技術永遠都是把雙刃劍，這在攻防不斷交織的網絡安全領域，表現的尤為突出。

隨著創新性技術的涌現，攻擊者的攻擊能力也在不斷提高。

例如，物聯網設備和云計算等技術的發展極大擴展了應用場景的范圍，但也使得攻擊者更容易訪問用戶的關鍵數據。

為快速應對安全問題，盡可能的降低安全事件造成的損失，進行有效事件響應（Incident Response, IR）成為企業的優選方案。

  安全事件響應：

保持網絡彈性的關鍵步驟

根據 IBM 的《X-Force威脅情報指數2022》報告，2019 年第三季度至 2020 年第四季度期間，物聯網惡意軟件活動增加了 3000%。

但情況“沒有最壞，只有更壞”， 2021 年的數據再次打破了記錄。

根據身份盜竊資源中心(Identity Theft Resource Center) 2021 年的數據泄露報告，去年共發生 1862 起數據泄露事件，高于 2020 年的 1108 起。

這些數據強調了一個殘酷的事實，即每個組織都應為最壞的情況做準備。而最有效的方法是制定為響應任何安全事件將采取的詳細步驟。

事件響應是對安全問題和事件的有計劃的反應。

例如，在遭遇或可能遭遇安全事件時，安全團隊在試圖保證數據完好性的同時如何反應，采取哪些行動來減少損失，以及何時能夠恢復資源。

Palo Alto Networks（派拓網絡）近期發布的《2022年Unit 42事件響應報告》指出，總體而言，勒索軟件和商業電子郵件泄露（BEC）是事件響應團隊在過去12個月中做出響應的首要事件類型，約占事件響應案例的70%。

事件響應案例中受影響最大的行業包括金融、專業和法律服務、制造、醫療保健、高科技以及批發和零售。

這些行業內的企業往往會存儲、傳輸和處理大量攻擊者可以從中獲利的敏感信息。

此外，在該報告中還能看到許多細分數據，能夠幫助企業用戶正確認識事件響應案例中的具體威脅類型。

例如，在一半的事件響應案例中，企業在面向互聯網的關鍵系統上缺乏多因素身份驗證解決方案；

在13%的案例中，企業沒有針對暴力憑據攻擊采取措施鎖定帳戶；

在28%的案例中，不合格的補丁管理程序導致攻擊者有機可乘；

在44%的案例中，企業沒有端點檢測和響應（EDR）或擴展檢測和響應（XDR）安全解決方案，或是沒有完全部署在最初受影響的系統上以檢測和對惡意攻擊做出響應；

75%的內部威脅案例涉及企業前員工。

雖然我們無法 100% 地阻止網絡攻擊，但可以通過加強事后響應及恢復能力，將損失降至最低。

2021年的RSA大會主題是Resilience（彈性），構建網絡彈性的能力可以理解為預防、抵御、恢復、適應那些施加于含有網絡資源的系統的不利條件、壓力、攻擊或損害的能力。

因此，安全事件響應能力成為關鍵一環。

理想的豐滿與現實的骨感

  事件響應不招待見？

根據 Shred-it 在2021年發布的一份數據保護報告，10 名企業領導者中有 4 名將未來的數據泄露風險評為為 4 或 5（5分制，5 為最高風險），并且超過一半的受訪企業并沒有部署事件響應計劃。

這表明一些企業雖然了解風險，但未能充分采取保護其關鍵數據的措施。

因此，一旦發生安全事件，企業響應可能會很慢甚至束手無策，從而導致代價高昂的損失。

1/3的人更傾向于入侵防御而不是事件響應。這是根據 2022 年 5 月的一份名為“Breaches Prompt Changes to Enterprise IR Plans and Processes”的報告得出的結果。

該調查針對 188 名 IT 和網絡安全專業人士進行了分析，以了解其真實的事件響應想法和能力。

上圖數據顯示，共有 34% 的受訪者表示他們更愿意將 80%（21% 的受訪者）、90%（10% 的受訪者）或 100%（3% 的受訪者）的資源用于入侵防御而不是事件響應。

