了安全控制台查看可用数据,结果发现它像圣诞树一样闪闪发光,原来该工具正在显示威胁情报,如果有人一直在监视它的话,就能够有效地阻止大规模的威胁行为。

5. 基于网络的安全

这是最后一项建议,同时也是第二项技术推荐。应该将基于网络的安全控制分层,以防止来自web和基于电子邮件的威胁攻击。这些控制措施应该包括诸如垃圾邮件过滤服务或设备、在可能的情况下阻止代理处的未分类流量、启用DNS保护服务来过滤内容、阻止进一步的恶意软件、防止僵尸网络,以及防止URL错别字(如Cisco Umbrella)问题等项目。此外,实施这些控制措施还需要考虑监控问题,以检测和限制请求域名与攻击者行为或恶意软件相关的设备。

除了上述5项建议之外,思科还会定期提供其他建议,例如双因素(two factor)、渗透测试以及关注治理、风险和合规(GRC)等。就风险和合规问题而言,一个惊人的事实是,仍然有很多组织尚未进行过基本的安全评估工作,而且也不具备合理完善的安全计划。更糟糕的是,截至目前,安全性仍然不是某些组织的优先考虑事项。

在如今这个新时代,安全需要融入所有事情,IT人员也应该向着保护公司、客户和用户共同利益的目标努力。希望本文对你是有用的,也许它证实了你所看到的、知道的或者你自己正在做的事情。

编者按:本文作者Sean Mason为思科公司事件应急响应服务部门主管,负责组织该公司内部事件响应实践3年多时间,本文由其作为博文发布在思科官网中。

*参考来源:cisco,米雪儿编译整理,转载请注明来自 FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:米雪儿

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-05-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何使用WLAN的SSID提取用户的凭证数据

    这几天,我一直都在研究Windows的无线热点(承载网络)功能。在研究的过程中,我脑海里突然冒出了一个非常有实用性的想法:用无线热点的SSID来进行数据提取。因...

    FB客服
  • 内网全局代理工具及特征分析

    端口转发是点对点的方式,代理是点对面的方式,如果我们只需要访问主机的特定的端口,使用端口转发就够了,但通常在渗透进内网之后,我们还需要对整个内网进行横向渗透,这...

    FB客服
  • iOS逆向之人脸识别绕过

    达到目的的手段有很多种,也许存在优劣之分,我只是选择了其中一种我认为好玩的方式。人脸识别校验状态存储在服务端,因此即使通过该种方法绕过客户端人脸识别,由于并未获...

    FB客服
  • Laravel 5.5 为响应请求提供的可响应接口

    Laravel 5.5 的路由中增加了一种新的返回类型:可相应接口(Responsable)。该接口允许对象在从控制器或者闭包路由中返回时自动被转化为标准的 H...

    小李刀刀
  • 探究call、bind、apply知识点

    w候人兮猗
  • 微信小程序|配置商品导航

    我们日常当中越来越多的小程序需要用到选择购买商品,并将商品加入购物车的导航过程,那么如何实现这个过程呢?

    算法与编程之美
  • Javascript 组合继承 原型链继承 寄生继承

    该继承通过构造函数继承原型链的方法和父类的属性,但该方法会有两次调用父类,第一次是在继承原型链,第二次在继承属性。

    菜的黑人牙膏
  • [OHIF-Viewers]医疗数字阅片-医学影像-中间插播一下-es6-使用const加箭头函数声明函数相对于function声明函数有什么好处?

    这个好多人都已经写过了,这里插播一下,在OHIF-Viewers里面有很多这样的写法,当然OHIF-Viewers维护者众多,有人用这种新的写法也有原始的写法,...

    landv
  • 闭包(Closure)

    要搞懂闭包首先得搞懂什么是作用域,作用域分为全局作用域和局部(函数)作用域,每个作用域都有与他关联的变量对象(定义的所有变量和函数),作用域简单理解就是变量执行...

    _kyle
  • 华为海思总裁:科技必须自立!至暗时刻,所有“备胎”一夜转“正”

    华为将不再“打造备胎”然后再“换胎”,缓冲区已完全消失,新产品必将同步做到“科技自立”。

    镁客网

扫码关注云+社区

领取腾讯云代金券