譯者 | 晶顏

審校 | 重樓

一個殘酷的現實是，網絡威脅不會消失！隨著技術的不斷發展，威脅行為者使用的戰術和技術也將隨之演變。Statista最近的一份報告顯示，到2029年，全球網絡犯罪的成本將達到15.63萬億美元。為了解決這個問題，組織可以做的最重要的事情之一就是做好準備。根據美國國家標準與技術研究院（NIST）的說法，在事件響應生命周期的四個關鍵階段中，首先也是尤為重要的就是準備階段。

組織可以采取多個主動型準備步驟來確保事件響應（IR）準備就緒，這些步驟包括定期進行風險評估、實施全面的安全政策、提供持續的監控和威脅情報收集。組織還可以通過投資培訓計劃和模擬演練來增強其IR能力，從而對網絡事件做出更快速有效的響應。

以下是組織可以在任何網絡安全事件發生之前進行的一些準備活動，這些措施最終可以幫助提高組織的整體IR和網絡安全成熟度。

1. 進行IR準備評估

未經測試的組織可能無法完全掌握他們不知道的事情。由外部第三方進行的IR準備評估提供了對組織當前準備狀態的關鍵觀點。這樣的評估包括評估過程、程序、人員、文檔和技術，以衡量組織整體IR準備的成熟度。與審計不同，這些評估的目的是找出可能會削弱組織對事件的有效反應能力的潛在弱點。

組織可以通過識別人員（能力和技能缺口）、過程或技術來主動解決潛在缺陷。這種積極主動的方法不僅能加強網絡威脅防御能力，還為改進準備狀況提供了機會。最終，這樣的評估使組織能夠加強防御，并在日益復雜和具有挑戰性的網絡安全環境中更好地保護自己。

2. 制定健全的IR計劃

IR計劃是管理網絡事件的全面指南。它細致地概述了組織在任何類型和嚴重性事件發生之前、期間和之后的響應策略。它還詳細說明了組織IR團隊的結構，指定了角色和職責，以確保事件期間的清晰度和效率。

該計劃應該包括IR的基本步驟：準備、發現和分析、遏制、根除和恢復以及事件后活動。每個步驟都旨在系統地處理和緩解事件的影響，確保事件管理的結構化方法。此外，一個有效的計劃還會定義目標和目的、事件嚴重程度和其他關鍵因素，這些因素有助于形成一個全面的響應框架。

最重要的是，IR計劃應被視為一份動態文件。它需要定期更新和維護以保持有效性和相關性。Fortinet建議對該計劃進行兩年一次的審查，并在每次重大事件發生后進行重新評估。這個審查過程可以確保吸取的經驗教訓被集成到計劃中，并且組織發生的任何變化都能得到反映和處理。

如果沒有這樣的計劃，組織可能會在危機期間做出倉促決定，導致代價高昂且無效的結果。維護良好的IR計劃可以在事件期間提供清晰的路線圖，并增強組織快速有效應對挑戰的能力。

3. 通過IR手冊提供指導

事件響應手冊是更廣泛的IR計劃的重要延伸，提供針對特定事件的標準化程序。手冊提供了一個清晰的、可操作的框架，概述了組織為準備、響應和從各種不同類型的事件中恢復所必須采取的精確步驟。通過關注具體的事件場景，手冊能確保反應不僅迅速，而且有效且一致。

每個IR手冊都提供了IR所有階段的詳細指導，包括準備、檢測和分析、遏制、根除、恢復和事件后活動。這些文件的設計也應該是全面的，包括分配給響應小組特定成員的逐步行動項目。這種級別的細節可以確保在事件響應期間，所有任務都得到考慮，每個目標都得到滿足。

典型的手冊包括勒索軟件、惡意軟件、商業電子郵件欺詐（BEC）、拒絕服務攻擊、數據丟失事件、設備丟失或被盜、內部威脅和零日漏洞。手冊應該描述每個場景的具體行動和責任，確保響應團隊做好充分準備，有效而自信地處理事件。

