译者 | 晶颜
审校 | 重楼
一个残酷的现实是,网络威胁不会消失!随着技术的不断发展,威胁行为者使用的战术和技术也将随之演变。Statista最近的一份报告显示,到2029年,全球网络犯罪的成本将达到15.63万亿美元。为了解决这个问题,组织可以做的最重要的事情之一就是做好准备。根据美国国家标准与技术研究院(NIST)的说法,在事件响应生命周期的四个关键阶段中,首先也是尤为重要的就是准备阶段。
组织可以采取多个主动型准备步骤来确保事件响应(IR)准备就绪,这些步骤包括定期进行风险评估、实施全面的安全政策、提供持续的监控和威胁情报收集。组织还可以通过投资培训计划和模拟演练来增强其IR能力,从而对网络事件做出更快速有效的响应。
以下是组织可以在任何网络安全事件发生之前进行的一些准备活动,这些措施最终可以帮助提高组织的整体IR和网络安全成熟度。
1. 进行IR准备评估
未经测试的组织可能无法完全掌握他们不知道的事情。由外部第三方进行的IR准备评估提供了对组织当前准备状态的关键观点。这样的评估包括评估过程、程序、人员、文档和技术,以衡量组织整体IR准备的成熟度。与审计不同,这些评估的目的是找出可能会削弱组织对事件的有效反应能力的潜在弱点。
组织可以通过识别人员(能力和技能缺口)、过程或技术来主动解决潜在缺陷。这种积极主动的方法不仅能加强网络威胁防御能力,还为改进准备状况提供了机会。最终,这样的评估使组织能够加强防御,并在日益复杂和具有挑战性的网络安全环境中更好地保护自己。
2. 制定健全的IR计划
IR计划是管理网络事件的全面指南。它细致地概述了组织在任何类型和严重性事件发生之前、期间和之后的响应策略。它还详细说明了组织IR团队的结构,指定了角色和职责,以确保事件期间的清晰度和效率。
该计划应该包括IR的基本步骤:准备、发现和分析、遏制、根除和恢复以及事件后活动。每个步骤都旨在系统地处理和缓解事件的影响,确保事件管理的结构化方法。此外,一个有效的计划还会定义目标和目的、事件严重程度和其他关键因素,这些因素有助于形成一个全面的响应框架。
最重要的是,IR计划应被视为一份动态文件。它需要定期更新和维护以保持有效性和相关性。Fortinet建议对该计划进行两年一次的审查,并在每次重大事件发生后进行重新评估。这个审查过程可以确保吸取的经验教训被集成到计划中,并且组织发生的任何变化都能得到反映和处理。
如果没有这样的计划,组织可能会在危机期间做出仓促决定,导致代价高昂且无效的结果。维护良好的IR计划可以在事件期间提供清晰的路线图,并增强组织快速有效应对挑战的能力。
3. 通过IR手册提供指导
事件响应手册是更广泛的IR计划的重要延伸,提供针对特定事件的标准化程序。手册提供了一个清晰的、可操作的框架,概述了组织为准备、响应和从各种不同类型的事件中恢复所必须采取的精确步骤。通过关注具体的事件场景,手册能确保反应不仅迅速,而且有效且一致。
每个IR手册都提供了IR所有阶段的详细指导,包括准备、检测和分析、遏制、根除、恢复和事件后活动。这些文件的设计也应该是全面的,包括分配给响应小组特定成员的逐步行动项目。这种级别的细节可以确保在事件响应期间,所有任务都得到考虑,每个目标都得到满足。
典型的手册包括勒索软件、恶意软件、商业电子邮件欺诈(BEC)、拒绝服务攻击、数据丢失事件、设备丢失或被盗、内部威胁和零日漏洞。手册应该描述每个场景的具体行动和责任,确保响应团队做好充分准备,有效而自信地处理事件。
4. 用桌面演练测试IR计划
一旦IR计划和手册准备就绪,就可以使用桌面演练来测试它们了。根据NIST的说法,桌面演练是“一种基于讨论的练习,人员在紧急情况下(讨论)他们的角色以及他们对特定紧急情况的反应。”
简而言之,桌面演练就像角色扮演游戏。引导者为参与者提供有关虚构的网络安全事件的事实或“注入”。然后,参与者讨论如何使用IR计划和手册作为指导来应对这些“事实”。这些演练可以迎合特定的受众进行开发,通常作为技术团队成员的操作练习,或者作为组织领导者在事件期间关注业务和策略相关决策的高级练习。
桌面演练应至少每年进行一次。然而,一个季度的周期是团队保持新鲜感和提高其对网络安全事件反应能力的最佳选择。
5. 开发系统清单和网络图
不幸的是,许多安全和IT专业人员不知道存在哪些IR资源或如何访问它们。这使得安全团队很难理解已知活动的上下文,或有效地发现事件的广度和深度,关键时间都被浪费在追踪业务所有者、构建网络图或其他本应在事件发生之前实施的活动上。这可能显著拖缓响应工作并加剧业务影响。
系统清单应包括诸如业务所有者、系统功能、主机名和IP、数据分类、数据关键性、相关审计或监管信息,以及其他可能对事件响应者有用的关键标识信息。这些信息可以帮助识别并确保对整个组织中最关键系统的及时响应。了解与这些系统相关的业务流程同样非常重要,这样可以在整个事件过程中做出明智的决策。
网络图帮助事件响应人员了解系统的位置、网络分段情况,以及可用于帮助遏制和消除威胁行为者的潜在阻塞点或隔离点。在事件发生之前开发系统清单和网络图可以实现更高效地响应,使响应人员能够了解在事件发生期间给定系统受到损害对组织的影响。
