信息來源：51CTO

什么是應(yīng)急響應(yīng)?

通常來說，應(yīng)急響應(yīng)泛指安全技術(shù)人員在遇到突發(fā)事件后所采取的措施和行為。而突發(fā)事件則是指影響一個系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。

應(yīng)急處理的兩個根本性目標(biāo)：確?；謴?fù)、追究責(zé)任。

除非是“事后”處理的事件，否則應(yīng)急處理人員首先要解決的問題是如何確保受影響的系統(tǒng)恢復(fù)正常的功能。在確?；謴?fù)的工作中，應(yīng)急處理人員需要保存各種必要的證據(jù)，以供將來其他工作使用。追究責(zé)任涉及到法律問題，一般用戶單位或第三方支援的應(yīng)急處理人員主要起到配合分析的作用，因為展開這樣的調(diào)查通常需要得到司法許可。

多數(shù)企業(yè)都建立了應(yīng)急響應(yīng)的獨立團隊，通常稱為計算機安全應(yīng)急響應(yīng)小組(Computer Security Incident Response Team，CSIRT)，以響應(yīng)計算機安全事件。應(yīng)急響應(yīng)涉及多門學(xué)科，要求多種能力：通常要求從公司的不同部分獲取資源。人力資源部人員、法律顧問、技術(shù)專家、安全專家、公共安全官員、商業(yè)管理人員、最終用戶、技術(shù)支持人員和其他涉及計算機安全應(yīng)急響應(yīng)的人員。當(dāng)然這些人員大部分是兼職的，需要在應(yīng)急響應(yīng)工作中進行配合。

事件響應(yīng)管理5大建議

下面就為大家分享一些可能行之有效的事件響應(yīng)實踐建議：

1. 事件響應(yīng)Retainers(Incident Response Retainers，簡稱IRR)

我們首先推薦Incident Response Retainers并不奇怪，因為它是我們投資組合的基石。但是并不要認(rèn)為我們?nèi)绱送扑]是存在私心的，畢竟，我想要能在第一時間進行響應(yīng)是需要Retainers工具加持的。在如今這個時代，任何公司都應(yīng)該部署自己的IRR產(chǎn)品，當(dāng)然，這并不包含一些免費的IRR服務(wù)。你要記住，付出才有回報，免費的東西自然有它的作用，但是千萬不要奢求太多。

此外，在緊急情況下?lián)碛锌梢耘c之合作的獨立公司也是非常重要的。以思科公司為例，我們不僅能夠在緊急情況中引入我們的事件響應(yīng)(IR)團隊，還能夠引入我們的Talos威脅情報組織、危機溝通專家、產(chǎn)品團隊以及項目經(jīng)理等等。這些團隊對于危機處理具有非常重要的意義。此外，提供retainer服務(wù)的公司不應(yīng)該是被動的，他們應(yīng)該全年與你一起工作，通過桌面練習(xí)來增強防御能力，強化安全計劃，甚至是主動和獨立捕獲對手的能力。當(dāng)你擁有這樣的合作伙伴，你才有機會更為平穩(wěn)地度過危機。

2. 先進的端點保護

在這所有5項建議中，有2項涉及技術(shù)層面的建議，這就是其中一項。在管理活躍事件(active incident)時，作為響應(yīng)者所需的一項關(guān)鍵能力就是，能夠在更大規(guī)模的環(huán)境中洞察并有效地響應(yīng)事件。想要實現(xiàn)這一點，就需要一款高級端點保護工具的支持了。

以思科高級惡意軟件防護(AMP)工具為例，借助AMP內(nèi)置的可見性和觸手可及的響應(yīng)能力，我們可以比使用其他方式做出更快速、高效的響應(yīng)。當(dāng)與思科安全體系結(jié)構(gòu)中的其他解決方案配合使用時，思科AMP還能夠提供一種非常強大且有凝聚力的方式，來持續(xù)監(jiān)控和響應(yīng)網(wǎng)絡(luò)上的安全問題。

