28、网络安全事件响应全解析

网络安全事件响应全解析

1. 提前规划的重要性

提前规划在网络安全事件响应中至关重要。业务连续性和灾难恢复（DR）计划里包含适用于信息技术生态系统的隐私指标，因为该生态系统涉及个人身份信息（PII）的存储、处理和共享，DR 计划能解决所有数字 PII 的恢复步骤。

2. 准备事件响应计划

每个公司的事件响应（IR）计划都独一无二，受公司规模、业务范围、监管需求和公司文化等多种因素影响。积极、参与度高且具备隐私和网络安全知识的用户群体，对事件的检测、沟通和修复至关重要；而消极、缺乏参与且对隐私和网络安全无知的文化，则可能导致事件发生，甚至阻碍修复。

要制定 IR 计划，需先深入了解公司的隐私和网络安全计划，以及业务连续性和灾难恢复计划。若这两个计划缺失，能反映出公司的优先级和风险管理能力。此时，应与高管团队沟通，他们的积极支持对隐私和网络安全计划的开发，尤其是 IR 能力的发展至关重要。

3. 内部团队还是外包服务

可将网络安全计划的开发类比为建造医院。此前的各项工作如同建设不同的病房和侧翼，而事件响应则是外科中心。公司需考虑是组建内部事件响应团队，还是与外部事件响应服务提供商合作。

多数中小型企业会选择外包 IR 功能，常见的服务提供商是托管检测与响应（MDR）供应商。不过，即便外包，公司仍需对计划负责，要与服务提供商共同设计和掌控计划，确保在网络安全方面承担全部责任。

使用内部团队进行事件响应的企业，要为团队提供完善的治理生态系统。内部 IR 团队应直接向首席信息安全官（CISO）汇报，并能自由访问隐私和风险管理团队，以及信息技术、人力资源、法律和通信等部门。IR 团队至少需两人，即 IR 经理和 IR 工程师，分别负责与组织沟通和执行具体的取证及修复工作。企业规模越大，IR 团队规模越大，结构也越复杂。

4. 组织架构

无论公司规模和范围如何，也不管是内部还是外包，IR 计划都需涵盖关键要素，首先要详细描述与网络事件相关的政策、标准、程序和指南。这些内容可从隐私和网络安全计划、业务连续性和灾难恢复计划中获取，并结合风险管理、法律和通信等方面的意见。这些政策将确定组织架构，明确 IR 工作流程中“谁在何时做什么”。

组织架构应根据公司需求选择。若公司是分散式的，可能需要分散的 IR 团队；若不是，集中式团队或许更合适。也可采用混合模式，部分 IR 能力由内部承担，部分外包。例如，总部规模大且在各地有卫星办公室的公司，可在总部设立集中式 IR 团队，在远程地点与经过审核的 IR 供应商合作。相关人员都应获得计划副本，最好保存在标有“别慌”的红色大文件夹中。

以下是不同组织架构的对比表格：
| 组织架构类型 | 适用场景 | 优点 | 缺点 |
| — | — | — | — |
| 集中式团队 | 公司结构集中，便于统一管理 | 统一指挥，协调高效 | 可能对局部情况响应不及时 |
| 分散式团队 | 公司分布广泛，业务多元化 | 能快速响应局部需求 | 协调难度大，资源分散 |
| 混合模式 | 总部规模大且有远程办公室 | 结合两者优点 | 管理复杂度高 |

5. 沟通机制

强大的 IR 计划要有明确的沟通协议，即明确“谁在何时向谁传达什么信息”。避免使用可能已被攻击的非安全通信方式，如电子邮件和非安全消息平台，甚至不安全的电话线也可能存在风险。应尽可能采用一对一的安全通信，按需知原则进行沟通。

沟通对象众多且复杂，可能包括保险公司、商业供应商、云解决方案提供商、互联网服务提供商、IT 供应商及其 IR 团队等第三方。可能还需通知执法部门，跨国公司则要遵守各国的事件报告规定。此外，可考虑与美国计算机应急响应小组（US - CERT）和其他特定行业的 IR 组织共享信息。

通知客户数据泄露情况不可避免，隐私、法律、保险和通信部门需就事件情况、应对措施和预防措施达成一致。及时、主动地与客户沟通，能避免因沟通不当破坏公司信誉。

以下是沟通对象的列表：
1. 保险公司
2. 商业供应商
3. 云解决方案提供商
4. 互联网服务提供商
5. IT 供应商及其 IR 团队
6. 执法部门（如 FBI、当地地方检察官办公室）
7. US - CERT
8. 特定行业的 IR 组织
9. 客户

6. 整合与更新

IR 计划需整合威胁分析、环境评估、深度防御和控制部署的成果，明确威胁情报来源、风险环境和防御措施。由于威胁形势不断变化，计划内容要及时更新，做好变更管理。

7. 工具和人员

完成 IR 计划还需确定事件响应工具包，主要是软件工具，也有部分硬件工具，这些工具需由专家操作。工具包会不断发展，计划中要体现最新的工具包信息，包括位置和访问凭证。

