信息來源：51CTO

什么是應(yīng)急響應(yīng)?

通常來說，應(yīng)急響應(yīng)泛指安全技術(shù)人員在遇到突發(fā)事件后所采取的措施和行為。而突發(fā)事件則是指影響一個(gè)系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。

應(yīng)急處理的兩個(gè)根本性目標(biāo)：確保恢復(fù)、追究責(zé)任。

除非是“事后”處理的事件，否則應(yīng)急處理人員首先要解決的問題是如何確保受影響的系統(tǒng)恢復(fù)正常的功能。在確?；謴?fù)的工作中，應(yīng)急處理人員需要保存各種必要的證據(jù)，以供將來其他工作使用。追究責(zé)任涉及到法律問題，一般用戶單位或第三方支援的應(yīng)急處理人員主要起到配合分析的作用，因?yàn)檎归_這樣的調(diào)查通常需要得到司法許可。

多數(shù)企業(yè)都建立了應(yīng)急響應(yīng)的獨(dú)立團(tuán)隊(duì)，通常稱為計(jì)算機(jī)安全應(yīng)急響應(yīng)小組(Computer Security Incident Response Team，CSIRT)，以響應(yīng)計(jì)算機(jī)安全事件。應(yīng)急響應(yīng)涉及多門學(xué)科，要求多種能力：通常要求從公司的不同部分獲取資源。人力資源部人員、法律顧問、技術(shù)專家、安全專家、公共安全官員、商業(yè)管理人員、最終用戶、技術(shù)支持人員和其他涉及計(jì)算機(jī)安全應(yīng)急響應(yīng)的人員。當(dāng)然這些人員大部分是兼職的，需要在應(yīng)急響應(yīng)工作中進(jìn)行配合。

事件響應(yīng)管理5大建議

下面就為大家分享一些可能行之有效的事件響應(yīng)實(shí)踐建議：

1. 事件響應(yīng)Retainers(Incident Response Retainers，簡稱IRR)

我們首先推薦Incident Response Retainers并不奇怪，因?yàn)樗俏覀兺顿Y組合的基石。但是并不要認(rèn)為我們?nèi)绱送扑]是存在私心的，畢竟，我想要能在第一時(shí)間進(jìn)行響應(yīng)是需要Retainers工具加持的。在如今這個(gè)時(shí)代，任何公司都應(yīng)該部署自己的IRR產(chǎn)品，當(dāng)然，這并不包含一些免費(fèi)的IRR服務(wù)。你要記住，付出才有回報(bào)，免費(fèi)的東西自然有它的作用，但是千萬不要奢求太多。

此外，在緊急情況下?lián)碛锌梢耘c之合作的獨(dú)立公司也是非常重要的。以思科公司為例，我們不僅能夠在緊急情況中引入我們的事件響應(yīng)(IR)團(tuán)隊(duì)，還能夠引入我們的Talos威脅情報(bào)組織、危機(jī)溝通專家、產(chǎn)品團(tuán)隊(duì)以及項(xiàng)目經(jīng)理等等。這些團(tuán)隊(duì)對(duì)于危機(jī)處理具有非常重要的意義。此外，提供retainer服務(wù)的公司不應(yīng)該是被動(dòng)的，他們應(yīng)該全年與你一起工作，通過桌面練習(xí)來增強(qiáng)防御能力，強(qiáng)化安全計(jì)劃，甚至是主動(dòng)和獨(dú)立捕獲對(duì)手的能力。當(dāng)你擁有這樣的合作伙伴，你才有機(jī)會(huì)更為平穩(wěn)地度過危機(jī)。

2. 先進(jìn)的端點(diǎn)保護(hù)

在這所有5項(xiàng)建議中，有2項(xiàng)涉及技術(shù)層面的建議，這就是其中一項(xiàng)。在管理活躍事件(active incident)時(shí)，作為響應(yīng)者所需的一項(xiàng)關(guān)鍵能力就是，能夠在更大規(guī)模的環(huán)境中洞察并有效地響應(yīng)事件。想要實(shí)現(xiàn)這一點(diǎn)，就需要一款高級(jí)端點(diǎn)保護(hù)工具的支持了。

以思科高級(jí)惡意軟件防護(hù)(AMP)工具為例，借助AMP內(nèi)置的可見性和觸手可及的響應(yīng)能力，我們可以比使用其他方式做出更快速、高效的響應(yīng)。當(dāng)與思科安全體系結(jié)構(gòu)中的其他解決方案配合使用時(shí)，思科AMP還能夠提供一種非常強(qiáng)大且有凝聚力的方式，來持續(xù)監(jiān)控和響應(yīng)網(wǎng)絡(luò)上的安全問題。

