2.1.1 实施事件响应流程的原因
在深入学习流程本身的更多详细内容之前,了解使用的术语以及将IR用作增强安全态势一环时的最终目标是什么,这一点很重要。我们用一个虚构的公司来说明为什么这很重要。
图2-1是一个事件的时间线[2],用来引导服务台升级问题并启动事件响应流程。
图2-1 导致问题升级和启动事件响应流程的事件时间线
表2-1列出了上述场景每个步骤中的一些注意事项。
表2-1 导致问题升级和启动事件响应流程中的注意事项
虽然前面的场景还有很大的改进空间,但这家虚构的公司有着世界上许多其他公司都没有的东西:事件响应本身。如果没有适当的事件响应流程,技术支持专业人员会将精力集中在与基础设施相关的问题上,从而耗尽他们的故障排除努力。安全态势较好的公司,都会有相应的事件响应流程。还将确保遵守以下准则:
·所有IT人员都应接受培训,了解如何处理安全事件。
·应对所有用户进行培训,使其了解有关安全的核心基础知识,以便更安全地完成其工作,这将有助于避免感染。
·服务台系统和事件响应小组之间应该集成以实现数据共享。
上述场景可能会有一些变化,会带来不同挑战,这些挑战也需要克服。一种变化是如果在步骤6中没有发现攻陷指示器(Indicator of Compromise,IoC)。在这种情况下,服务台可以轻松地继续对问题进行故障排除。如果在某个时候“事情”又开始正常工作了呢?这有可能吗?是的,这是很有可能的!找不到IoC并不意味着环境是干净的;现在你需要改变策略,开始寻找攻击指示器(Indicator of Attack,IoA),这需要寻找能够表明攻击者意图的证据。在调查时,可能会发现许多IoA,它们可能会也可能不会导致IoC。关键是了解IoA将使你更好地了解攻击是如何执行的,以及如何对其进行防范。
当攻击者渗透到网络中时,他们通常希望保持隐形,从一台主机横向移动到另一台主机,危害多个系统,并试图通过攻陷具有管理权限的账户来提升权限。这就是为什么不仅在网络中要有好的传感器,在主机本身中也要有。有了好的传感器,不仅可以快速检测到攻击,还可以识别可能导致迫在眉睫的违规威胁的潜在场景[3]。
除了刚才提到的所有因素外,有些公司很快就会意识到,必须要有事件响应流程,以符合所处行业的相关规定。例如,2002年颁布的联邦信息安全管理法案(Federal Information Security Management Act,FISMA)要求联邦机构制定检测、报告和响应安全事件的程序。