4. 用桌面演練測試IR計劃

一旦IR計劃和手冊準備就緒，就可以使用桌面演練來測試它們了。根據NIST的說法，桌面演練是“一種基于討論的練習，人員在緊急情況下（討論）他們的角色以及他們對特定緊急情況的反應。”

簡而言之，桌面演練就像角色扮演游戲。引導者為參與者提供有關虛構的網絡安全事件的事實或“注入”。然后，參與者討論如何使用IR計劃和手冊作為指導來應對這些“事實”。這些演練可以迎合特定的受眾進行開發，通常作為技術團隊成員的操作練習，或者作為組織領導者在事件期間關注業務和策略相關決策的高級練習。

桌面演練應至少每年進行一次。然而，一個季度的周期是團隊保持新鮮感和提高其對網絡安全事件反應能力的最佳選擇。

5. 開發系統清單和網絡圖

不幸的是，許多安全和IT專業人員不知道存在哪些IR資源或如何訪問它們。這使得安全團隊很難理解已知活動的上下文，或有效地發現事件的廣度和深度，關鍵時間都被浪費在追蹤業務所有者、構建網絡圖或其他本應在事件發生之前實施的活動上。這可能顯著拖緩響應工作并加劇業務影響。

系統清單應包括諸如業務所有者、系統功能、主機名和IP、數據分類、數據關鍵性、相關審計或監管信息，以及其他可能對事件響應者有用的關鍵標識信息。這些信息可以幫助識別并確保對整個組織中最關鍵系統的及時響應。了解與這些系統相關的業務流程同樣非常重要，這樣可以在整個事件過程中做出明智的決策。

網絡圖幫助事件響應人員了解系統的位置、網絡分段情況，以及可用于幫助遏制和消除威脅行為者的潛在阻塞點或隔離點。在事件發生之前開發系統清單和網絡圖可以實現更高效地響應，使響應人員能夠了解在事件發生期間給定系統受到損害對組織的影響。

6. 實施補丁管理流程

威脅行為者正通過利用公開系統中的漏洞作為初始訪問媒介，獲取長久而穩定的立足點。根據FortiGuard調查數據顯示，在2023年下半年和2024年上半年處理的全部IR事件中，46%的事件是由面向公眾的應用程序中的漏洞直接導致的。供應商通常在這些漏洞被攻擊者利用前幾周、幾個月甚至幾年就提供了補丁。雖然有人可能會說，由于零日漏洞的存在，打補丁并非萬無一失，但打補丁能夠有效地縮小組織的威脅范圍，并消除容易實現的目標，是不可或缺的防御措施。

7. 定期進行漏洞評估和滲透測試

漏洞評估對于評估和改進補丁管理過程的有效性至關重要。這些評估通常針對內部/外部IP或系統，使用自動化工具和手動技術來檢查系統、應用程序和網絡設備之間的現有漏洞。在此評估過程中，仔細審查結果以消除誤報并準確評估漏洞對組織的潛在影響是至關重要的。

漏洞評估側重于已知的漏洞，而滲透測試則在發現可能危及組織網絡、系統或應用程序的未知漏洞方面發揮補充作用。滲透測試可以針對特定的環境（例如內部或外部網絡）進行調整，以確定威脅行為者可能利用的潛在入口點。另外，滲透測試可能側重于特定的Web或移動應用程序，進行徹底的檢查，以識別可能被惡意利用或在網絡中獲得未經授權訪問的潛在漏洞。

盡管相關法規可能要求組織對特定環境進行年度滲透測試，但對于許多組織來說，更頻繁地進行這些評估是明智的?？紤]到網絡環境的動態性，漏洞評估應該定期進行，頻率通常是每月一次，而滲透測試通常至少每年進行一次，如果可能的話，更頻繁會更好。

