當面對現實生活中的網絡安全威脅時，很少有組織知道首先要采取哪些步驟來處理事件并將其對業務的影響降至最低。制定經過深思熟慮的網絡安全事件響應計劃(IRP)是讓自己為應對這種情況做好充分準備的唯一方法。

在本文中，將詳細探討如何使用NIST事件響應框架構建完全符合業務需求的IRP。

事件響應計劃什么、價值以及如何構建？

什么是IRP？?

事件響應計劃是包含用于處理和減輕安全事件、網絡攻擊和數據泄露后果的結構化方法的文檔。

為什么制定事件響應計劃很重要？?

強烈建議任何規模的企業使用IRP。在規劃事件響應時，采用多層方法來保護組織的網絡和資產非常重要。

此外，始終需要在安全性與企業網絡和部署系統的生產力之間取得平衡。

用于構建示例事件響應計劃的清單

下面，我們探討十個技巧來建立或檢查事件響應計劃。進一步閱讀詳細的NIST指南、關鍵步驟和尋找技術解決方案的提示。

• 指定需要遵循的主要事件響應要求（NIST、HIPAA、PCI DSS等）以及與業務相關的要求（響應時間、恢復策略等）。
• 進行安全審計，以確定公司網絡和部署系統中的弱點，可以立即解決這些弱點。
• 定義什么是安全事件。員工需要知道哪些事件被視為安全事件，如何定義其嚴重性等。
• 指定將在事件期間負責的負責人，并決定需要通知哪些各方并參與處理事件。
• 包括一個全面的溝通計劃。IRP必須指定在發生事件時首先給誰打電話、什么時候給他們打電話，以及在他們不可用時聯系誰。
• 列出組織最有可能面臨或過去曾面臨的安全事件的簡短列表。計劃處理事件的程序。然后一點一點地擴大涵蓋的安全事件的范圍。
• 向IRP添加各種選項：可能的數據泄露級別、事件嚴重性級別、受影響端點的類型等。
• 計劃恢復方案。整合備份解決方案并指定在發生安全事件時應遵循的系統恢復和數據恢復程序。
• 向有關當局報告。包括在發生特定事件時應通知的當局列表。例如，歐盟GDPR和美國加利福尼亞州的 SB1386要求在數據泄露的情況下發布公共通知。
• 根據以前的事件改進IRP。處理新事件后，深入分析它以使用更有效的響應策略、程序和方案更新當前的 IRP。

現在，讓我們看看如何為組織構建合適的 IRP。在確定如何應對潛在的安全事件時，首先選擇要遵循的指南。

NIST作為構建事件響應計劃的指南

雖然有很多指導方針和現成的網絡事件響應計劃模板，但并非所有這些模板都適用于所有類型的組織。

從頭開始創建事件響應程序與構建內部威脅程序一樣具有挑戰性。對于每個組織，最有效的事件響應方案的選擇將取決于特定的IT環境、組織面臨的威脅以及組織的業務需求。

但是，美國國家標準與技術研究院(NIST)提供了一系列指南，每個組織都可以將其用作構建其事件響應計劃的基準。

特別是，可以遵循計算機安全事件處理指南800-61修訂版2的建議來有效管理潛在的網絡安全事件。

根據NIST事件管理指南，事件響應計劃應包括以下主要階段：

每個階段都包括組織應考慮添加到其IRP的多個步驟。讓我們仔細看看這些階段。

準備?

組織應在網絡安全事件實際發生之前做好應對準備，并提前計劃所有必要的響應程序。準備階段還包括首先計劃如何防止數據泄露或攻擊發生。

檢測分析?

組織必須能夠檢測網絡事件，并擁有適當的工具和技術來收集、記錄和分析與事件相關的數據。為了更輕松地完成這項任務，NIST指定了八個攻擊向量（見下文）并列出了網絡安全事件的最常見跡象。

必要時，組織還應該能夠根據事件的影響和可恢復性確定事件的優先級，然后將違規情況通知有關當局。

遏制、根除和恢復?

組織必須能夠有效地處理攻擊、消除威脅并開始恢復受影響的系統和數據。

在這些階段，收集有關事件的證據以供日后用于解決事件和法律訴訟也很重要。

事后活動?

