什么是事件响应?

安全资讯 小布 706浏览 0评论

为什么事件响应很重要?

网络攻击呈上升趋势,并对各行各业的各种规模的公司构成威胁。任何组织都可能成为数据泄露或勒索软件攻击的受害者,需要拥有有效管理网络安全事件所需的工具和流程。

事件响应很重要,因为它允许组织确定事件的范围和影响并采取措施进行补救。事件响应人员将调查入侵,控制和修复受感染的系统,并在威胁消除后恢复正常操作。

如果组织准备妥善处理,事件响应会对数据泄露或其他网络安全事件的成本产生巨大影响。平均而言,拥有事件响应团队和经过测试的事件响应计划的公司的平均数据泄露成本比没有这两者的公司低 54.9%。

事件响应流程

事件响应的目标是使组织从对潜在入侵知之甚少或一无所知(除了存在的入侵)到完成补救。实现这一目标的过程分为六个主要阶段:

  1. 准备:准备是有效的事件响应和最小化网络安全事件的成本和影响的关键。为了准备事件响应,组织应该创建一个事件响应团队,并定义和测试一个事件响应计划,该计划概述了事件响应过程的每个阶段应该如何处理。
  2. 识别:事件响应始于潜在事件的检测,因此团队几乎没有或根本没有关于入侵范围的信息。在识别阶段,事件响应者调查潜在事件以确定发生了什么、受影响的系统、潜在的监管影响等。
  3. 遏制:在确定受事件影响的系统后,事件响应团队将该系统与网络的其余部分隔离。网络威胁参与者及其恶意软件通常会尝试通过公司网
  4. 络横向移动,以实现其目标或最大化攻击的影响。尽早隔离受感染的系统有助于限制攻击造成的成本和损害。
  5. 根除:在此过程中,事件响应团队已进行了完整的调查,并认为已完全了解所发生的情况。然后,事件响应人员努力从受感染的系统中删除所有感染痕迹。这可能包括删除恶意软件和移除持久性机制,或者从干净的备份中完全擦除和恢复受影响的计算机。
  6. 恢复:根除后,事件响应团队可能会扫描或监控受感染的系统一段时间,以确保恶意软件已被完全清除。完成此操作后,通过解除将计算机与公司网络其余部分隔离的隔离,计算机将恢复正常运行。
  7. 经验教训:网络安全事件的发生是因为出现问题,重要的是要记住事件响应并不总是完美无缺。事件修复后,事件响应者和其他利益相关者应进行回顾,以识别事件响应计划中的安全漏洞和缺陷,可以修复这些漏洞和缺陷,以降低事件发生的可能性并在未来改进事件响应。

外包事件响应服务的好处

事件响应由有经验的响应者快速执行时最有效。在许多情况下,组织缺乏资源来让一个完整的事件响应团队全天候工作。一种替代方法是与提供专业事件响应服务的组织合作。

这提供了一些好处,包括:

  • 可用性:事件响应团队越早开始工作,攻击对组织的成本和影响就越低。网络安全事件随时可能发生,在工作时间以外联系事件响应团队成员可能很困难。专业的事件响应提供商将拥有多个团队,以提供更好的覆盖范围和更高的可用性。
  • 经验:安全事件处理不当会增加成本和对组织的损害。例如,勒索软件攻击会使受感染的系统不稳定,这意味着重新启动可能会使加密数据无法恢复。专业的事件响应人员拥有有效和正确处理安全事件所需的经验。
  • 专业知识:事件响应通常需要专业知识,例如取证分析或恶意软件逆向工程。大多数公司内部不需要具备这些技能,但专业的事件响应团队可以接触到处理任何网络安全事件所需的专家。
  • 管理整个事件响应流程:外包事件响应提供商应支持组织的所有事件响应需求。这包括准备事件响应、管理检测到的入侵以及努力减轻未来的攻击。让我们分解这个过程:

#1. 准备。合格的事件响应团队必须能够在事件发生前提供帮助,包括但不限于:

  • 事件响应计划
  • 量身定制的“威胁”咨询
  • 桌面练习
  • 策略创建
  • 情报共享
  • 攻击面评估
  • 定制威胁管理
  • SOC 培训/剧本创作

#2. 回复。一旦识别出威胁,事件响应团队应管理完整的事件响应流程,包括:

  • 攻击缓解
  • 完整的事件处理
  • 恶意软件取证
  • 端点/网络/移动取证
  • 威胁情报
  • 攻击态势分析
  • 完整的可操作报告

#3. 减轻。真正的威胁检测和响应不仅仅是管理已知的安全事件,还包括发现、修复和预防未知威胁。外包事件响应提供商还应提供:

  • 域删除服务
  • 妥协评估
  • 威胁狩猎参与
  • 主动参与者管理
  • 攻击中断服务

转载请注明:布尔云安的博客 » 什么是事件响应?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址