为什么制定应急响应(IR)计划很重要?
随着网络威胁的数量和严重程度不断增加,以及日益复杂的IT环境,企业必须启用应急响应和恢复流程,来保障企业的网络安全。
随着零日漏洞的增加,威胁变得越来越复杂,其中许多甚至是来自有组织犯罪集团和国家支持的威胁行为者执行的,同时随着云环境的激增和不安全配置的日益严重,攻击面也越来越大。
因此,制定强大的应急响应计划有助于企业在面对网络攻击时,能在有效响应和恢复上保持一致:通过制定清晰、有据可查的计划和指定的应急响应团队,员工可以知晓谁做出决策以及如何确定行动的优先级,并快速采取有效行动。
总之,应急响应的目的,可以帮助企业:
1、确定应急响应领导者,以指导响应活动;
2、确保团队成员和安全工具涵盖所有关键功能;
3、在事件发生时快速确定适当的行动方案;
4、协调应用程序安全工作与应急响应者。
应急响应计划不仅对网络安全工作很重要,还可能对合规性产生影响。某些合规标准就特别要求制定应急响应计划,其中包括NIST特别出版物800-53、NIST网络安全框架(CSF)、NIST800-61和CIS18关键安全控制(CSC)。
应急响应工具是什么?
应急响应工具通过提供包括预防、检测和响应等功能,帮助企业以标准化方式解决、管理、处理安全事件,限制损害范围,最大限度地缩短恢复时间,并降低网络攻击和违规行为。
该工具可以自动和简化循环中的某些应急响应功能,以减少系统错误和检测时间。同时,提供可见性和控制,包括对需进一步调查的异常行为的相关信息,启动直接响应工作以最大程度地降低安全风险。
提升应急响应能力的常见工具和技术有哪些?
01、SIEM
安全信息和事件管理(SIEM)是一种安全管理方法,它将安全信息管理(SIM)和安全事件管理(SEM)统一到一个安全管理系统中。SIEM系统汇总来自多个来源的数据,以确定与预先建立的基线所产生的偏差并采取适当的措施。
SIEM系统可以使用规则或统计关联引擎来确定各种事件日志条目之间的关系。SIEM工具在企业的基础设施中收集由主机系统、应用程序和安全设备(如防火墙和防病毒筛选器)创建的日志和事件数据,并将这些数据集中在一个平台上。
SIEM工具可以识别相关数据并进行归类,例如恶意软件活动、成功和失败的登录以及其他恶意活动。在识别出潜在安全问题后会生成警报,企业就可以预定义规则以将警报设置为高优先级或低优先级。
02、SAST
静态应用程序安全测试(SAST)是一种白盒测试方法,涉及分析应用程序源代码,以查找安全漏洞和可能使应用程序受到攻击的任何弱点。SAST工具通过检查其源代码、二进制文件和字节码的设计和编码缺陷来分析非活动应用程序。
在部署到生产环境之前,软件开发人员可以使用SAST在软件开发生命周期 (SDLC)的早期阶段识别和修复应用程序源代码中的缺陷,因为在这些阶段使用SAST扫描是不需要运行的应用程序或部署的代码。
但同时该工具需要开发人员定期运行,以确保在应用程序在进行新的构建、发布、检查代码时能够发现漏洞。
03、XDR
扩展检测和响应(XDR)是一种基于SaaS的安全威胁检测和应急响应工具,它集成了多个安全产品,并将所有许可组件统一到一个安全操作系统中。XDR为安全操作提供实时可操作的威胁信息,以更快地获得结果。
这种特定于供应商的工具对整个技术环境中的安全威胁,可以实现一个全面、简单的可视化,并通过扩展检测和响应功能,提高安全运营效率。同时,XDR工具通过接收和提取多个遥测流,统一所有端点、云和网络的可见性和控制权。
通过分析威胁向量(包括 TTP),XDR工具消除了对定制点解决方案的需求,使安全团队更容易访问复杂的安全操作功能,且消除了检测和调查周期,提供了以威胁为中心的上下文,促进了更快的事件响应。
04、DFIR
数字取证和事件响应(DFIR)是识别,调查,遏制和补救网络攻击的做法,可以为网络攻击和其他数字调查相关法律的起诉提供证据。DFIR运用了2个学科:
①应急响应 收集和分析数据以调查数字资产。此调查目的是支持对安全事件的响应,它不仅包括调查,还包括遏制和恢复等应对步骤。
②数字取证 取证科学的子领域涉及收集、分析和呈现数字证据,如用户活动和系统数据。它有助于确定某些网络设备、平板电脑、手机和计算机系统上发生的情况,并支持各种调查,如公司内部调查、监管调查、犯罪活动和诉讼。
数字取证涉及收集和调查数据,主要是为了确定已发生事情的叙述。启动应急响应调查主要是为了遏制安全事件并从中恢复。两者都可以使用相同的过程和工具,并可能在将来的诉讼中共享。
小结
本文解释了应急响应的基础知识,并介绍了4类工具和技术加强应急响应能力:
SIEM – 关联整个IT环境中安全事件的数据
SAST – 为开发人员提供有关软件漏洞的快速反馈
XDR – 能够自动检测跨安全竖井的复杂攻击
DFIR – 让安全团队识别安全漏洞中发生的情况,并帮助起诉网络犯罪分子。
想要了解更多关于应急响应的相关内容,可以关注ECSC课程。
▼
美亚柏科企业网络安全能力(ECSC)培训
该培训主要面向企业或信息化部门负责人、网络安全工程师、企业网络安全攻防赛参赛队伍。课程包括政策解读、攻防技术、赛事技巧三大板块。
通过培训有助于提高企业对网络安全的认识,强化对网络安全基本要求的理解,提升网络安全工程师的安全防护能力,促进企业在网络安全领域的合规性建设和日常安全管理。
更多推荐
加强API安全,确保电商平台安全经营
如何通过零信任架构实现 API 安全?
网络安全 | ChatGPT爆火背后的安全威胁可能超出想象