另有 34% 的人也優先考慮防御。兩年間的數據類似，表明這一趨勢并沒有多大變化。

以上結果表明，組織在防御方面仍然比響應和修復更加重視，事件響應缺失的現象還很突出。

無獨有偶，2021 年，Wakefield Research進行的一項調查顯示，36%的公司沒有制定詳細的事件響應計劃。

并且，人們對外圍防御技術的興趣很高，72% 的人表示入侵防御和檢測措施仍然有效。

然而，來自政府和網絡保險公司的壓力可能會使得企業轉向事件響應。

2022年3月15日,美國總統拜登正式簽署了《2022年關鍵基礎設施網絡事件報告法》，要求關鍵基礎設施行業公司在遭遇網絡事件時要在72小時內向網絡安全和基礎設施安全局（CISA）報告，在遭受勒索軟件攻擊而支付贖金后24小時內向CISA報告，并采取補救措施。

雖然該法律僅適用于被劃定的 16 個關鍵基礎設施行業，但它為其他希望制定事件響應計劃的組織指明了方向。

制定事件響應策略

我國的網絡安全法規定，“國家支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網絡運營者的安全保障能力”“國家建立網絡安全監測預警和信息通報制度”“國家網信部門協調有關部門建立健全網絡安全風險評估和應急工作機制，制定網絡安全事件應急預案，并定期組織演練”。

這為網絡安全事件應急響應提供了制度依據。

事件響應能力是可以通過做出準備來獲得。一個良好的事件響應策略應易于遵循，畢竟安全事件是全天候都可能發生的，其突發性可能會使得未做好充分準備的安全團隊措手不及。

安全事件響應策略的主要目標是為團隊的所有成員定義在發生（或疑似發生）安全事件后必須遵循的流程。

該策略應包含響應、監控程序、任何違規行為以及因未遵守策略而進行處罰的詳細信息。安全事件響應策略應包括如下幾個要素：

• 整體事件響應策略

• 事件響應團隊的角色定義

• 響應過程和恢復程序的制定

• 事件溯源及確定根因的方法

•  建立未來預防措施的方法

SANS的事件響應報告則將事件響應聚焦在三個度量指標：從失陷到檢出的時長（也稱dwell time駐留時間）、從檢出到遏制的時長，以及從遏制到修復的時長。

主要的安全流程包括：隔離感染主機，阻斷C2惡意IP地址，關閉/下線系統，恢復失陷主機鏡像，移除流氓文件，從網絡中隔離感染機器并進行修復，識別與受感染系統相似的系統，基于已知IoC更新策略和規則，殺死流氓進程，在不重啟系統的條件下刪除被感染主機的文件和注冊表鍵值，徹底重建端點，重啟系統，遠程部署/升級，從可移動存儲設備上重啟系統并遠程修復系統等。

Gartner近期發布的響應網絡安全事件工具手冊，也為企業制定高效的事件響應計劃提供了參考。

該工具手冊包括制定事件響應計劃、編制詳細的響應手冊以及定期進行桌面演練。

其中，制定事件響應計劃包括了繪制響應流程圖、定義事件嚴重等級、明確職責等環節；編制詳細的響應手冊包括編制響應手冊、制定勒索軟件響應流程、詳細記錄響應流程等環節；定期進行桌面演練包括設置議程并邀請參與者、設定事件情景和場景、設計具有挑戰性的事件場景等環節。

此外，事件響應策略還包括信息安全事件報告制度。

第一時間發現潛在安全事件的是處于防御第一線的安全人員，他們的反應速度直接決定著事件響應的成敗與否。

事件響應是極耗人力的工作，因此自動化成為未來事件響應能力提升的關鍵。

目前，業界將SOAR（Security Orchestration, Automation and Response，安全編排和自動化響應）視為自動化響應的有效解決方案，許多安全廠商開始在該領域大舉投入。

根據Gartner的定義，SOAR是指能使企業組織從SIEM等監控系統中收集報警信息，或通過與其它技術的集成和自動化協調，提供包括安全事件響應和威脅情報等功能。

SOAR技術市場最終目標是將安全編排和自動化(SOA)、安全事件響應(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中。

因此，用戶獲得高效的自動化事件響應能力，未來可期。

結語

速度決定高度，對安全事件的響應速度決定了安全能力以及企業業務平穩運行的高度。

未來，隨著網絡安全向著體系化、常態化、實戰化方向演進，攻防對抗將成為常態，做好基于事件的響應，將對整體網絡安全防御帶來事半功倍的效果。