在有效處理安全事件后，組織應使用從事件中獲得的信息來改進其當前的IRP。

NIST網絡安全框架的最佳之處在于它既靈活又適應性強，因此大企業和小企業都可以有效地實施它。讓我們看看如何為組織構建符合NIST的IRP。

實施符合NIST的事件響應計劃的提示

NIST為構建有效的IRP提供了非常詳細的事件響應指南。這里的主要問題是信息太多，可能會發現自己在推薦中迷失方向。

以下是NIST事件響應清單，其中包含五個必須采取的步驟，以確保事件響應計劃同時滿足NIST要求和組織的需求。

1. 建立網絡安全事件響應小組

或者至少選擇負責的人員。?

無論組織規模或工作領域如何，在規劃IRP時首先要做的就是創建一個網絡安全事件響應團隊(CIRT)。

CIRT負責在安全事件期間協調關鍵資源和團隊成員，以便將攻擊的影響降至最低，并盡快恢復所有操作。

CIRT的主要職能是：

• 定義事件響應策略和程序
• 及時處理網絡安全事件
• 調查和分析以前的事件
• 創建事件報告能力并建立必要的溝通
• 培訓員工并提高對網絡安全威脅及其緩解措施的認識
• 改進當前的事件響應計劃

CIRT的成員數量取決于公司的規模、潛在的數據丟失和地理范圍。但是，請務必指定一名負責響應和處理事件的團隊負責人。?

特別注意CIRT培訓：每個CIRT成員都應該了解組織的關鍵網絡安全政策和程序，以及他們在發生攻擊時的具體責任。

2. 提前計劃所有程序

提前計劃至關重要。?

如果發生網絡安全事件，CIRT需要確切知道如何以最小的損失處理它。但是，不僅需要制定而且還需要在實際事件發生之前對計算機安全事件響應計劃進行實戰測試。

CIRT在規劃階段需要完成四項主要任務：?

首先，需要確定哪些事件被視為網絡安全事件。然后，為每種類型的潛在事件制定事件響應計劃。

在其計算機安全事件處理指南中，NIST指定了攻擊向量列表，并建議為使用相同攻擊向量的事件開發通用事件響應方案。

常見的攻擊媒介包括：

• 外部或可移動媒體（例如，受感染的USB設備）
• 設備丟失或被盜（丟失的公司筆記本電腦或授權令牌）
• Web（從Web應用程序執行的攻擊）
• 電子郵件攻擊（帶有惡意網站鏈接的電子郵件）
• 冒充（欺騙和中間人攻擊）
• 不當使用（訪問濫用）
• 損耗（蠻力攻擊）
• 其他（所有其他攻擊）

接下來，根據其影響確定可能的威脅和攻擊的優先級。畢竟，當更大的漏洞仍未解決時，浪費時間來管理輕微的攻擊是沒有意義的。

NIST事件響應計劃提供了三個基于影響的標準來確定事件的優先級：

NIST事件嚴重程度取決于幾個因素：

(1) 功能影響決定了特定事件對業務運營的影響。

功能影響分為四個級別：

• 無——對組織的系統沒有功能影響
• 低——組織的系統基本不受影響
• 中等——組織無法提供某些服務高——組織不能為所有用戶提供至少一項關鍵服務

(2) 信息影響取決于事件期間泄露的信息的重要性和敏感性。

信息影響也有四類：

• 無——沒有數據泄露
• 隱私泄露——敏感的個人身份信息被泄露
• 專有違規——可能泄露商業秘密
• 完整性損失——數據可能被更改

(3) 可恢復性影響是衡量組織從事件中完全恢復所需的資源。

可恢復性影響也有四個級別：

• 定期——不需要額外的資源
• 補充——需要額外的資源，但組織可以預測總體恢復時間
• 延長-無法預測恢復時間
• 不可恢復——組織無法從事件中恢復

這種三層方法足夠靈活，可以被任何組織采用。

完成所有分類工作后，就該開始規劃響應不同類別網絡安全事件的標準程序了。考慮為最常見的事件類型（例如系統故障、拒絕服務、入侵和間諜軟件感染）制定遏制策略和標準操作程序(SOP)。

在SOP中，指定CIRT在發生特定事件時使用的技術流程、技術、檢查表和表格。

有關建立適當響應程序的進一步指導，可以參考NIST特別出版物800-86，將取證技術集成到事件響應中的指南。

3. 監控用戶和網絡活動

如果你能看到它，你就可以管理它。?

