人非圣贤,孰能无过?但在安全行业,小过失往往造成大损失。从缺乏计划到紧急关闭事件,这些常见错误都会严重破坏应急响应(IR)工作的有效性,进而损害企业利益。
运行良好的网络事件响应团队(CIRT)可以通过阻止早期入侵转变成全面的数据泄露事件,来证明网络安全计划的最终保障能力。至少,CIRT可以在事情没有演变得不可收拾之前,将数据泄露的影响降至最低。
尽管当前许多网络安全组织都部署了早期的网络事件响应团队,但是真正实现良好运行的却并不多。
根据具备灾后恢复工作经验的安全专家表示,由于应急响应(IR)故障,许多事件变得更加糟糕。而且这些故障都是企业反复触及的一些常见错误集。为了帮助企业组织更好地实现应急响应,安全专家总结了top 10失误点,以及关于如何规避这些错误的相关建议。
1. 没有合适的应急响应计划
毫无疑问,排在第一的应急响应错误就是未能制定适当的计划,该计划可以在发生安全事件时有效地指导安全团队行事。
Digital Guardian网络安全副总裁Tim Bandos表示:
“时至今日,我仍然看到很多企业并未制定适当的应急响应计划来应对安全事件。通常来说,这一过程需要雇佣第三方应急响应团队参与进来,部署代理、收集证据、执行分析等等。这可能会花费很多时间,但是结果一定是值得的。因为要知道,恶意行为者在企业环境中潜伏的越久,他们用于窃取企业信息的时间也就越多。所以,部署适当的计划,及时发现和阻止攻击,对于企业而言是具有高投资回报率的事情。”
对于这种情况,安全顾问和第三方响应公司早就察觉到了。可惜,仍然有很多公司没有准备响应计划,也没有遏制和响应策略,甚至也没有适当的升级计划。
Kudelski Security首席执行官Andrew Howard表示:
“我们的应急响应小组还发现,客户对于应对违规行为时所面临的威胁普遍缺乏了解。造成这种缺乏了解和准备的因素有很多:其中一个就是,许多网络事件响应程序在创建之初都没有考虑任何策略,取而代之的是,创建一个团队并提供一组威胁检测或威胁情报工具,然后要求他们进行操作。不幸的是,如果没有驱动整个团队的理念和计划,这只会造成一种虚假的安全感。”
2. 无法测试计划可行性
Beyond Security首席执行官Aviram Jenik表示,如果最大的错误是根本不具备应急响应计划的话,那么紧随其后的就是永远不会实际地测试计划的可行性和有效性。
Jenik表示:
“记住,每个企业都可以制定一份计划,但是计划有效性如何,也许只有到直面挑战的那一天才知晓。为了最大限度地降低攻击影响,您需要应急响应小组介入,来检测该计划的可行性和有效性。”
进行测试的方法有很多种,应该从程序级别,桌面练习以及技术级别(如定期的红队练习)进行验证。此外,安全专家还建议可以使用更高级的预检和模拟对所有部件进行进一步测试。
Optiv公司威胁管理技术总监Curtis Fechner称:
“涵盖单个遵从性驱动方案的基本桌面练习,可能无法提供足够的维度来验证该计划的基本原理是否合理,并切实地支持企业级别的应急响应(IR)可执行计划。认真对待这项测试以推动持续改进至关重要。”
3. 计划中暗藏过时细节
定期进行安全测试可以帮助减少另一项常见错误:应急响应计划成为过时品。
Pen Test Partners公司取证顾问Andrew Bassi表示:
“应急响应程序的生命历程大致是这样的:编写完成、搁置、蒙尘、攻击来袭再匆忙将其挖掘出来。届时,最初设定的联系人可能早已离职或者更换他人,而且过程也可能不适用当前环境中所部署的硬件/软件。”
Bassi建议,虽然不一定每次公司更换平台时都需要编写新计划,但确实需要定期对其进行审查以获取更新信息。
除此之外,还可以在某些部分(如升级计划)编写得足够通用一些,这样就不会过时得那么快。比如,工作流应该按部门、职务或角色指定负责的人员或小组,而不是按个人姓名来,以此避免人员流动带来的问题。总之,所有的人机交互都应该是通用的,但要精确地确定所有权——例如,指定数据隐私官或云安全架构师,而不是John或Sandy。
