事件响应(IR)计划用于测试公司响应安全事件的能力。最终目标,是在缩减修复时间及成本的同时控制住情况,限制对公司造成的伤害。
然而不幸的是,大多数IR计划都没能实现承诺。最近的调查显示,1/3的公司甚至都没有IR计划;而在有IR计划的公司中,IR计划往往十分简陋,仅有个基本框架,且甚少涉及除信息安全和IT团队以外的其他业务线。很多IR计划还基本未经测试和审查,因而在安全事件降临时往往达不到预期效果。
想要切实可行的事件响应(IR)计划,不妨遵循以下九步。
1. 处理业务问题并分配角色
如上所述,有IR计划的公司太少。即便有个IR计划,最好的那些计划都可能会缺乏关键信息,或没纳入合适的人。
事实上,IR文档往往“过时”且“笼统”,“遭遇危机时无法指导具体行动”。这意味着,应从基础开始实现计划,规划出正确的架构,并合理安排员工角色。
首先,在开发过程早期,公司企业应将拥有并维护IR文档的人纳入进来。这有助于项目从专项IR计划转向常规业务实践。开发其他关键组件,比如事件分类系统(帮助攻击识别和修复)和数据分类框架,同样重要。
最关键的是,这些计划真正吃透了公司业务,描清了特定员工应扮演的角色。有人建议,应让一名高管担负起在公司各部门实现该计划的责任,而且各部门的地理位置也不能忽视。
IR计划必须贴合关键业务、公司文化、当前事件响应方式,及改变响应以适应未来发展的方式。
——普华永道网络安全业务负责人 斯洛纳·门克斯
定义清晰的角色和责任是关键。确保人员都经过良好培训,可以有效履行这些角色职能和责任非常重要。
2. 确认相关业务部门并让他们参与进来
与大多数安全问题的根源一样,未经测试的脆弱IR计划,往往是因为仍旧以单独的IT和信息安全部门全权负责而失败。训练有素的IR计划需要业务部门间的合作,因为响应数据泄露或安全事件需要同等级的通信和业务协作。
例如,零售商遭到入侵遗失了信用卡信息,便需要公共关系(PR)部门披露事件,需要Web开发人员找寻并修复软件缺陷,需要运营部门检查服务水平协议(SLA),需要市场部和客户支持部门。
建立良好IR计划的最佳方式,是在制定过程中引入利益相关者,确保在公司范围内获得最大的认可。RACI表有助于责任分配。
——思科事件响应服务主管 肖恩·梅森
于是,到底哪些人应该牵涉进来呢?除了常规的信息安全团队和其他支持性IT职能部门,一份各部门的细目清单应成为IR计划的一部分。高管层、关键业务团队、研发/业务持续性、情报团队、人力资源、法律、公共关系、执法、外部IR团队和厂商都是可以酌情纳入的。
业务线必须参与到计划过程中。举个例子,尽管IT和法律可能是一致的,但业务功能拥有者或许不同意某项行动,或者可能看到其他需要被处理的负面影响。在业务层级拥有精准洞见,对规划一个有效且全面的IR计划特别重要。
3. 确定KPI以衡量事件
一个好的IR计划很可能是主观的,因而普遍不太清楚其有用程度——除非有明确的关键绩效指标(KPI)定义什么才是成功的构成因素。专家认为,这些KPI应既定性又定量。对于前者,可包含检测时间、事件报告(注意:2018年5月即将实行的GDPR规定了72小时报告窗口)、事件分类和调查。定量方面,KPI可包含误报数量、攻击本质(恶意软件还是非恶意软件)、识别出事件的安全工具等。
IR人员不应该恐惧KPI数据。它们只是对管理的衡量。理解了它们的效用,你才能与高管无碍沟通。公司用KPI衡量绩效和响应时间,选择一套定义良好的KPI可使团队申请到更多资源,获得公司的更多支持。
4. 测试,测试,再测试
事件响应中一个最大的问题在于,尽管公司企业确实进行常规红队动作,对IR计划的压力测试却往往不足。IR计划压力测试应涉及到公司每一个人,最好还模拟出安全事件发生状态。但实际上,有人说,公司只是有时候知道该测试应该是什么样子的。
执行这些测试可以保持IR计划不断更新,适应现代社会的需求,同时还特别有助于发现并修复业务线中的薄弱环节。最终,影响到安全预算的投入方向。
认识到有很多公司仅仅创建但不测试IR计划很重要。测试有可能成为后勤噩梦,往往需要一整天,甚至很多天。IR计划测试最大的障碍,与高管的时间、协调和承诺有关。测试还需要高管商讨那些日常运营未必受影响而被认为不紧急的事项。
5. 经常审查计划
IR计划必须定期修订,尤其是在公司不断成长的情况下。IR计划须足够健壮,要能提供极好的操作框架,同时还需足够灵活,几乎可以处理所有面临的情况。灵活性与IR计划更新容易程度相关,应经常审查并更新计划。
6. 定义事件
与KPI紧密相关的,是事件定义——确定哪些是事件而哪些不是。这么做,可以找出哪些东西必须处理,而哪些可以无视,确保你的安全团队专心处理最严重的问题。
比如说,攻击尝试是事件吗?或者攻击者成功侵入了才值得响应?一旦定义好,公司企业就可通过发现并记录影响到当前安全状态的威胁、风险和潜在失败,来执行事件威胁分析。
美国国家标准与技术局(NIST)的事件拓扑学,将事件粗略分类为未授权访问、恶意代码、拒绝服务和不当使用,可将之作为一份有用的指南。
7. 组建由IR分析师领导的团队
事件响应团队分析安全问题与威胁情报报告,制定出公司的事件响应策略。事件响应团队的类型很多,可以是内部的、外部的,或者内外兼容的。
有人认为,尽管该过程必须涉及各方利益相关者、IT团队内部及外部人士(包括主要调查人员和IT主管),该过程十分依赖有经验的渗透测试员和IR领导者,却依然是不争的事实。
通常,团队包含各方面的技术人员,最重要的主管和网络取证人员。另外,好的团队往往配备有内存分析专家、恶意软件分析和威胁情报技术人员。
但是,别忽视了渗透测试和捕猎团队,这样攻击和记录分析技能才有用武之地。对IR团队经理来说,能做到以上所有,且理解高管说话做事方式的老练IR分析师,才是最值得寻找并珍惜的人才。
8. 实施正确的工具
良好IR计划将围绕网络可见性、攻击者检测、恰当的警报、团队安全通信,以及与公司其他部门的良好沟通展开。好的威胁情报有助对攻击者活动的可见性与理解,良好沟通可使IR团队向公司其他部门解释安全事件以便推行修复。
9. 建立沟通策略
事件响应中任何时候都必不可少的就是沟通了,有一套通告第三方和内部团队的沟通策略尤其重要。而对外,司法部门和潜在事件修复提供者也应被通告,雇员则是内部沟通的首要对象。他们应该知道事件响应计划,接受响应流程培训,能够清楚了解自己的角色。