事件应急响应管理的5条建议

什么是应急响应?

通常来说，应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。

应急处理的两个根本性目标：确保恢复、追究责任。

除非是“事后”处理的事件，否则应急处理人员首先要解决的问题是如何确保受影响的系统恢复正常的功能。在确保恢复的工作中，应急处理人员需要保存各种必要的证据，以供将来其他工作使用。追究责任涉及到法律问题，一般用户单位或第三方支援的应急处理人员主要起到配合分析的作用，因为展开这样的调查通常需要得到司法许可。

多数企业都建立了应急响应的独立团队，通常称为计算机安全应急响应小组(Computer Security Incident Response Team，CSIRT)，以响应计算机安全事件。应急响应涉及多门学科，要求多种能力：通常要求从公司的不同部分获取资源。人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的，需要在应急响应工作中进行配合。

事件响应管理5大建议

下面就为大家分享一些可能行之有效的事件响应实践建议：

1. 事件响应Retainers(Incident Response Retainers，简称IRR)

我们首先推荐Incident Response Retainers并不奇怪，因为它是我们投资组合的基石。但是并不要认为我们如此推荐是存在私心的，毕竟，我想要能在第一时间进行响应是需要Retainers工具加持的。在如今这个时代，任何公司都应该部署自己的IRR产品，当然，这并不包含一些免费的IRR服务。你要记住，付出才有回报，免费的东西自然有它的作用，但是千万不要奢求太多。

此外，在紧急情况下拥有可以与之合作的独立公司也是非常重要的。以思科公司为例，我们不仅能够在紧急情况中引入我们的事件响应(IR)团队，还能够引入我们的Talos威胁情报组织、危机沟通专家、产品团队以及项目经理等等。这些团队对于危机处理具有非常重要的意义。此外，提供retainer服务的公司不应该是被动的，他们应该全年与你一起工作，通过桌面练习来增强防御能力，强化安全计划，甚至是主动和独立捕获对手的能力。当你拥有这样的合作伙伴，你才有机会更为平稳地度过危机。

2. 先进的端点保护

在这所有5项建议中，有2项涉及技术层面的建议，这就是其中一项。在管理活跃事件(active incident)时，作为响应者所需的一项关键能力就是，能够在更大规模的环境中洞察并有效地响应事件。想要实现这一点，就需要一款高级端点保护工具的支持了。

以思科高级恶意软件防护(AMP)工具为例，借助AMP内置的可见性和触手可及的响应能力，我们可以比使用其他方式做出更快速、高效的响应。当与思科安全体系结构中的其他解决方案配合使用时，思科AMP还能够提供一种非常强大且有凝聚力的方式，来持续监控和响应网络上的安全问题。

3. 网络分段

由于缺乏经由网络分段的控制设备，许多网络和组织都已经被攻击“下线”。作为思科IR团队，我们其中一项职责就是在客户端遭受攻击后，与客户合作完成事件响应和灾难恢复工工作。通常情况下，这些攻击已经损害了目标用户的网络环境，并通过勒索软件感染或锁定了数百万计算机设备。是的没错，就是数百万设备!此外，在我们处理的75%以上的勒索软件案件中，受害者客户的备份服务器也被加密锁定了。

过去，分段要么被视为合规问题，要么被控制数据访问的方式，但是对我而言，分段是一种必需的控制机制和基本的网络卫生措施。

4. 安全监控

这一点的重要性可谓不言而喻，但是却仍未获得应有的重视。事实证明，直至2018年，太多的组织似乎仍在依赖外部组织(如FBI)或安全新闻机构来通知他们存在安全问题。这类组织应该进行充分的内部安全监控，以便有能力自行发现并处理自身系统中存在的安全问题。

我始终认为，在购买任何安全产品之前，供应商必须提供所需的资源估算：即鉴于环境规模，成功地运行、配置、维护以及监控产品所需的具体资源(例如人员等)。此外，你还必须聘请并培训相关员工，以支持工具更有效地发挥作用。通常情况下，工具都是被买来作为“辅助性”事物使用的，可以代替部分人力。我记得在最近参与的一项事件响应实践中，事件响应团队登录了安全控制台查看可用数据，结果发现它像圣诞树一样闪闪发光，原来该工具正在显示威胁情报，如果有人一直在监视它的话，就能够有效地阻止大规模的威胁行为。

5. 基于网络的安全

这是最后一项建议，同时也是第二项技术推荐。应该将基于网络的安全控制分层，以防止来自web和基于电子邮件的威胁攻击。这些控制措施应该包括诸如垃圾邮件过滤服务或设备、在可能的情况下阻止代理处的未分类流量、启用DNS保护服务来过滤内容、阻止进一步的恶意软件、防止僵尸网络，以及防止URL错别字(如Cisco Umbrella)问题等项目。此外，实施这些控制措施还需要考虑监控问题，以检测和限制请求域名与攻击者行为或恶意软件相关的设备。

除了上述5项建议之外，思科还会定期提供其他建议，例如双因素(two factor)、渗透测试以及关注治理、风险和合规(GRC)等。就风险和合规问题而言，一个惊人的事实是，仍然有很多组织尚未进行过基本的安全评估工作，而且也不具备合理完善的安全计划。更糟糕的是，截至目前，安全性仍然不是某些组织的优先考虑事项。

在如今这个新时代，安全需要融入所有事情，IT人员也应该向着保护公司、客户和用户共同利益的目标努力。希望本文对你是有用的，也许它证实了你所看到的、知道的或者你自己正在做的事情。