专业人员对事件响应至关重要，法医和事件响应工作复杂，未经专业培训和经验的人员使用法医工具可能会破坏证据。例如，曾有 IR 专业人员到达受攻击现场时，发现善意的 IT 团队已关闭服务器并从备份中恢复系统，导致无法确定攻击者和攻击原因。

8. 培训

IR 计划的最后一部分是培训，这里指的是类似实战演练的事件响应练习。通过频繁且全面的演练，包括有计划的演练和突发的惊喜演练，让公司从上到下的人员都熟悉事件响应流程，明确各自的职责。IR 团队需持续进行培训和实践，以在实际攻击中发挥最佳作用。

9. 识别事件

有了完善的 IR 计划后，需识别事件。要对环境进行全天候监控，普通公司监控会产生数千条日志和警报，技术使用较多的公司则可能有数百万条。但识别事件并非易事，很多事件可能数周甚至数月都未被发现。日常业务中的许多事件可能被误判为安全事件，如应用程序修改配置文件、文件服务器变慢、网络访问不稳定等。

安全信息和事件管理（SIEM）系统可处理大量信息，关联数据并发出异常事件警报。不过，不同的 SIEM 系统存在差异，需选择适合公司环境的系统，并进行微调。调整得当的 SIEM 系统能成为网络安全的好帮手，与公司协同处理警报、创建工单、记录趋势等。但要实现高效的事件检测，还需正确的系统管理实践和深度防御策略。

10. 遏制事件

当确认发生事件后，需按以下步骤进行处理：
1. 不要恐慌 ：遵循计划中的建议，保持冷静。
2. 识别 ：相信检测控制的结果，确定面临的情况。
3. 分析 ：这是一项艰巨的工作，需要专业技能和工具。专家团队要询问一系列问题，如有效负载、攻击向量、威胁来源、攻击方式和原因等。
4. 行动 ：根据分析结果采取行动，这涉及到是否保留证据用于后续行动、是否尽快恢复运营、是否容忍感染并寻找变通方法等决策，这些决策需在董事会层面做出，并提前进行演练。

在行动环节，要明确以下几点：
- 谁 ：确定攻击者身份、动机，这有助于制定遏制和处理方法。
- 如何 ：找出攻击向量，如恶意软件类型、攻击途径等，以便遏制攻击并保存法医数据。
- 什么 ：明确受攻击的系统部分，如端点、服务器、应用程序或网络等。法医人员需对受影响系统进行详细分析，收集证据，确定事件时间线。
- 为什么 ：了解被攻击的原因，有助于了解对手，构建更好的未来防御。

在事件遏制阶段，避免错误操作很重要。若公司缺乏专业知识，惊慌的高管或 IT 人员可能会采取不当措施，如关闭受感染计算机、使用不可靠的恶意软件清除工具等，这会破坏证据。因此，提前制定计划并进行演练至关重要。

以下是事件遏制步骤的 mermaid 流程图：

graph LR
    A[确认事件] --> B[不要恐慌]
    B --> C[识别]
    C --> D[分析]
    D --> E[行动]
    E --> E1[确定谁]
    E --> E2[确定如何]
    E --> E3[确定什么]
    E --> E4[确定为什么]

总之，完善的事件响应计划能帮助公司有效应对网络安全事件，减少损失，保护公司和客户的利益。

11. 事件响应的关键要点总结

为了更清晰地梳理事件响应的关键内容，以下以表格形式呈现各阶段的核心要点：
| 阶段 | 核心要点 |
| — | — |
| 规划阶段 | 重视提前规划，从业务连续性和灾难恢复计划中获取隐私指标，为数字 PII 恢复做准备 |
| 计划准备阶段 | 考虑公司规模、业务范围、监管需求和文化等因素制定独特的 IR 计划，与高管团队沟通获取支持 |
| 团队选择阶段 | 中小型企业可外包 IR 功能，使用内部团队需提供完善治理生态系统，明确团队人员职责 |
| 组织架构阶段 | 根据公司需求选择合适的组织架构，如集中式、分散式或混合模式，确保相关人员获取计划副本 |
| 沟通机制阶段 | 建立明确的沟通协议，选择安全的通信方式，确定沟通对象，及时与客户沟通数据泄露情况 |
| 整合与更新阶段 | 整合威胁分析等成果到计划中，做好变更管理，及时更新计划内容 |
| 工具和人员阶段 | 确定事件响应工具包，确保工具由专家操作，重视专业人员的作用，避免非专业操作破坏证据 |
| 培训阶段 | 进行类似实战演练的事件响应练习，包括有计划和突发演练，让全员熟悉流程 |
| 识别事件阶段 | 全天候监控环境，利用 SIEM 系统处理信息，但需选择和微调合适的系统 |
| 遏制事件阶段 | 遵循不要恐慌、识别、分析、行动的步骤，明确行动中的“谁、如何、什么、为什么”，避免错误操作 |

