如何有效开展网络安全事件调查工作

网络安全事件调查是现代企业网络安全体系建设的关键组成部分。为了防止网络攻击，仅仅关注于安全工具的应用效果远远不够，因为安全事件一直都在发生。安全团队只有充分了解攻击者的行踪和攻击路径，才能更好地防范更多攻击时间的发生。

做好网络安全事件调查看上去并不复杂，只要收集有关企业IT系统的运行数据，然后分析其中的异常情况即可。然而，这项看似简单的工作背后隐藏着诸多不确定因素。在网络安全事件调查中，需要采取合法合规的调查手段，使用合适的技术和工具，此外还需要配置一些非专业性技能，例如分析能力、沟通能力和团队协作能力等，才能保证调查结果的有效性和合规性。

网络安全事件调查的意义

随着企业的数字化发展，会遇到各种类型的网络安全事件，并不是对所有的事件都需要开展全面调查，例如，对今天的DDoS攻击通常不需要深入调查，而是只要做好攻击发生时的应急响应准备即可。网络安全事件调查的主要应用场景是网络攻防对抗，在高强度对抗中所产生的安全事件才需要企业安全调查人员去深入调查分析，其调查难度也是传统网络病毒攻击事件难以相提并论的。

安全事件调查与传统的威胁检测都需要依赖强大的威胁情报库和发现规则，但最大的区别在于，威胁检测是为了及时发现异常情况并发出警报，而事件调查则是对所发现的异常行为进行全面的调查分析，并进行相应的抑制和修复。

以勒索软件攻击事件调查为例，这已经成为企业组织普遍面临的安全风险。然而，很多企业在开展勒索攻击事件调查时，会将工作的重点放在了如何解密和恢复数据，这是非常错误的。企业应该充分了解系统是如何被勒索软件入侵，全面调查包括网络钓鱼、软件漏洞、弱密码和恶意内部人员等各种威胁产生的路径，这样才可能彻底清除勒索攻击者对自身业务系统的非法控制，并从根本上防止此类事件的再次发生。

许多客户不太关心攻击的具体细节，比如来源或幕后的黑客组织。他们主要关注恢复业务流程，并确保此类恶意行为不再发生。与此同时，调查人员可以对恶意软件代码进行逆向工程，以收集能表明黑客来源的宝贵数据。在典型的事件调查场景中，可以用数据收集和分析周期来表示调查工作的进展情况，每次新的迭代后，企业就会对下一步的网络安全建设有更准确的理解。

为事件调查做好准备

网络安全事件调查通常分为收集线索、数据分析和报告总结等阶段，其中，收集线索是非常关键的准备工作。只有获取到足够的攻击证据，才能更准确地分析攻击者的行踪和攻击路径。

当严重的网络安全事件发生后，调查人员应该首先根据资产的损害状况和攻击手法特点，设置好处置任务的优先级，这样才能在需要时迅速做出决策，并在必要时通过使用排除法来发现被攻击的真相。

当安全事件调查流程启动后，安全分析师要尽可能全面了解事件相关信息，这需要他们在日常工作中充分熟悉自身的角色和职责。快速变化的IT环境经常需要分析师实时同步更新自己的技能组合，比如了解云计算、大数据等。在安全事件调查时，分析师应能够迅速识别其负责的所有资产运行状态，并积极参与到漏洞管理和扫描发现过程。

所收集的安全事件信息数量和质量将决定事件调查的结果，帮助分析师准确了解他们面临威胁的程度与可能后果。需要指出的是，由于很多攻击团伙开始使用“攻击即服务”的Saas化商业模式，要准确了解这些攻击技术并不困难。但是在一些比较敏感的场景(比如能源等关键基础设施部门受到攻击)中，安全分析师需要留意是否存在更多的非常规性攻击方法。

在许多情况下，分析师可能会面临信息不全、时间不足以及缺少权限等不利因素，并让调查工作陷入混乱、恐慌的状态中。在这种情况下，训练有素的事件调查团队必须清楚地表述其专业知识，获取业务部门的理解和支持，并推动事件调查工作开展下去。

调查人员的责任

网络安全事件调查人员可以接触到大量的事件信息，如何做好保密是极其敏感的问题，调查人员应该充分意识到这一点。他们需要明白，如果企业遭遇了数据泄露，可能会导致业务崩溃和法律后果。因此，调查人员绝不应该有意地造成这样的危害。

对于参与事件调查的人员，只应该关注并收集完成自己所负责调查任务所必需的数据，通常包括已登录的用户账户、已启动的程序以及程序启动时间。除非特别需要，调查人员不应该收集涉及客户担心被泄露的敏感信息。值得一提的是，调查期间收集的所有信息都按照严格的安全规程妥善存储。在一段指定的时间后，数据被删除。

还有人担心调查人员可能会与别人分享事件信息。事实上，调查团队的所有人员都没有义务向第三方(包括警方)提供有关被调查事件的信息，因为是否报告这类事件需要由受害企业的管理者和实际受害者来决定。

此外，调查人员的工作和行动不是为了破坏和处罚信息安全部门。在事件发生后解雇可能存在失职行为的安全人员并不一定总是合适的。虽然有时会发生这种情况，但没有一个安全系统是完美无缺的，难免会有漏洞。对安全事件进行问责与安全事件调查并没有关系，这是企业的管理层需要做出的决定。

在调查人员给出的事件调查报告中，应该包含事件过程的完整信息。如果事件因未解决的、原有的和众所周知的漏洞而发生，必须将所发现的漏洞情况完整附在报告中。调查人员不得隐瞒此类信息。

法律方面的挑战

由于网络安全已经成为国家安全的一部分，因此很多网络攻击事件，并不能仅依靠企业自身就可以有效解决。在很多时候，企业需要选择与司法部门合作，甚至把事件的最后处置交由法院来判决。

由于司法信息是公开的，这么做可能会使安全事件公之于众，这可能给企业带来商誉方面风险。因此，一些企业由于对商誉的担心而故意隐瞒了对网络安全事件的调查，从而延误了事情的处理，结果带来了更大的安全危害。

因此，如果需要通过司法流程来解决某些安全事件，企业管理层应该尽快做出决定，这需要进行全面的风险评估。在这种情况下，企业最好不要擅自对网络基础设施进行任何改变，而是立即向律师事务所寻求建议。专业律师会提供咨询服务，并建议适当的行动方案。

网络安全事件调查中的另一个法律风险挑战是如何确保对复制、删除或覆盖数据的过程进行适当的控制和记录。如果证据收集未正确进行或违反了法律要求，法院可能在诉讼中质疑数据的有效性，并拒绝使用该数据。这可能会对案件的最终处理结果产生重大影响。

参考链接：

https://betanews.com/2023/08/05/inside-the-world-of-cyber-incident-investigations/。