為什麼事件回應很重要?
網絡攻擊正在增加,對各行業的各種規模的公司構成威脅。 任何組織都可能成為資料外洩或勒索軟體攻擊的受害者,並且需要擁有有效管理網路安全事件所需的工具和流程。
事件回應非常重要,因為它允許組織確定事件的範圍和影響,並採取措施來修復事件。 事件回應人員將調查入侵,控制和修復受感染的系統,並在消除威脅後恢復正常操作。
如果組織準備妥善處理資料外洩或其他網路安全事件的成本,事件回應可能會對資料外洩或其他網路安全事件的成本產生巨大影響。 平均而言,擁有事件回應團隊和經過測試的事故應變計劃的公司的平均資料外洩成本比沒有這兩項資料的公司低 54.9%。
事件回應流程
事件回應的目標是讓組織從對潛在的入侵(除其存在之外)的少或完全無知道,進而完成修復。 實現這個目標的過程分為六個主要階段:
- 準備:準備是有效事件回應,並將網絡安全事件的成本和影響降到最低的關鍵。 為了準備事件回應,組織應建立事件回應小組,並定義並測試一個事件回應計劃,其中概述如何處理事件回應程序的每個階段。
- 識別:事件回應始於偵測潛在事件,因此團隊對入侵範圍的資訊很少或完全沒有。 在識別階段,事件應變人員會調查潛在的事件,以確定發生了什麼情況、受影響的系統、潛在的監管影響等。
- 遏制:確定受事件影響的系統後,事件回應團隊將該系統與網路的其他部分隔離。 網路威脅行為者及其惡意軟體通常會嘗試在企業網路中橫向移動,以實現其目標或最大化攻擊的影響。 早期隔離受感染系統有助於限制攻擊造成的成本和損害。
- 消除:在這個過程中,事件應變團隊已進行了完整的調查,並認為它對發生的事情已完全了解。 然後,事件應變人員會努力移除受入侵的系統中的所有感染痕跡。 這可能包括惡意軟體刪除和持久性機制的刪除,或從乾淨的備份中完全擦除和還原受影響的電腦。
- 復原:根除後,事件回應團隊可能會掃描或監視受感染的系統一段時間,以確保惡意軟體已完全消除。 完成此操作後,電腦將透過解除與公司網路其他部分的隔離來恢復正常運作。
- 經驗教訓:網絡安全事件發生是因為出現問題,重要的是要記住,事件回應並不總是完美無瑕。 事件修復後,事件回應者和其他利害關係人應進行回顧,以確定事件回應計畫中可以修復的安全缺口和缺陷,以降低事件發生的可能性並改善未來的事件回應。
外包事故應變服務的好處
當事件回應由經驗豐富的應變人員快速執行時,最有效。 在許多情況下,組織缺乏能夠全天候保持一個完整的事件回應團隊在員工上。 其中一個選擇是與提供專門的事件響應服務的組織進行聯繫。
這提供了一些好處,包括:
- 可用性:事件回應小組開始工作越早,攻擊對組織的成本和影響就越低。 網絡安全事件可以隨時發生,並且在工作時間以外的事件應變團隊成員可能很難聯繫。 專門的事件回應提供商將擁有多個員工團隊,提供更好的覆蓋範圍和提高可用性。
- 經驗:不正確處理安全事件可能會增加組織的成本和損害。 例如,勒索軟體攻擊可能會使受感染的系統變得不穩定,這意味著重新啟動可能會導致加密資料無法恢復。 專業事件應變人員具備有有效、正確處理安全事件所需的經驗。
- 專業知識:事件回應通常需要專業知識,例如取證分析或惡意軟體逆向工程。 大多數公司不需要內部擁有這些技能,但專業的事故應變團隊將可以接觸處理任何網絡安全事件所需的專家。
- 管理整個事件回應程序:外包事件回應提供者應支援組織的所有事件回應需求。 這包括準備事件回應、管理偵測到的入侵,以及減輕未來的攻擊。 讓我們分解過程:
#1.準備。 合格的事故應變小組必須能夠在事件發生之前提供協助,包括但不限於:
- 事件回應規劃
- 量身打造的「威脅」諮詢
- 沙盤推演
- 政策制定
- 情資共用
- 攻擊面評估
- 自訂威脅管理
- SOC 培訓/演練手冊
#2.回應。 確定威脅後,事件回應小組應管理完整的事件回應程序,包括:
- 攻擊預防
- 全面的事件處理
- 惡意軟體鑑識
- 端點/網路/行動鑑識
- 威脅情資
- 攻擊格局分析
- 全面且實際的報告
#3.緩解。 真正的威脅偵測和回應不僅是管理已知的安全性事件,還是發現、修復和預防未知威脅。 外包事故應變提供者還應提供:
- 網域撤銷服務
- 入侵評估
- 威脅搜捕參與
- 啟用攻擊者管理
- 攻擊中斷服務
反映意見