12. 不同规模企业的事件响应策略差异

不同规模的企业在事件响应方面存在明显差异，以下通过表格进行对比：
| 企业规模 | 团队选择 | 组织架构 | 沟通复杂度 | 工具和资源 | 培训重点 |
| — | — | — | — | — | — |
| 小型企业 | 倾向外包 IR 功能 | 可能采用简单的集中式或外包模式 | 沟通对象相对较少，复杂度较低 | 资源有限，依赖外部工具和服务 | 注重基础的网络安全意识培训 |
| 中型企业 | 可考虑外包或部分内部团队 | 可选择混合模式，平衡集中与分散 | 沟通对象增多，需协调内部和外部关系 | 有一定资源投入工具和人员，但仍需合理规划 | 加强专业技能培训和演练 |
| 大型企业 | 通常拥有内部团队 | 可能采用复杂的集中式或分散式架构 | 沟通对象众多，跨国企业需遵循多国规定 | 资源丰富，可自主开发和维护工具 | 进行全面、深入的实战演练和专业培训 |

13. 事件响应中的风险管理

在事件响应过程中，风险管理贯穿始终。以下是风险管理的关键步骤：
1. 风险评估 ：在制定 IR 计划前，对公司的资产、威胁、脆弱性进行全面评估，确定可能面临的风险等级。
2. 风险应对策略制定 ：根据风险评估结果，制定相应的应对策略，如避免、减轻、转移或接受风险。例如，对于高风险的攻击方式，可采取加强防御措施来减轻风险；对于一些难以控制的风险，可考虑购买保险进行转移。
3. 风险监控 ：在事件响应过程中，持续监控风险的变化。通过 SIEM 系统等工具，及时发现新的威胁和异常情况，评估风险的发展趋势。
4. 风险调整 ：根据风险监控结果，及时调整事件响应策略。如果发现某种攻击方式的风险增加，可加强相应的防御措施或调整沟通策略。

以下是风险管理步骤的 mermaid 流程图：

graph LR
    A[风险评估] --> B[风险应对策略制定]
    B --> C[风险监控]
    C --> D[风险调整]
    D --> C

14. 事件响应与合规性

在当今严格的监管环境下，事件响应必须符合相关法规要求。不同行业和地区有不同的合规标准，例如：
- 金融行业 ：需遵循《萨班斯 - 奥克斯利法案》（SOX）、《支付卡行业数据安全标准》（PCI DSS）等法规，在事件响应中要确保客户金融信息的安全和保密，及时向监管机构报告数据泄露事件。
- 医疗行业 ：要遵守《健康保险流通与责任法案》（HIPAA），保护患者的医疗隐私信息。在发生数据泄露时，需按照规定的时间和方式通知患者和监管部门。
- 跨国企业 ：需考虑不同国家和地区的法规差异，如欧盟的《通用数据保护条例》（GDPR），在事件报告和数据处理方面要满足当地要求。

为确保合规性，公司应在 IR 计划中明确合规要求，建立合规审查机制，定期进行合规性检查。同时，加强与法律部门的合作，及时了解法规变化，调整事件响应策略。

15. 持续改进事件响应计划

事件响应计划不是一成不变的，需要持续改进以适应不断变化的威胁环境。以下是持续改进的方法：
1. 事件复盘 ：每次事件响应结束后，组织相关人员进行复盘，分析事件处理过程中的优点和不足。例如，评估响应时间是否及时、沟通是否顺畅、措施是否有效等。
2. 经验总结 ：根据事件复盘结果，总结经验教训，形成文档。这些经验可以为未来的事件响应提供参考，避免重复犯错。
3. 计划更新 ：根据经验总结，对 IR 计划进行更新。更新内容可能包括调整流程、完善策略、补充工具和资源等。
4. 模拟演练优化 ：根据计划更新情况，优化模拟演练的内容和方式。例如，增加新的攻击场景、调整演练的难度和频率等，提高团队的应对能力。

以下是持续改进事件响应计划的步骤列表：
1. 事件复盘
2. 经验总结
3. 计划更新
4. 模拟演练优化

16. 结论

网络安全事件响应是一个复杂而系统的过程，涉及规划、团队、组织、沟通、工具、人员、培训等多个方面。不同规模的企业需要根据自身情况制定合适的事件响应策略，同时要重视风险管理、合规性和持续改进。通过完善的事件响应计划和有效的执行，企业能够在面对网络安全事件时保持冷静，快速响应，减少损失，保护公司和客户的利益。在不断变化的网络威胁环境下，持续提升事件响应能力是企业网络安全的重要保障。