技術(shù)永遠都是把雙刃劍，這在攻防不斷交織的網(wǎng)絡安全領(lǐng)域，表現(xiàn)的尤為突出。

隨著創(chuàng)新性技術(shù)的涌現(xiàn)，攻擊者的攻擊能力也在不斷提高。

例如，物聯(lián)網(wǎng)設備和云計算等技術(shù)的發(fā)展極大擴展了應用場景的范圍，但也使得攻擊者更容易訪問用戶的關(guān)鍵數(shù)據(jù)。

為快速應對安全問題，盡可能的降低安全事件造成的損失，進行有效事件響應（Incident Response, IR）成為企業(yè)的優(yōu)選方案。

  安全事件響應：

保持網(wǎng)絡彈性的關(guān)鍵步驟

根據(jù) IBM 的《X-Force威脅情報指數(shù)2022》報告，2019 年第三季度至 2020 年第四季度期間，物聯(lián)網(wǎng)惡意軟件活動增加了 3000%。

但情況“沒有最壞，只有更壞”， 2021 年的數(shù)據(jù)再次打破了記錄。

根據(jù)身份盜竊資源中心(Identity Theft Resource Center) 2021 年的數(shù)據(jù)泄露報告，去年共發(fā)生 1862 起數(shù)據(jù)泄露事件，高于 2020 年的 1108 起。

這些數(shù)據(jù)強調(diào)了一個殘酷的事實，即每個組織都應為最壞的情況做準備。而最有效的方法是制定為響應任何安全事件將采取的詳細步驟。

事件響應是對安全問題和事件的有計劃的反應。

例如，在遭遇或可能遭遇安全事件時，安全團隊在試圖保證數(shù)據(jù)完好性的同時如何反應，采取哪些行動來減少損失，以及何時能夠恢復資源。

Palo Alto Networks（派拓網(wǎng)絡）近期發(fā)布的《2022年Unit 42事件響應報告》指出，總體而言，勒索軟件和商業(yè)電子郵件泄露（BEC）是事件響應團隊在過去12個月中做出響應的首要事件類型，約占事件響應案例的70%。

事件響應案例中受影響最大的行業(yè)包括金融、專業(yè)和法律服務、制造、醫(yī)療保健、高科技以及批發(fā)和零售。

這些行業(yè)內(nèi)的企業(yè)往往會存儲、傳輸和處理大量攻擊者可以從中獲利的敏感信息。

此外，在該報告中還能看到許多細分數(shù)據(jù)，能夠幫助企業(yè)用戶正確認識事件響應案例中的具體威脅類型。

例如，在一半的事件響應案例中，企業(yè)在面向互聯(lián)網(wǎng)的關(guān)鍵系統(tǒng)上缺乏多因素身份驗證解決方案；

在13%的案例中，企業(yè)沒有針對暴力憑據(jù)攻擊采取措施鎖定帳戶；

在28%的案例中，不合格的補丁管理程序?qū)е鹿粽哂袡C可乘；

在44%的案例中，企業(yè)沒有端點檢測和響應（EDR）或擴展檢測和響應（XDR）安全解決方案，或是沒有完全部署在最初受影響的系統(tǒng)上以檢測和對惡意攻擊做出響應；

75%的內(nèi)部威脅案例涉及企業(yè)前員工。

雖然我們無法 100% 地阻止網(wǎng)絡攻擊，但可以通過加強事后響應及恢復能力，將損失降至最低。

2021年的RSA大會主題是Resilience（彈性），構(gòu)建網(wǎng)絡彈性的能力可以理解為預防、抵御、恢復、適應那些施加于含有網(wǎng)絡資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。

因此，安全事件響應能力成為關(guān)鍵一環(huán)。

理想的豐滿與現(xiàn)實的骨感

  事件響應不招待見？

根據(jù) Shred-it 在2021年發(fā)布的一份數(shù)據(jù)保護報告，10 名企業(yè)領(lǐng)導者中有 4 名將未來的數(shù)據(jù)泄露風險評為為 4 或 5（5分制，5 為最高風險），并且超過一半的受訪企業(yè)并沒有部署事件響應計劃。

這表明一些企業(yè)雖然了解風險，但未能充分采取保護其關(guān)鍵數(shù)據(jù)的措施。

因此，一旦發(fā)生安全事件，企業(yè)響應可能會很慢甚至束手無策，從而導致代價高昂的損失。

1/3的人更傾向于入侵防御而不是事件響應。這是根據(jù) 2022 年 5 月的一份名為“Breaches Prompt Changes to Enterprise IR Plans and Processes”的報告得出的結(jié)果。

該調(diào)查針對 188 名 IT 和網(wǎng)絡安全專業(yè)人士進行了分析，以了解其真實的事件響應想法和能力。

上圖數(shù)據(jù)顯示，共有 34% 的受訪者表示他們更愿意將 80%（21% 的受訪者）、90%（10% 的受訪者）或 100%（3% 的受訪者）的資源用于入侵防御而不是事件響應。