8. 檢查活動目錄環境

活動目錄（AD）基礎設施通常會隨著組織的發展而擴展。雖然AD環境是身份和訪問管理（IAM）程序的一部分，但在徹底的管理和安全監督方面，AD環境卻經常被忽視。對AD環境進行全面審查，確保其與Microsoft和標準組織（如NIST）的關鍵建議保持一致，不僅能增強AD配置的整體安全態勢，促進日志記錄功能的優化，還能推動更有效的事件檢測和調查工作。

對AD環境的評估應該包括根據行業最佳實踐評估其配置。此過程旨在識別和修復潛在的安全漏洞、錯誤配置或惡意行為者可能利用的漏洞。通過實施推薦的協議，組織可以顯著減少整體威脅，并加強對未經授權訪問和潛在破壞的防御。

審查和增強AD日志記錄對于快速和準確的事件響應至關重要。正確配置的日志提供了對用戶活動、身份驗證嘗試和系統事件的關鍵洞察，使安全團隊能夠及時檢測和緩解威脅。這種主動的方法有助于降低潛在風險，并確保符合法規要求和行業標準。而對AD環境進行全面審查和持續管理則有助于維護穩健的IAM實踐，并增強整體網絡安全彈性。

9. 啟用集中日志并確保監控

許多網絡安全事件可能持續數周甚至數月而未被發現，這凸顯了日志在有效事件調查中的關鍵作用。采用基于風險的方法對于確定要捕獲哪些日志、定義保留期限和建立必要的詳細級別以支持調查過程至關重要。通過集成設備、網絡和安全解決方案生成的日志，組織可以將數據關聯起來，以幫助調查和檢測其環境中的異常行為。

集中的日志記錄構成了有效檢測程序的基礎，但是監視這些信息同樣重要。如果沒有強大的監控，組織可能會忽略或錯過關鍵警報，從而可能導致網絡安全事件升級。因此，組織必須確保及時響應通過集中日志和安全警報機制識別的異常和警報。

通過集成集中日志記錄和監控，組織可以在事件升級為全面事件之前主動識別和響應事件。這種主動姿態增強了IR能力，提升了整體網絡彈性，能夠更好地在當今動態威脅環境中防范潛在威脅。

不要忘記終端用戶

FortiGuard IR團隊觀察到，有效憑據在過去一年中的使用量顯著增加，約占初始訪問方法的54%。這一趨勢表明，攻擊者越來越老練，他們正利用合法憑據獲得未經授權的訪問，以繞過傳統的安全措施。為了有效地對抗這種威脅，組織應該優先分析其環境中的正常用戶行為，以識別指示惡意活動的異常值。一個強大的方法是實現用戶和實體行為分析（UEBA）。UEBA利用先進的算法和機器學習來監視用戶操作，建立行為基線，并檢測可能發出安全事件信號的異常情況。

然而，對于用戶行為分析來說，復雜的工具并非剛需，前提是擁有健壯的日志記錄實踐（參見上面的第9項）。組織可以通過系統地記錄各種用戶活動（如登錄時間、用于身份驗證的設備、訪問的系統和使用的應用程序）來創建全面的行為基線。這些基線能夠識別可能指示潛在網絡安全事件的異常值。定義什么是正常行為并為異常活動建立閾值是至關重要的步驟。當檢測到異常時，表明帳戶可能被泄露或存在內部威脅，需要立即進行調查和響應。不過，不管用戶行為分析是如何進行的，都必須要為響應者準備一份行動指南。

將行為分析集成到安全策略中對于緩解日益加劇的憑據濫用威脅至關重要。通過利用UEBA（甚至是基本的日志記錄和監視），組織可以創建一個動態的、響應性強的安全態勢，從而快速識別和緩解威脅。這種主動的方法增強了對惡意活動的早期檢測，提升了IR能力，并強化了組織的安全框架。

原文標題：Preparation Is Not Optional: 10 Incident Response Readiness Considerations for Any Organization，作者：John Hollenberger