创建安全事件响应计划的5个步骤
2020-05-15NealWeinberg
Neal Weinberg
受到网络攻击固然很糟糕,而与之相比更为糟糕的是受到了网络攻击,却没有事先制订好强有力的安全事件响应计划。
狡猾的高级持续威胁(APT)攻击通常是针对高价值目标,例如,存储大量信用卡数据和其他个人信息的信用卡公司、银行、零售商、医疗保健机构和连锁酒店等。但实际上,企业无论规模大小,无论身处哪一行业,都很难免受内部攻击或者随机恶意软件、网络钓鱼、勒索软件和拒绝服务攻击的影响。
企业应对泄露事件是否得当,意味着要么能够控制事件的发展并迅速恢复正常业务,要么企业声誉持续多年深受损害。
根据波内蒙研究所(Ponemon Institute)《2019年数据泄露事件成本报告》,全球泄露事件平均成本为390万美元,而美国企业平均成本为820万美元。据该报告,如果事先建立了事件响应小组,那么泄露事件的成本能够降低36万美元。
此外,据该报告,整个事件响应(IR)生命周期包括了检测、遏制、根除、补救和恢复等过程,如果企业能够在200天以内完成这一过程,与那些花费200天以上的企业相比,能够节省120万美元。
企业还需记住,与泄露事件相关的成本中,有67%发生在第一年;第二年是22%,这是因为企业会努力恢复声誉,减缓客户流失率,吸引新客户。据Ponemon报告,在第三年甚至更长的时间里,人们都能感受到泄露事件的长期影响。
创建事件响应计划看起来是一项艰巨的任务,但有一些方法可以把这个过程分解为易于处理的部分。把事件响应视为一个完整的反馈循环过程,一开始,在威胁造成任何伤害之前便能够发现威胁,如果确实发生了泄露事件,则快速将其遏制住,修复安全防御系统中可能被攻击的任何漏洞,然后从事件中吸取教训,这些教训可以应用到企业持续进行的泄露事件预防和检测活动中。换句话说,计划应涵盖泄露事件前、事件中和事件后的活动。
1.组建事件响应小组
如果企业不幸曾被攻击过,那么最后悔的可能是之前没有组建事件响应小组。企业都应该有一个事件响应小组,其中包括最有能力的IT安全专业人员,但也需要整个企业的广泛参与,这一点非常重要。
来自高管层的支持也很重要。有了企业领导层的支持,IT主管就能够招聘到需要的合格人员来实施计划。这些人应接受培训,以便他们知道自己的角色和责任。
按照企业的规模和在全球的分布情况,可能需要组件多个小组,例如,一个北美小组,一个亚太小组,以适应不同的语言、法规和报告要求等。
除了安全分析师,还需要有人去处理事件响应技术人员和关键相关方(包括高级领导层、董事会和非技术员工)之间的内部沟通。还应立即通知参与供应链的合作伙伴、供应商和其他第三方。
律师和审计师应参与到处理各种问题的循环过程中来,包括合规、法律责任,与执法部门打交道等。在公共关系方面,必须有一个危机管理小组来设法处理泄露事件带来的负面影响。需要通知客户。市场营销也要适时参与进来,以制定旨在重建客户信任的公关策略。
小组还必须有一个领导,即事件响应经理,并且应该指派专人来收集文档。同样重要的是要有畅通的沟通渠道,能随时联系上每一个人,如果小组关键成员休假或者在灾难发生时联系不上,还应该有备份或者备用方案。
对于应向IT管理层、高管层、受影响的部门、受影响的客户和媒体传达多少细节,应该有明确的原则。
还需要考虑其他沟通问题:如果刚刚发现攻击,攻击者可能仍在监听内部通信,那么最好暂停使用电子邮件、即时通信和协作应用程序,每个人应该在房间里面对面地进行交流。小组可能需要从公司总部前往泄露事件发生所在地,因此需要考虑相关的后勤保障。
确实要组件事件响应小组,不能纸上谈兵。企业应留出时间进行适当的演习,以确保每个人都知道当真正出现事故时该怎么办。
2.制订行動手册
企业应制订行动手册,全面、详细地指导怎样应对安全事件。行动手册是事件响应计划的根本。
行动手册应涵盖准备、检测、分析、遏制、根除、恢复和事故后处理等环节。手册的一个关键点是,必须制订的非常详细,清楚地阐明角色、职责和处理程序。另一方面,由于很难预测泄露事件的类型和严重程度,因此,手册应非常灵活,人们能够根据情况需要,有权自由地随时作出重要决定。
例如,卡内基梅隆大学制订的行动手册长达11页。加利福尼亚州科技部的事件响应计划有4页,包括小组成员应遵循的17步检查表。
同样重要的是,随着环境的变化和威胁的演变,企业应不断更新行动手册。要根据事件响应小组在应对威胁时所汲取的经验教训,不断完善行动手册。行业协会、分析师和同业团体等外部资源的见解也应纳入行动手册中。
