下载掌阅APP,畅读海量书库
立即打开
在IR生命周期上下文中,事件处置包括检测和遏制阶段。
为了检测到威胁,你的检测系统必须了解攻击介质,而且由于威胁环境变化如此之快,检测系统必须能够动态了解更多有关新威胁和新行为的信息,并在遇到可疑活动时触发告警。
虽然检测系统会自动检测到许多攻击,但一旦发现可疑活动,终端用户在识别和报告问题方面将扮演重要角色。
为此,终端用户还应该了解不同类型的攻击,并学习如何手动创建事件通知单来处理此类行为,这应该是安全意识培训的一部分。
即使用户通过勤奋工作密切监视可疑活动,并且配置了传感器,以便在检测到破坏企图时发送告警,IR过程中最具挑战性的部分仍然是准确地检测出真正的安全事件。
通常,你需要从不同来源手动地收集信息,以查看收到的告警是否真的反映了有人试图利用系统中的漏洞进行攻击。请记住,数据收集必须符合公司的策略。当需要将数据带到法庭时,你需要保证数据的完整性。
图2.4显示了一个示例。在该示例中,为了识别攻击者的最终意图,需要组合和关联多种日志。
在这个例子中,我们有许多IoC,当把所有内容放在一起时,我们可以有效地验证攻击。请记住,根据你在每个阶段收集的信息等级,以及信息的确凿性,你可能没有证据证明信息被泄露,但你会有攻击的证据,这就是本示例中的IoA。
图2.4 在识别攻击者的最终意图时需要多种日志
表2.2更详细地解释了图2.4,假设有足够的证据来确定系统遭到了破坏。
表2.2 用于识别威胁参与者的攻击/操作的日志
如你所见,有很多安全控制措施有助于判断危害的迹象。然而,将它们放在一个攻击时间线中并交叉引用数据可能会更加强大。
这又回到了我们在第1章中讨论的一个主题:检测正在成为公司最重要的安全控制之一,位于整个网络(内部和云端)的传感器在识别可疑活动和发出告警方面发挥重要作用。网络安全的一个日益增长的趋势是利用安全情报和高级分析来更快地检测威胁并减少误报。这样可以节省时间,提高整体精度。
理想情况下,监控系统将与传感器集成,使你可以在单个面板上可视化显示所有事件。如果你使用的是不允许彼此交互的不同平台,情况可能并非如此。
在与图2.4类似的场景中,检测和监控系统之间的集成可以帮助将执行的多个恶意活动点连接起来,以实现最终任务——数据提取,并提交给指挥控制。
一旦检测到事件并确认为真,你就需要收集更多数据或分析已有的数据。如果这是一个持续存在的问题,此时攻击正在发生,你需要从攻击中获取实时数据,并迅速提供补救措施来阻止攻击。因此,检测和分析有时几乎是并行进行的,以节省时间,然后利用这段时间快速响应。
当你没有足够的证据证明发生了安全事件时,最大的问题就出现了,你需要不断捕获数据以验证其准确性。有时,检测系统无法检测到事件的发生。也许是终端用户报告的,但他们无法在那一刻重现问题。没有可供分析的有形数据,而且问题在你到达时并未发生。在这种情况下,你需要设置环境来捕获数据,并告知用户在问题真实发生时联系支持部门。
如果不知道什么是正常的,你就无法确定什么是不正常的。换句话说,如果用户启动一个新事件,说服务器性能很慢,你必须知道所有变量,然后才能得出结论。要知道服务器是否很慢,你必须首先知道什么是正常速度。这也适用于网络、电器和其他设备。为了建立这种认识,请务必做到以下几点:
●系统配置文件
●网络配置文件/基线
●日志留存策略
●所有系统的时钟同步
在此基础上,你将能够确定所有系统和网络的正常情况。当事件发生时,这一点非常有用,你需要在故障排除之前从安全角度确定什么是正常的。
很多时候,在决定现在做什么和下一步做什么的时候,“简单”会产生很大的不同。这就是为什么让每个人有一个简单的清单来保持一致这么重要。下面的列表不是决定性的,只是一个你可以在此基础上建立自己的清单的建议:
1.1分析数据和潜在指示器(IoA和IoC)。
1.2审查与其他数据源的潜在相关性。
1.3一旦你确定事件已经发生,请记录调查结果,并根据事件的严重程度确定事件处理的优先顺序。考虑影响和可恢复性工作。
1.4向适当的渠道报告事件。
3.1事件遏制举例:
3.1.1隔离受感染的资源
3.1.2重置受损凭据的密码
4.1确保所有被利用的漏洞都得到缓解。
4.2从备份还原文件从受损系统中删除任何恶意软件,并评估该系统的可信度。在某些情况下,有必要完全重新格式化系统,因为你可能无法再信任该系统。
5.1从备份中还原文件。
5.2确保所有受影响的系统再次完全正常运行。
6.1创建一份包含所有经验教训的跟进报告。
6.2确保你正在采取基于这些经验教训的行动来增强你的安全态势。
如前所述,这个列表并不详尽,这些步骤应该根据具体的需要进行调整。但是,该列表已为你自己的事件响应需求提供了坚实的基础。