事件响应，安全能力的关键一环

技术永远都是把双刃剑，这在攻防不断交织的网络安全领域，表现的尤为突出。

随着创新性技术的涌现，攻击者的攻击能力也在不断提高。

例如，物联网设备和云计算等技术的发展极大扩展了应用场景的范围，但也使得攻击者更容易访问用户的关键数据。

为快速应对安全问题，尽可能的降低安全事件造成的损失，进行有效事件响应（Incident Response, IR）成为企业的优选方案。

  安全事件响应：

保持网络弹性的关键步骤

根据 IBM 的《X-Force威胁情报指数2022》报告，2019 年第三季度至 2020 年第四季度期间，物联网恶意软件活动增加了 3000%。

但情况“没有最坏，只有更坏”， 2021 年的数据再次打破了记录。

根据身份盗窃资源中心(Identity Theft Resource Center) 2021 年的数据泄露报告，去年共发生 1862 起数据泄露事件，高于 2020 年的 1108 起。

这些数据强调了一个残酷的事实，即每个组织都应为最坏的情况做准备。而最有效的方法是制定为响应任何安全事件将采取的详细步骤。

事件响应是对安全问题和事件的有计划的反应。

例如，在遭遇或可能遭遇安全事件时，安全团队在试图保证数据完好性的同时如何反应，采取哪些行动来减少损失，以及何时能够恢复资源。

Palo Alto Networks（派拓网络）近期发布的《2022年Unit 42事件响应报告》指出，总体而言，勒索软件和商业电子邮件泄露（BEC）是事件响应团队在过去12个月中做出响应的首要事件类型，约占事件响应案例的70%。

事件响应案例中受影响最大的行业包括金融、专业和法律服务、制造、医疗保健、高科技以及批发和零售。

这些行业内的企业往往会存储、传输和处理大量攻击者可以从中获利的敏感信息。

此外，在该报告中还能看到许多细分数据，能够帮助企业用户正确认识事件响应案例中的具体威胁类型。

例如，在一半的事件响应案例中，企业在面向互联网的关键系统上缺乏多因素身份验证解决方案；

在13%的案例中，企业没有针对暴力凭据攻击采取措施锁定帐户；

在28%的案例中，不合格的补丁管理程序导致攻击者有机可乘；

在44%的案例中，企业没有端点检测和响应（EDR）或扩展检测和响应（XDR）安全解决方案，或是没有完全部署在最初受影响的系统上以检测和对恶意攻击做出响应；

75%的内部威胁案例涉及企业前员工。

虽然我们无法 100% 地阻止网络攻击，但可以通过加强事后响应及恢复能力，将损失降至最低。

2021年的RSA大会主题是Resilience（弹性），构建网络弹性的能力可以理解为预防、抵御、恢复、适应那些施加于含有网络资源的系统的不利条件、压力、攻击或损害的能力。

因此，安全事件响应能力成为关键一环。

理想的丰满与现实的骨感

  事件响应不招待见？

根据 Shred-it 在2021年发布的一份数据保护报告，10 名企业领导者中有 4 名将未来的数据泄露风险评为为 4 或 5（5分制，5 为最高风险），并且超过一半的受访企业并没有部署事件响应计划。

这表明一些企业虽然了解风险，但未能充分采取保护其关键数据的措施。

因此，一旦发生安全事件，企业响应可能会很慢甚至束手无策，从而导致代价高昂的损失。

1/3的人更倾向于入侵防御而不是事件响应。这是根据 2022 年 5 月的一份名为“Breaches Prompt Changes to Enterprise IR Plans and Processes”的报告得出的结果。

该调查针对 188 名 IT 和网络安全专业人士进行了分析，以了解其真实的事件响应想法和能力。

上图数据显示，共有 34% 的受访者表示他们更愿意将 80%（21% 的受访者）、90%（10% 的受访者）或 100%（3% 的受访者）的资源用于入侵防御而不是事件响应。

