Security+ 学习笔记47 事件响应方案

一、建立一个事件响应方案(Incident response program)

虽然我们努力保护我们的系统和信息免受各种威胁，但现实是，无论我们采取多少控制措施，仍然有可能成为网络安全事件的受害者。在本章节的笔记中，我们将以美国国家标准与技术研究所(NIST)认可的标准事件响应过程 进行记录 ，(Security+毕竟是美国的认证)。

每个组织都应该制定一个网络安全事件响应计划(Incident response plan)，其中概述了当事件发生时该组织将遵循的政策、程序和准则。这个准备过程是非常重要的，因为它在危机发生的时候提供了结构和组织。总体来说，所有处理好事件的组织都有一个共同点。他们清楚地考虑了他们的事件响应过程，并在事件发生前将其记录下来。另一方面，不顺利的事件响应通常发生在那些没有进行事先计划的组织中。

一个正式的事件应对计划应该包括几个案例要素。

1. 首先，它应该以目的声明(Statement of purpose) 开始。组织创建事件响应计划的原因是什么，计划的范围是什么？该计划涵盖哪些类型的事件？例如，它是否只限于网络安全事件，还是涵盖任何敏感信息的损失？
2. 其次，它应该描述事件响应工作的明确战略和目标。对于第一反应者和在更高战略层面处理事件的人来说，什么是最优先的事项？如果响应者应该优先考虑遏制而不是保存证据，请确保在计划中明确这一点。该计划还应该描述组织的事件响应方法的性质，谁负责事件处理，他们有什么权力？我们的事件响应计划还应该包括团队内部与组织内其他团体以及与第三方的沟通。
3. 最后，该计划应包括高管的批准。

当我们制定计划时，可以参考别人的模板。当然，我们不能简单地把别人的计划应用于自己的组织，但有一个模板总是有帮助的。许多网络安全专业人员已经投入了无数的时间来制定强大的事件响应计划，没有必要重新发明车轮。

二、创建一个事件响应小组(Incident response team)

在事件响应计划中，我们将承担的最重要的任务之一是建立事件响应团队(Incident response team或IR team)并为其配备人员。这个团队很可能需要24小时不间断地工作，我们应该指派主要人员和后备人员，以应对假期和延长的工作时间。事件处理是一个很好的职业发展机会，它有助于团队成员保持他们的技术技能。

在我们的事件响应团队中，应该有一些团体代表。例如，管理层、网络安全人员、技术专家（如数据库管理员、开发人员、系统工程师和虚拟化专家）、法律顾问、公共事务和营销人员、人力资源团队成员，以及我们组织的实体资产安全团队。

我们不一定需要在每次事件中都启动所有的团队成员，但在事件发生前，这些团队中的每个人都应该有代表接受培训并准备参与。一旦我们的团队到位，我们应该定期与他们交流合作。不要等到事件发生时才把大家召集起来。我们需要为团队提供事件响应计划文件，并进行定期培训和测试，以确保他们能很好地合作，并准备好在事件发生时做出快速反应。

在我们建立事件响应团队的过程中，可能会发现自己的组织缺乏一些处理安全事件的能力。例如，我们可能会发现，团队中没有进行调查以支持事件响应工作的取证能力(Forensic capabilities)。在这些情况下，我们可能希望考虑保留一个外部事件响应供应商来协助我们。

三、事件沟通计划(Incident communications plan)

事件响应计划的关键组成部分之一是涵盖内部和外部沟通的沟通计划(Communications plan that covers both internal and external communications)。一个好的事件沟通计划有助于确保组织内适当的人在正确的时间了解事件，并向他们提供正确的信息。

与组织外的个人和团体的沟通可能是一项更棘手的任务。显然，我们需要确保将敏感信息的交流限制在受信任的一方。当公众或媒体可能对某一事件感兴趣时，这一点尤其重要。如果消息未经批准就泄露出去，事件可能会在我们的公共关系团队准备好处理它之前就出现在新闻中。这也可能危及我们的调查的完整性，因为我们提醒攻击者已经发现了这个事件，并且正在进行事件响应工作。