3. 網(wǎng)絡(luò)分段

由于缺乏經(jīng)由網(wǎng)絡(luò)分段的控制設(shè)備，許多網(wǎng)絡(luò)和組織都已經(jīng)被攻擊“下線”。作為思科IR團(tuán)隊(duì)，我們其中一項(xiàng)職責(zé)就是在客戶端遭受攻擊后，與客戶合作完成事件響應(yīng)和災(zāi)難恢復(fù)工工作。通常情況下，這些攻擊已經(jīng)損害了目標(biāo)用戶的網(wǎng)絡(luò)環(huán)境，并通過勒索軟件感染或鎖定了數(shù)百萬計(jì)算機(jī)設(shè)備。是的沒錯(cuò)，就是數(shù)百萬設(shè)備!此外，在我們處理的75%以上的勒索軟件案件中，受害者客戶的備份服務(wù)器也被加密鎖定了。

過去，分段要么被視為合規(guī)問題，要么被控制數(shù)據(jù)訪問的方式，但是對(duì)我而言，分段是一種必需的控制機(jī)制和基本的網(wǎng)絡(luò)衛(wèi)生措施。

4. 安全監(jiān)控

這一點(diǎn)的重要性可謂不言而喻，但是卻仍未獲得應(yīng)有的重視。事實(shí)證明，直至2018年，太多的組織似乎仍在依賴外部組織(如FBI)或安全新聞機(jī)構(gòu)來通知他們存在安全問題。這類組織應(yīng)該進(jìn)行充分的內(nèi)部安全監(jiān)控，以便有能力自行發(fā)現(xiàn)并處理自身系統(tǒng)中存在的安全問題。

我始終認(rèn)為，在購買任何安全產(chǎn)品之前，供應(yīng)商必須提供所需的資源估算：即鑒于環(huán)境規(guī)模，成功地運(yùn)行、配置、維護(hù)以及監(jiān)控產(chǎn)品所需的具體資源(例如人員等)。此外，你還必須聘請(qǐng)并培訓(xùn)相關(guān)員工，以支持工具更有效地發(fā)揮作用。通常情況下，工具都是被買來作為“輔助性”事物使用的，可以代替部分人力。我記得在最近參與的一項(xiàng)事件響應(yīng)實(shí)踐中，事件響應(yīng)團(tuán)隊(duì)登錄了安全控制臺(tái)查看可用數(shù)據(jù)，結(jié)果發(fā)現(xiàn)它像圣誕樹一樣閃閃發(fā)光，原來該工具正在顯示威脅情報(bào)，如果有人一直在監(jiān)視它的話，就能夠有效地阻止大規(guī)模的威脅行為。

5. 基于網(wǎng)絡(luò)的安全

這是最后一項(xiàng)建議，同時(shí)也是第二項(xiàng)技術(shù)推薦。應(yīng)該將基于網(wǎng)絡(luò)的安全控制分層，以防止來自web和基于電子郵件的威脅攻擊。這些控制措施應(yīng)該包括諸如垃圾郵件過濾服務(wù)或設(shè)備、在可能的情況下阻止代理處的未分類流量、啟用DNS保護(hù)服務(wù)來過濾內(nèi)容、阻止進(jìn)一步的惡意軟件、防止僵尸網(wǎng)絡(luò)，以及防止URL錯(cuò)別字(如Cisco Umbrella)問題等項(xiàng)目。此外，實(shí)施這些控制措施還需要考慮監(jiān)控問題，以檢測(cè)和限制請(qǐng)求域名與攻擊者行為或惡意軟件相關(guān)的設(shè)備。

除了上述5項(xiàng)建議之外，思科還會(huì)定期提供其他建議，例如雙因素(two factor)、滲透測(cè)試以及關(guān)注治理、風(fēng)險(xiǎn)和合規(guī)(GRC)等。就風(fēng)險(xiǎn)和合規(guī)問題而言，一個(gè)驚人的事實(shí)是，仍然有很多組織尚未進(jìn)行過基本的安全評(píng)估工作，而且也不具備合理完善的安全計(jì)劃。更糟糕的是，截至目前，安全性仍然不是某些組織的優(yōu)先考慮事項(xiàng)。

在如今這個(gè)新時(shí)代，安全需要融入所有事情，IT人員也應(yīng)該向著保護(hù)公司、客戶和用戶共同利益的目標(biāo)努力。希望本文對(duì)你是有用的，也許它證實(shí)了你所看到的、知道的或者你自己正在做的事情。