防止潛在攻擊的最佳方法之一是監視網絡上發生的一切。考慮部署用戶活動監控解決方案來解決內部威脅和與分包商相關的安全風險問題。

通過關注個人用戶的活動和網絡上的活動，可以：

• 及早檢測并終止攻擊
• 收集證據和有價值的數據以供進一步分析

更進一步，可以實施具有行為用戶監控功能的解決方案。使用 AI 驅動的技術，此類解決方案可以檢測到受監控基礎設施內的異常和與基線用戶行為的偏差。不要忘記通過制定內部威脅事件響應計劃來減輕自己組織的風險。

在選擇正確的用戶活動監控解決方案時，請尋找一個同時配備靈活事件響應系統的解決方案。能夠設置自定義實時警報并自動化至少一些 SOP 將確保及時響應網絡安全事件。

4. 注意備份和恢復策略

沒有人愿意丟失有價值的數據。?

恢復策略是任何 IT 事件響應計劃的關鍵部分。

就像處理事件一樣，最好在實際發生任何違規行為之前考慮從事件中恢復，并針對不同場景編寫數據恢復過程的詳細示例。

可以從確定哪些數據對組織業務最有價值開始，并額外注意其保護。這在發生現實生活中的網絡安全事件時應該關注什么：將立即需要恢復哪些數據以及哪些資產可以在第二天甚至下周恢復而不會對業務造成任何損害。

關于組織從網絡安全攻擊或數據泄露中的恢復， CIRT 需要牢記兩項主要任務：?

(1) 數據恢復。如果沒有備份系統，將很難快速應對網絡安全事件。如果組織面臨網絡安全事件，部署數據丟失防護工具并創建備份將幫助組織安全地恢復所有關鍵業務信息。

為了更好地保護關鍵數據，請選擇結合了本地和基于云的服務的混合備份解決方案。此外，考慮通過為 NIST 合規性部署身份和訪問管理 解決方案來限制對敏感數據的訪問。

如果確實發生了安全事件，請確保備份受影響的系統，以便可以保留其當前狀態以進行取證。

(2) 服務恢復。以下兩個步驟對于在事件發生后將組織的系統恢復到正常運行至關重要：

• 檢查網絡以確認所有系統都在運行。
• 重新認證在事件期間可能受到影響的任何系統或組件可操作。

可能還需要為被入侵賬戶的用戶重置密碼，并阻止可能啟用入侵的賬戶和后門。

5. 更新事件響應計劃時要關注什么

總是有改進的余地。?

根據 NIST 的說法，組織應至少每年審查一次事件響應計劃。但是，鑒于新的網絡安全威脅不斷出現，更明智的做法是更頻繁地檢查和更新此計劃，尤其是對于大型公司而言。

每當業務面臨重大變化時，無論是進入新領域還是更改內部基礎架構，這些變化都應反映在IRP 中。

• 與業務相關的新攻擊向量和安全威脅
• 本地和行業網絡安全要求的更新和變更
• 從以前的攻擊和違規中吸取的教訓
• 可以改進的事件處理程序和解決方案

例如，如果組織是新的網絡安全威脅的潛在目標，則為此類攻擊準備足夠的事件響應方案非常重要。計劃、測試和記錄與新威脅相關的所有程序和恢復工具。

檢查組織中處理現實事件的方式也很重要。這樣的分析可以告訴我們當前的策略是否良好，以及可以采取哪些措施來防止此類事件再次發生。

結論

制定事件響應計劃對于任何規模的組織和企業都至關重要。

雖然有現成的事件響應計劃模板，但根據內部調查構建自定義事件響應計劃以反映組織特定要求并構建自己的內部威脅響應計劃會更有益。

為了使這個過程更容易一些，組織可以參考常見的安全標準和流行的準則，例如 NIST 提供的那些。根據 NIST 標準制定事件響應計劃時，組織應涵蓋NIST 事件響應過程的四個主要階段：?

• 準備
• 檢測分析
• 遏制、根除和恢復
• 事后活動

在這些階段的每一個中，都應指定一組工具和程序來處理特定的攻擊向量或特定的安全問題。?