目前，在大多数情况下，我们并没有向执法部门报告安全事件的法律义务，而这样做的决定是复杂的。一旦向执法部门提交报告，事件的细节很可能会被公开，这可能会造成不好的结果。此外，执法人员在收集和处理证据方面的标准要高得多。当然，我们应该随时联系执法部门。如果我们认为安全受到威胁，或者我们有法律义务报告某一特定类型的事件。我们的法律团队应该被纳入对应的事件响应计划工作中，他们应该为我们提供适用于我们的组织的任何法律或法规的具体指导。
我们的沟通计划不仅应该描述我们在事件发生期间将与谁沟通，而且还应该描述将如何沟通。并且，确保在事件发生之前，我们已经有了安全的沟通渠道。而且，这些渠道为需要为我们提供保密机制，并仅能与受信任的员工和第三方分享信息。

四、事件识别(Incident identification)

一旦我们制定了事件响应计划并准备好了团队，事件响应程序就会进入永久监控的状态，观察事件正在发生或已经发生的迹象。一个组织可以通过许多不同的方式来识别安全事件。成功识别事件的关键是拥有一个强大的安全监控基础设施。

数据对事件检测至关重要，组织有责任收集、分析和保留安全信息。现在，有许多不同的信息源可能提供对识别和分析可能的安全事件至关重要的数据。其中包括IPS、IDS、防火墙、认证系统、完整性监测器(Integrity monitors)、漏洞扫描器、系统事件日志、NetFlow记录和反恶意软件包，以及其他许多来源。如果IT系统工作做的好，能够产生大量的日志信息。安全专家负责收集和关联这些信息。

目前，如果没有人协助，这几乎是一项不可能的任务。幸运的是，安全事故和事件管理(Security Incident and Event Management)或SIEM技术可以协助完成这项任务。SIEM系统作为集中的日志存储库和分析解决方案。安全专业人员可以把他们从安全相关的日志中收到的数据的发送给SIEM，然后SIEM可以会做大量的分析工作。SIEM系统可以根据规则和算法检测出可能发生的事件，将它们提请安全管理员注意，以便进一步审查。它们还为调查人员提供了一个关键的集中信息源，以追踪安全事件。

目前，安全团队可以基于内部生成的数据来识别事件，通过在事件发生时或发生后不久注意到事件的迹象是最好。但是，有时这些监控系统不能检测到事件，我们首先从员工、客户或外部组织那里得知安全漏洞，他们看到了漏洞的迹象。这可能是因为客户看到他们的个人信息被公布在网络上，等等。事件响应团队应该有一个一致的方法来接收、记录和评估外部报告。当安全专家发现一个潜在的事件时，是时候进入事件响应模式了。其中重要的第一步，首先注意到事件的团队成员和其他可能在岗的人，都有特殊的第一反应者责任。 就像在医疗紧急情况下一样，现场的第一人有能力通过快速果断的行动来保护组织。第一反应人应迅速采取行动，控制安全事件造成的损失。如果他们怀疑一个系统或一组系统可能受到损害，他们应该将该系统与网络的其他部分隔离，以控制损害。根据技术情况，他们可以通过将系统从网络中移除来隔离该系统，以保持系统运行以保存证据，但要切断可能被攻击的系统与攻击者的通信能力，或感染公司网络上的其他系统。

当我们建立自己的事件响应能力时，请确保将它们与我们的威胁情报程序(Threat intelligence program) 相结合。拥有强大的战略情报程序的组织将能够更迅速和有效地识别潜在的安全事件。同时，请记住，我们的对手也在收集关于我们的组织和其运作的情报。反情报计划(Counterintelligence programs) 目的在通过禁止对手获得情报或故意向他们提供错误信息来自我保护。

五、调值和通知(Escalation and notification)