另有 34% 的人也优先考虑防御。两年间的数据类似，表明这一趋势并没有多大变化。

以上结果表明，组织在防御方面仍然比响应和修复更加重视，事件响应缺失的现象还很突出。

无独有偶，2021 年，Wakefield Research进行的一项调查显示，36%的公司没有制定详细的事件响应计划。

并且，人们对外围防御技术的兴趣很高，72% 的人表示入侵防御和检测措施仍然有效。

然而，来自政府和网络保险公司的压力可能会使得企业转向事件响应。

2022年3月15日,美国总统拜登正式签署了《2022年关键基础设施网络事件报告法》，要求关键基础设施行业公司在遭遇网络事件时要在72小时内向网络安全和基础设施安全局（CISA）报告，在遭受勒索软件攻击而支付赎金后24小时内向CISA报告，并采取补救措施。

虽然该法律仅适用于被划定的 16 个关键基础设施行业，但它为其他希望制定事件响应计划的组织指明了方向。

制定事件响应策略

我国的网络安全法规定，“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力”“国家建立网络安全监测预警和信息通报制度”“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练”。

这为网络安全事件应急响应提供了制度依据。

事件响应能力是可以通过做出准备来获得。一个良好的事件响应策略应易于遵循，毕竟安全事件是全天候都可能发生的，其突发性可能会使得未做好充分准备的安全团队措手不及。

安全事件响应策略的主要目标是为团队的所有成员定义在发生（或疑似发生）安全事件后必须遵循的流程。

该策略应包含响应、监控程序、任何违规行为以及因未遵守策略而进行处罚的详细信息。安全事件响应策略应包括如下几个要素：

• 整体事件响应策略

• 事件响应团队的角色定义

• 响应过程和恢复程序的制定

• 事件溯源及确定根因的方法

•  建立未来预防措施的方法

SANS的事件响应报告则将事件响应聚焦在三个度量指标：从失陷到检出的时长（也称dwell time驻留时间）、从检出到遏制的时长，以及从遏制到修复的时长。

主要的安全流程包括：隔离感染主机，阻断C2恶意IP地址，关闭/下线系统，恢复失陷主机镜像，移除流氓文件，从网络中隔离感染机器并进行修复，识别与受感染系统相似的系统，基于已知IoC更新策略和规则，杀死流氓进程，在不重启系统的条件下删除被感染主机的文件和注册表键值，彻底重建端点，重启系统，远程部署/升级，从可移动存储设备上重启系统并远程修复系统等。

Gartner近期发布的响应网络安全事件工具手册，也为企业制定高效的事件响应计划提供了参考。

该工具手册包括制定事件响应计划、编制详细的响应手册以及定期进行桌面演练。

其中，制定事件响应计划包括了绘制响应流程图、定义事件严重等级、明确职责等环节；编制详细的响应手册包括编制响应手册、制定勒索软件响应流程、详细记录响应流程等环节；定期进行桌面演练包括设置议程并邀请参与者、设定事件情景和场景、设计具有挑战性的事件场景等环节。

此外，事件响应策略还包括信息安全事件报告制度。

第一时间发现潜在安全事件的是处于防御第一线的安全人员，他们的反应速度直接决定着事件响应的成败与否。

事件响应是极耗人力的工作，因此自动化成为未来事件响应能力提升的关键。

目前，业界将SOAR（Security Orchestration, Automation and Response，安全编排和自动化响应）视为自动化响应的有效解决方案，许多安全厂商开始在该领域大举投入。

根据Gartner的定义，SOAR是指能使企业组织从SIEM等监控系统中收集报警信息，或通过与其它技术的集成和自动化协调，提供包括安全事件响应和威胁情报等功能。

SOAR技术市场最终目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中。

因此，用户获得高效的自动化事件响应能力，未来可期。

结语

速度决定高度，对安全事件的响应速度决定了安全能力以及企业业务平稳运行的高度。

未来，随着网络安全向着体系化、常态化、实战化方向演进，攻防对抗将成为常态，做好基于事件的响应，将对整体网络安全防御带来事半功倍的效果。