另有 34% 的人也優(yōu)先考慮防御。兩年間的數(shù)據(jù)類似，表明這一趨勢并沒有多大變化。

以上結(jié)果表明，組織在防御方面仍然比響應和修復更加重視，事件響應缺失的現(xiàn)象還很突出。

無獨有偶，2021 年，Wakefield Research進行的一項調(diào)查顯示，36%的公司沒有制定詳細的事件響應計劃。

并且，人們對外圍防御技術(shù)的興趣很高，72% 的人表示入侵防御和檢測措施仍然有效。

然而，來自政府和網(wǎng)絡保險公司的壓力可能會使得企業(yè)轉(zhuǎn)向事件響應。

2022年3月15日,美國總統(tǒng)拜登正式簽署了《2022年關(guān)鍵基礎設施網(wǎng)絡事件報告法》，要求關(guān)鍵基礎設施行業(yè)公司在遭遇網(wǎng)絡事件時要在72小時內(nèi)向網(wǎng)絡安全和基礎設施安全局（CISA）報告，在遭受勒索軟件攻擊而支付贖金后24小時內(nèi)向CISA報告，并采取補救措施。

雖然該法律僅適用于被劃定的 16 個關(guān)鍵基礎設施行業(yè)，但它為其他希望制定事件響應計劃的組織指明了方向。

制定事件響應策略

我國的網(wǎng)絡安全法規(guī)定，“國家支持網(wǎng)絡運營者之間在網(wǎng)絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網(wǎng)絡運營者的安全保障能力”“國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度”“國家網(wǎng)信部門協(xié)調(diào)有關(guān)部門建立健全網(wǎng)絡安全風險評估和應急工作機制，制定網(wǎng)絡安全事件應急預案，并定期組織演練”。

這為網(wǎng)絡安全事件應急響應提供了制度依據(jù)。

事件響應能力是可以通過做出準備來獲得。一個良好的事件響應策略應易于遵循，畢竟安全事件是全天候都可能發(fā)生的，其突發(fā)性可能會使得未做好充分準備的安全團隊措手不及。

安全事件響應策略的主要目標是為團隊的所有成員定義在發(fā)生（或疑似發(fā)生）安全事件后必須遵循的流程。

該策略應包含響應、監(jiān)控程序、任何違規(guī)行為以及因未遵守策略而進行處罰的詳細信息。安全事件響應策略應包括如下幾個要素：

• 整體事件響應策略

• 事件響應團隊的角色定義

• 響應過程和恢復程序的制定

• 事件溯源及確定根因的方法

•  建立未來預防措施的方法

SANS的事件響應報告則將事件響應聚焦在三個度量指標：從失陷到檢出的時長（也稱dwell time駐留時間）、從檢出到遏制的時長，以及從遏制到修復的時長。

主要的安全流程包括：隔離感染主機，阻斷C2惡意IP地址，關(guān)閉/下線系統(tǒng)，恢復失陷主機鏡像，移除流氓文件，從網(wǎng)絡中隔離感染機器并進行修復，識別與受感染系統(tǒng)相似的系統(tǒng)，基于已知IoC更新策略和規(guī)則，殺死流氓進程，在不重啟系統(tǒng)的條件下刪除被感染主機的文件和注冊表鍵值，徹底重建端點，重啟系統(tǒng)，遠程部署/升級，從可移動存儲設備上重啟系統(tǒng)并遠程修復系統(tǒng)等。

Gartner近期發(fā)布的響應網(wǎng)絡安全事件工具手冊，也為企業(yè)制定高效的事件響應計劃提供了參考。

該工具手冊包括制定事件響應計劃、編制詳細的響應手冊以及定期進行桌面演練。

其中，制定事件響應計劃包括了繪制響應流程圖、定義事件嚴重等級、明確職責等環(huán)節(jié)；編制詳細的響應手冊包括編制響應手冊、制定勒索軟件響應流程、詳細記錄響應流程等環(huán)節(jié)；定期進行桌面演練包括設置議程并邀請參與者、設定事件情景和場景、設計具有挑戰(zhàn)性的事件場景等環(huán)節(jié)。

此外，事件響應策略還包括信息安全事件報告制度。

第一時間發(fā)現(xiàn)潛在安全事件的是處于防御第一線的安全人員，他們的反應速度直接決定著事件響應的成敗與否。

事件響應是極耗人力的工作，因此自動化成為未來事件響應能力提升的關(guān)鍵。

目前，業(yè)界將SOAR（Security Orchestration, Automation and Response，安全編排和自動化響應）視為自動化響應的有效解決方案，許多安全廠商開始在該領(lǐng)域大舉投入。

根據(jù)Gartner的定義，SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報警信息，或通過與其它技術(shù)的集成和自動化協(xié)調(diào)，提供包括安全事件響應和威脅情報等功能。

SOAR技術(shù)市場最終目標是將安全編排和自動化(SOA)、安全事件響應(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中。

因此，用戶獲得高效的自動化事件響應能力，未來可期。

結(jié)語

速度決定高度，對安全事件的響應速度決定了安全能力以及企業(yè)業(yè)務平穩(wěn)運行的高度。

未來，隨著網(wǎng)絡安全向著體系化、常態(tài)化、實戰(zhàn)化方向演進，攻防對抗將成為常態(tài)，做好基于事件的響應，將對整體網(wǎng)絡安全防御帶來事半功倍的效果。