当安全专业人员检测到一个潜在的事件时，他们应该立即进入第一反应模式(First-responder mode)，采取行动隔离受影响的系统并控制事件所造成的损害。一旦他们处理完眼前的紧急情况，就可以进入升级和通知程序。这个过程有几个重要的目标:

1. 首先，根据事件对组织的潜在影响来评估事件的严重程度；
2. 其次，将事件调值到一个适当的事件响应级别；
3. 最后，向管理层和其他利益相关者通报事件和解决途径。

在控制事件后，响应者应开始进行分诊过程( triaging process)，以确定该事件的潜在影响。在组织的事件响应程序中应该可以找到对事件严重性的评级过程。一种常见的方案是使用低影响、中度影响和高影响(low impact, moderate impact, and high-impact)事件的三层等级。

1. 低影响事件对属于组织的信息或系统的保密性、完整性或可用性的影响很小。在低影响的情况下，第一反应者通常会尝试自己解决事件，等待调用额外的资源或执行通知，直到事件升级或解决；
2. 中度影响的事件更有可能对组织的安全态势产生重大影响。中度事件的发生通常会触发事件响应小组的全部或部分启动，并迅速通知管理层；
3. 高影响的事件可能会对组织造成严重的损害，我们需要立即作出全面反应。立即通知高管，并动员整个事件响应团队。还需要告知不需要立即响应的成员，事件响应正在进行中，他们应处于待命状态。

六、遏制(Mitigation)

随着整个事件响应团队的集结，他们从第一响应者使用的隔离策略转入全面的事件遏制模式。下一步的目标是通过执行全方位的事件遏制工作来控制对组织造成的损害和损失。这些工作的性质将根据事件的严重程度而有所不同。NIST所提出了六个标准，应对者在评估潜在的遏制战略时可以使用。

1. 首先，查看一下资源被破坏和盗取的可能性；
2. 第二，查看一下证据保存的需要以及该策略可能对保存证据的能力产生的影响；
3. 第三，查看一下可用的服务要求以及遏制战略对这种可用性的影响；
4. 第四，研究实施该战略所需的时间和资源；
5. 第五，估计该策略的预期效果。它是否能完全遏制事件，或者只是部分修复；
6. 最后，查看该解决方案将保持的时间长度。

企业可以使用这些标准来帮助选择不同的遏制方案。其目标是选择一种遏制策略，平衡组织的业务需求和事件响应的安全目标，其没有确定的答案。事件响应者始终需要使用他们的最佳判断，并在可能的情况下，寻求管理层和其他利益相关者的意见。一旦一个组织开始实施遏制行动，响应者必须记住，攻击者很可能会发现这些行动，并知道调查人员正在追踪。这可能会导致攻击者加快他们的活动，销毁证据，或执行其他不利于事件响应或组织业务的行动。在遏制过程结束时，组织应该处于半稳定的状态(Semi-stable state)。响应者应该知道事件已经结束，并且业务运作应该至少在有限的基础上进行，一般来说，如果一切正常，组织已经准备好进入下一步的进程，即恢复和重建。

七、遏制技术(Containment techniques)

当我们已经被入侵了，接下来所采取的步骤将对事件的结果起到重要作用。在NIST的事件处理流程中，我们已经从检测和分析阶段进入了遏制、根除和恢复阶段。前面几个阶段和遏制阶段最大的区别是，我们已经从检测和分析的被动活动转到了主动阶段。

为了控制安全事件的损害，我们可以进行三项主要活动：分段、隔离和清除( Segmentation, Isolation, and Removal)。

1. 分段是一种重要的网络安全技术。网络管理员经常使用分段法，将网络划分为逻辑段，按用户或系统的类型分组。这是网络安全设计的一个主要内容，几乎每个网络都有它的身影。分段在事件响应中也很有用。一旦我们意识到一个或多个系统被入侵，我们可能希望遏制来自这些系统的攻击的蔓延，而不提醒攻击者我们已经发现他们的活动。为了执行这种遏制，我们可以创建一个新的VLAN，并将任何可能受到攻击的系统转移到该隔离VLAN。在那里，我们还可以设置访问控制，防止被攻击的系统与网络上的其他系统进行通信。
2. 隔离将分割提高到了一个新的水平，不是简单地将被攻击的系统转移到连接到公司网络的不同VLAN，而是将它们转移到一个与网络其他部分完全断开的网络。根据所使用的隔离策略，这些系统可能仍然能够相互通信，而且它们仍然连接到互联网，以便与攻击者通信。
   