3. 網(wǎng)絡(luò)分段

由于缺乏經(jīng)由網(wǎng)絡(luò)分段的控制設(shè)備，許多網(wǎng)絡(luò)和組織都已經(jīng)被攻擊“下線”。作為思科IR團隊，我們其中一項職責(zé)就是在客戶端遭受攻擊后，與客戶合作完成事件響應(yīng)和災(zāi)難恢復(fù)工工作。通常情況下，這些攻擊已經(jīng)損害了目標(biāo)用戶的網(wǎng)絡(luò)環(huán)境，并通過勒索軟件感染或鎖定了數(shù)百萬計算機設(shè)備。是的沒錯，就是數(shù)百萬設(shè)備!此外，在我們處理的75%以上的勒索軟件案件中，受害者客戶的備份服務(wù)器也被加密鎖定了。

過去，分段要么被視為合規(guī)問題，要么被控制數(shù)據(jù)訪問的方式，但是對我而言，分段是一種必需的控制機制和基本的網(wǎng)絡(luò)衛(wèi)生措施。

4. 安全監(jiān)控

這一點的重要性可謂不言而喻，但是卻仍未獲得應(yīng)有的重視。事實證明，直至2018年，太多的組織似乎仍在依賴外部組織(如FBI)或安全新聞機構(gòu)來通知他們存在安全問題。這類組織應(yīng)該進行充分的內(nèi)部安全監(jiān)控，以便有能力自行發(fā)現(xiàn)并處理自身系統(tǒng)中存在的安全問題。

我始終認(rèn)為，在購買任何安全產(chǎn)品之前，供應(yīng)商必須提供所需的資源估算：即鑒于環(huán)境規(guī)模，成功地運行、配置、維護以及監(jiān)控產(chǎn)品所需的具體資源(例如人員等)。此外，你還必須聘請并培訓(xùn)相關(guān)員工，以支持工具更有效地發(fā)揮作用。通常情況下，工具都是被買來作為“輔助性”事物使用的，可以代替部分人力。我記得在最近參與的一項事件響應(yīng)實踐中，事件響應(yīng)團隊登錄了安全控制臺查看可用數(shù)據(jù)，結(jié)果發(fā)現(xiàn)它像圣誕樹一樣閃閃發(fā)光，原來該工具正在顯示威脅情報，如果有人一直在監(jiān)視它的話，就能夠有效地阻止大規(guī)模的威脅行為。

5. 基于網(wǎng)絡(luò)的安全

這是最后一項建議，同時也是第二項技術(shù)推薦。應(yīng)該將基于網(wǎng)絡(luò)的安全控制分層，以防止來自web和基于電子郵件的威脅攻擊。這些控制措施應(yīng)該包括諸如垃圾郵件過濾服務(wù)或設(shè)備、在可能的情況下阻止代理處的未分類流量、啟用DNS保護服務(wù)來過濾內(nèi)容、阻止進一步的惡意軟件、防止僵尸網(wǎng)絡(luò)，以及防止URL錯別字(如Cisco Umbrella)問題等項目。此外，實施這些控制措施還需要考慮監(jiān)控問題，以檢測和限制請求域名與攻擊者行為或惡意軟件相關(guān)的設(shè)備。

除了上述5項建議之外，思科還會定期提供其他建議，例如雙因素(two factor)、滲透測試以及關(guān)注治理、風(fēng)險和合規(guī)(GRC)等。就風(fēng)險和合規(guī)問題而言，一個驚人的事實是，仍然有很多組織尚未進行過基本的安全評估工作，而且也不具備合理完善的安全計劃。更糟糕的是，截至目前，安全性仍然不是某些組織的優(yōu)先考慮事項。

在如今這個新時代，安全需要融入所有事情，IT人員也應(yīng)該向著保護公司、客戶和用戶共同利益的目標(biāo)努力。希望本文對你是有用的，也許它證實了你所看到的、知道的或者你自己正在做的事情。