6. 实施补丁管理流程
威胁行为者正通过利用公开系统中的漏洞作为初始访问媒介,获取长久而稳定的立足点。根据FortiGuard调查数据显示,在2023年下半年和2024年上半年处理的全部IR事件中,46%的事件是由面向公众的应用程序中的漏洞直接导致的。供应商通常在这些漏洞被攻击者利用前几周、几个月甚至几年就提供了补丁。虽然有人可能会说,由于零日漏洞的存在,打补丁并非万无一失,但打补丁能够有效地缩小组织的威胁范围,并消除容易实现的目标,是不可或缺的防御措施。
7. 定期进行漏洞评估和渗透测试
漏洞评估对于评估和改进补丁管理过程的有效性至关重要。这些评估通常针对内部/外部IP或系统,使用自动化工具和手动技术来检查系统、应用程序和网络设备之间的现有漏洞。在此评估过程中,仔细审查结果以消除误报并准确评估漏洞对组织的潜在影响是至关重要的。
漏洞评估侧重于已知的漏洞,而渗透测试则在发现可能危及组织网络、系统或应用程序的未知漏洞方面发挥补充作用。渗透测试可以针对特定的环境(例如内部或外部网络)进行调整,以确定威胁行为者可能利用的潜在入口点。另外,渗透测试可能侧重于特定的Web或移动应用程序,进行彻底的检查,以识别可能被恶意利用或在网络中获得未经授权访问的潜在漏洞。
尽管相关法规可能要求组织对特定环境进行年度渗透测试,但对于许多组织来说,更频繁地进行这些评估是明智的。考虑到网络环境的动态性,漏洞评估应该定期进行,频率通常是每月一次,而渗透测试通常至少每年进行一次,如果可能的话,更频繁会更好。
8. 检查活动目录环境
活动目录(AD)基础设施通常会随着组织的发展而扩展。虽然AD环境是身份和访问管理(IAM)程序的一部分,但在彻底的管理和安全监督方面,AD环境却经常被忽视。对AD环境进行全面审查,确保其与Microsoft和标准组织(如NIST)的关键建议保持一致,不仅能增强AD配置的整体安全态势,促进日志记录功能的优化,还能推动更有效的事件检测和调查工作。
对AD环境的评估应该包括根据行业最佳实践评估其配置。此过程旨在识别和修复潜在的安全漏洞、错误配置或恶意行为者可能利用的漏洞。通过实施推荐的协议,组织可以显著减少整体威胁,并加强对未经授权访问和潜在破坏的防御。
审查和增强AD日志记录对于快速和准确的事件响应至关重要。正确配置的日志提供了对用户活动、身份验证尝试和系统事件的关键洞察,使安全团队能够及时检测和缓解威胁。这种主动的方法有助于降低潜在风险,并确保符合法规要求和行业标准。而对AD环境进行全面审查和持续管理则有助于维护稳健的IAM实践,并增强整体网络安全弹性。
9. 启用集中日志并确保监控
许多网络安全事件可能持续数周甚至数月而未被发现,这凸显了日志在有效事件调查中的关键作用。采用基于风险的方法对于确定要捕获哪些日志、定义保留期限和建立必要的详细级别以支持调查过程至关重要。通过集成设备、网络和安全解决方案生成的日志,组织可以将数据关联起来,以帮助调查和检测其环境中的异常行为。
集中的日志记录构成了有效检测程序的基础,但是监视这些信息同样重要。如果没有强大的监控,组织可能会忽略或错过关键警报,从而可能导致网络安全事件升级。因此,组织必须确保及时响应通过集中日志和安全警报机制识别的异常和警报。
通过集成集中日志记录和监控,组织可以在事件升级为全面事件之前主动识别和响应事件。这种主动姿态增强了IR能力,提升了整体网络弹性,能够更好地在当今动态威胁环境中防范潜在威胁。
不要忘记终端用户
FortiGuard IR团队观察到,有效凭据在过去一年中的使用量显著增加,约占初始访问方法的54%。这一趋势表明,攻击者越来越老练,他们正利用合法凭据获得未经授权的访问,以绕过传统的安全措施。为了有效地对抗这种威胁,组织应该优先分析其环境中的正常用户行为,以识别指示恶意活动的异常值。一个强大的方法是实现用户和实体行为分析(UEBA)。UEBA利用先进的算法和机器学习来监视用户操作,建立行为基线,并检测可能发出安全事件信号的异常情况。
然而,对于用户行为分析来说,复杂的工具并非刚需,前提是拥有健壮的日志记录实践(参见上面的第9项)。组织可以通过系统地记录各种用户活动(如登录时间、用于身份验证的设备、访问的系统和使用的应用程序)来创建全面的行为基线。这些基线能够识别可能指示潜在网络安全事件的异常值。定义什么是正常行为并为异常活动建立阈值是至关重要的步骤。当检测到异常时,表明帐户可能被泄露或存在内部威胁,需要立即进行调查和响应。不过,不管用户行为分析是如何进行的,都必须要为响应者准备一份行动指南。
将行为分析集成到安全策略中对于缓解日益加剧的凭据滥用威胁至关重要。通过利用UEBA(甚至是基本的日志记录和监视),组织可以创建一个动态的、响应性强的安全态势,从而快速识别和缓解威胁。这种主动的方法增强了对恶意活动的早期检测,提升了IR能力,并强化了组织的安全框架。
原文标题:Preparation Is Not Optional: 10 Incident Response Readiness Considerations for Any Organization,作者:John Hollenberger