3. 最后，清除将受影响的系统与任何网络完全断开连接。它们完全无法与其他系统或互联网通信，而攻击者也被切断了对这些系统的访问。这种方法肯定会提醒攻击者注意攻击被发现的事实，但它确实防止了被攻击的系统继续对网络的其他部分造成破坏。
   
   当我们应对一个安全事件时，需要使用专业的判断来决定哪种遏制策略适合当前所面临的情况。我们需要做出一个权衡的决定，权衡继续调查的需要、防止对系统进一步破坏可能性的以及对业务活动的潜在干扰。

八、事故的根除和恢复(Incident eradication and recovery)

如果我们已经成功地控制了事件所造成的损害，则必须进入进程的根除和恢复阶段。在根除(Eradication)过程中，我们的目标是将事件的任何痕迹从你的系统和网络中清楚。 我们需要检查自己的网络，删除任何安全事件的痕迹，这样就可以确定我们已经有效地保护了你的组织。在这个阶段，我们的第二个目标是恢复(Recovery)。这意味着，我们需要恢复正常的业务运作。 虽然这个过程描述了根除和恢复，作为两个独立的活动，但它们是非常密切相关的。有时很难说我们正在进行的活动应该归类为根除还是恢复。

安全专家认为，重建(Reconstruct) 在安全事件中被破坏的任何系统是一种良好的做法。这种重建通常包括新给机器安装新的镜像，或将网络设备和装置重置为出厂默认值。以这种方式进行重建，可以确保攻击者没有在我们的系统中留下一个隐藏的后门，使他们在我们恢复正常操作后能够重新获得访问权。当我们重建一个系统时，我们可能需要以不同于过去的方式构建它。如果一个攻击者破坏了系统，我们必须了解他们是如何破坏的。如果是因为缺少一个安全补丁，确保我们在将系统重新上线之前应用该补丁。如果用户账户被入侵，确保这些用户账户在上线前得到保护，等等。目前大多数情况下，事件的发生是因为攻击者利用了一个或多个漏洞。在事件重建工作中，管理员必须识别并修复这些漏洞。这可能包括对于终端的安全行动(endpoint security actions)，如部署应用程序白名单或黑名单，以及部署隔离技术，自动隔离之后被攻击的系统。

恢复阶段也是检查改进我们的网络安全工具的一个好机会。 我们可能需要做一些配置上的改变，比如修改防火墙规则以防止将来发生事故，重新配置或部署移动设备管理(MDM)技术以锁定智能手机和平板电脑，使用数据丢失预防解决方案以防止敏感信息外流，部署URL过滤和内容过滤解决方案以防止用户访问恶意网站，以及更新或撤销任何可能在事故中被破坏的数字证书。

九、验证(Validation)