当然,事件真正来临时,事件响应小组再身经百战也未必能完全做好准备,他们可能要每周7天,每天工作18小时,甚至要连续工作几星期。而定义好了角色和职责的事件响应行动手册肯定会有帮助。
3.预防和准备
显然,最好的事件响应计划是在第一时间阻止泄露事件的发生。企业应进行漏洞评估和其他类型的分析,以发现并堵塞安全漏洞。企业还需要对员工进行安全最佳实践方面的培训,例如,创建强密码,不要点击网络钓鱼链接等。预防阶段还应包括在发生泄露事件时提供所需的工具和资源。
企业还需要对数据和应用程序的业务价值认真进行评估。通过这一步骤,安全小组加强了防御,保护企业最重要的资产,首先确定攻击者最感兴趣的高价值数据类型,确保有更强的安全措施来保护这些数据。
Ponemon报告中最令人惊讶的发现是,确认数据泄露所需的时间平均是197天,而一旦发现数据泄露,遏制数据泄露所需的时间平均为69天。这意味着很多情况下,攻击者在被发现之前,已经在企业的系统里至少扎根了6个月以上。
怎么會这样?在最近由Splunk赞助的IDC调查中,只有40%的企业制订了比较宽泛的事件响应计划,只有14%的企业拥有流程自动化的事件响应管理平台。
最终的结果是,安全分析人员在雪崩般的警报面前应接不暇,无法对这些警报准确地进行分类,不知道哪些是误报,哪些是直接威胁。接受IDC调查的2/3的企业报告称,他们每周遭受一次攻击,30%的企业至少每天遭受一次攻击,而10%的企业每小时会遭受一次攻击。
在这种持续遭受攻击的环境下,只有27%的受调查企业表示,他们能够轻松应对这么多的攻击,28%的企业表示,他们处境艰难,另有5%的企业则表示,他们一直在四处灭火。安全小组面对大量的攻击措手不及,没有适当的工具、流程和计划来有效管理其事件响应活动。
Imperva的一项研究调查支持了这一结论,该调查发现,在安全运维中心(SOC)工作的分析师平均每天调查20~26起事件。警报实在太多了,安全专业人员最终会忽略一些警报,或者修改他们的策略以减少接收到的警报次数。
Imperva调查中的大多数IT专业人员(53%)表示,他们所在企业的SOC一直苦于很难确定哪些安全事件是关键的,哪些只是干扰噪声。
有效地排除背景噪声的最佳方法是通过自动处理事件响应,对事件响应进行编排。据Ponemon的报告,自动化将数据泄露的平均成本降低了155万美元,并增强了网络攻击的预防、检测、响应和遏制能力。通过自动化,安全分析师提高了效率,能够根据更准确的信息来采取行动。Ponemon说,编排使得事件响应速度提高了40倍。
4.发现和遏制
当发现可能会有事件发生时,事件响应技术小组应立即采取行动,通知全公司上一级事件响应小组的成员,开始收集证据,决定事件的类型和严重程度,并记录好他们正在做的所有工作。
当下的目标是遏制事件的发展,防止出现进一步的损害。这涉及各种标准的安全措施,例如隔离受到攻击的网段、关闭已被攻破的生产服务器,或者将任何其他受损资产进行隔离。
长期来看,目标是使受影响的系统恢复生产,以便企业能够恢复正常运营。这可能是一项复杂的任务,因为事件响应分析人员可能一直想找出攻击者是怎样进入的,他们可能逃脱了什么,以及是否还在进行攻击。下一步是确定攻击的根本原因,将其消除,然后加固系统,以防止将来出现类似的攻击。
在恢复阶段,企业将受影响的生产系统重新联网,这是一个谨慎、有条不紊的过程,包括测试系统、验证系统是否正常运行并监视系统,以确保一切恢复正常。
恢复之后是进行修复。例如,如果攻击者是通过销售点(POS)终端进入的,那么该企业应重新检查POS相关的所有安全策略和过程。如果攻击涉及密码被攻破,那么企业应重新制定其密码策略,并考虑采用双重身份验证。
5.进行事后分析
事件结束后,企业需要花时间进行彻底调查,查明事件原因,计算成本,并制定策略以防止今后发生类似的事件。
回顾并确定安全小组可能犯下的错误(例如,导致泄露事件的配置错误),这个过程可能会有些痛苦。当然,也可能是最终用户点击了钓鱼链接导致出现泄露。或者是内部攻击造成的。无论根本原因是什么,收集信息都有助于企业确定把重点放在哪里,以防止未来出现泄露事件。所有这些经验教训都需要重新编入行动手册中。
Neal Weinberg是一名自由技术作家和编辑。可以通过neal@misterwrite.net联系到他。
原文网址
https://www.idginsiderpro.com/article/3529381/5-steps-to-create-a-security-incident-response-plan.html