4. 缺少自动化的最佳选择
自动化可以大大提高应急响应程序的效率和效果。其背后的原理是,通过适当的自动化水平,以削减低价值的手动劳作,同时还可以将更适合人工决策的任务交给最精明的分析人员处理,实现了人员效益最大化。
RedSeal的首席技术官Mike Lloyd表示:
“有些组织会因为自动化程度不足,或者应急响应过程遇到困难而最终迷失其中,空留一个响亮的口号。还有一部分组织则适得其反,过度地利用了自动化,完全没有意识到机器决策仍然存在不足,致其成为攻击者的攻击入口。”
5. 在弄不清状况的情况下工作
为可靠的应急响应实践奠定的一些最佳基础,也是实现良好的IT管理和安全管理的解决方案。包括进行一些资产发现和分类等“发现自我”的工作。
要知道,未能解决资产清单或数据分类及管理等方面的问题,将会导致诸多错误。不知道自己在保护什么,或者企业最宝贵的东西是什么,在哪里,就很难制定合理的投资者关系策略。
6. 让威胁行为持续太久
警报优先级和分类是管理分析工作负载的重要组成部分。但是,简单地根据关键高点对操作进行优先级排序,而忽略低级和不明显的威胁行为,可能会使导致某些异常活动被忽略,直至发生入侵事件才悔之晚矣。
这种仅遵循优先级处理威胁的方法所存在的问题在于,一些低级的威胁可能会在企业网络中潜伏很久很深,而无法被视为优先事项进行处理。而如果组织可以在流程的较早阶段发现并组织该威胁,实际上可以更好地减轻企业组织面临的风险。
针对该问题,可以通过更平衡的应急响应工具组合以及诸如威胁捕获之类的积极实践来解决。
7. 结案太快
采取最快的速度结案,并且不去深究引发问题的根本原因以及恶意活动的相关迹象等问题,可能会导致问题的进一步扩散和恶化,而应急响应团队很可能只是在跟表面现象做斗争,而并未将问题扼杀在萌芽状态。
Sophos托管威胁响应高级总监JJ Thompson表示:
“通过避开需要费时挖掘的关键问题,来尽快结案或赢得胜利,通常会导致更广泛的传播问题。通常情况下,这些恶意软件或明显的入口点都是假定的,但由于技术限制而未经验证,这可能会导致应急响应团队、法务人员和行政人员之间产生误会,从而导致错误的违规报告。”
8. 缺乏合作和沟通
无论响应者是在安全运营中心(SOC)还是远程办公,成功的应急响应计划都能使团队成员紧密协作,并且更高效地合作处理案件。由于新冠疫情持续蔓延,应急响应团队现在必须采用新的远程工作策略,这也使得他们投入了更多精力在通信方法和渠道上。通过小组聊天、共享的跟踪表和团队电话会议,团队成员间能够轻松地共享数据以及相关的事件信息,这些都比以往任何时候都更为重要。
IBM X-Force网络应急响应团队的首席技术官Chris Scott表示:
“由于此次全球危机,办公室内的沟通对话减少了。而一旦沟通和协作中断,围绕安全事件的背景信息就会丢失。只有拥有正确的背景信息,人们才有可能做出最佳决策。”
9. 在不设置脚本的情况下执行
仅仅制定总体性和战略性的应急响应计划是远远不够的。应急响应团队还需要针对常见情况制定战术计划,以此来节省响应时间和简化操作流程。
这就是为什么有些安全专家指出,最大的错误之一就是在没有脚本和设定程序的情况下处理事件。
By Light公司首席技术官Ken Jenkins表示:
“企业必须设定团队将要响应的特定类型的事件,并制定逐步的程序,而这些程序必须确保可以在当下最激烈的攻击事件中运行。关于这些程序越详细越好。”
10. 缺乏时间观念的事件通知
当涉及内部和外部违规通知时,时间就是一切。而企业组织犯下的最大错误之一就是过早或过迟地传达违规通知。
过早沟通会导致无法回答诸多细节问题,或无法为组织和第三方的潜在风险和影响提供更多见解。而过晚沟通又会带来无法及时发现和处理事件的感觉。