在宣布事件解决之前，验证我们的工作是非常重要的。验证是我们在遏制、根除和恢复阶段应该进行的最后一项活动，然后再转入事件后的活动。如果下是验证期间应该进行的活动：

1. 首先，检查网络上每一个系统的安全性，特别是那些涉及入侵的系统。这可能听起来像一个巨大的工作量，但我们可以在配置管理工具(Configuration management tools )的帮助下将其自动化。我们要特别注意确保所有系统都打上了当前的安全更新补丁，并保护它们免受已知漏洞的影响。除了用配置管理工具验证系统配置外，我们还应该使用漏洞扫描器来确认是否有严重的公开暴露的漏洞。使用扫描器可以帮助我们从攻击者的角度来了解自己的网络，并确定任何仍然需要补救的关键问题；
2. 我们还应该对系统和应用程序进行账户审查。同样，重点关注涉及安全事件的系统，确保只有授权账户存在，没有被攻击者插入的额外账户作为后门。同时，花时间审查分配给每个账户的权限，以确保它们与批准的访问授权相匹配，并进行任何可能需要的权限恢复；
3. 我们需要验证所有系统和应用程序是否正确记录了安全信息。如果发生另一个事件，确保日志不仅被收集，而且所有创建日志的组件都与我们的安全监控工具进行沟通；
4. 最后，花点时间来确保我们已经成功地完成了各项服务、能力的恢复。验证我们对资源的重建是否我们回到了可以进行正常业务运营的状态。

一旦我们完成了这些验证工作，就正式解决了事件，并继续进行事件后的活动。

十、事后处理(Post-incident activities)

一旦事件响应团队将组织恢复到正常运行状态，一定要进行事后处理。如下是三个重要的事后处理工作：经验教训的总结过程( Lessons learned process)、证据的保留(Evidence retention)、以及失陷指标(IOCs，Indicators of Compromise)的产生。

1. 经验教训总结过程旨在为参与事件响应工作的每个人提供机会，以反思他们在事件中的个人角色以及团队的整体响应。 经验总结过程提供了一个机会来改进事件响应中使用的流程和技术，以便更好地应对未来的安全危机。而进行经验教训总结会议的最常见的方式是将所有人聚集在同一个房间里，或者通过视频会议或电话将他们联系起来，并请一位经过培训的主持人来领导经验教训总结会议。NIST提供了一系列的问题，用于总结经验教训的过程。它们包括到底发生了什么，在什么时候？工作人员和管理层在处理事件时的表现如何？是否遵循了文件规定的程序？这些程序是否充分？等等。
2. 除了经验教训报告之外，我们还应该准备一份事件总结报告(Incident summary report)。这是一份技术性更强的文件，详细说明了围绕违规事件的情况以及响应者在事件响应过程中采取的所有步骤。这份总结报告创造了宝贵的机构知识，可以在未来的事件中使用，并用于培训目的。如果我们在事件中收集了相关证据，应该就证据保留作出决定。我们应该咨询所在的组织的数据保留政策，同时在决定丢弃证据之前确定是否有任何法律行动。如果我们将在事件发生后保留证据，请确保以安全的方式保留，并有完善的保管链记录。
3. 最后，回顾一下事件的技术细节，并尝试找出任何可能帮助我们更快地发现事件的新的失陷指标。如果发现了新的指标，一定要把它们添加到自己的组织的安全监控程序中，以便更好地检测后续的事件。

十一、事件响应演习(Incident response exercises)

我们不需要经常启动事件响应计划。但是，给团队成员提供保持技能的机会，这一点仍然很重要。如下是方式来锻炼和测试我们的事件响应流程：

1. Read-throughs是事件响应计划测试的最简单形式。它们也被称为checklist reviews。在这种方法中，事件响应团队负责人将当前计划的副本分发给所有参与事件响应工作的人员，并要求他们审查程序。然后，团队成员就需要进行的任何更新提供反馈，以保持计划的有效性；
2. Walk-through更进一步，让每个人都在同一时间审查计划。由于这个原因，走过场也被称为Tabletop exercise。Walk-through的结果与Read-throughs相同，但它们通常更有效，因为它们让团队有机会一起讨论计划。
3. 事件响应测试的下一个层次是Simulation。与Walk-through一样，Simulation聚到一起。不同的是，在Simulation中，他们不仅仅是在讨论计划，他们还在讨论在特定的情况下他们会如何应对。测试策划者设计了一个事件的模拟，然后事件响应团队描述他们将如何反应。根据演习的性质，Simulation可能不仅仅是谈话。他们可能会演变成全面的网络安全演习，其中包括动手操作的部分。在这一点上，它们变得更接近于渗透测试，涉及到红色和蓝色团队的参与。

整理资料来源：
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601