创建安全事件响应计划的5个步骤

2020-05-15NealWeinberg

计算机世界 2020年17期

Neal Weinberg

受到网络攻击固然很糟糕，而与之相比更为糟糕的是受到了网络攻击，却没有事先制订好强有力的安全事件响应计划。

狡猾的高级持续威胁（APT）攻击通常是针对高价值目标，例如，存储大量信用卡数据和其他个人信息的信用卡公司、银行、零售商、医疗保健机构和连锁酒店等。但实际上，企业无论规模大小，无论身处哪一行业，都很难免受内部攻击或者随机恶意软件、网络钓鱼、勒索软件和拒绝服务攻击的影响。

企业应对泄露事件是否得当，意味着要么能够控制事件的发展并迅速恢复正常业务，要么企业声誉持续多年深受损害。

根据波内蒙研究所（Ponemon Institute）《2019年数据泄露事件成本报告》，全球泄露事件平均成本为390万美元，而美国企业平均成本为820万美元。据该报告，如果事先建立了事件响应小组，那么泄露事件的成本能够降低36万美元。

此外，据该报告，整个事件响应（IR）生命周期包括了检测、遏制、根除、补救和恢复等过程，如果企业能够在200天以内完成这一过程，与那些花费200天以上的企业相比，能够节省120万美元。

企业还需记住，与泄露事件相关的成本中，有67%发生在第一年;第二年是22%，这是因为企业会努力恢复声誉，减缓客户流失率，吸引新客户。据Ponemon报告，在第三年甚至更长的时间里，人们都能感受到泄露事件的长期影响。

创建事件响应计划看起来是一项艰巨的任务，但有一些方法可以把这个过程分解为易于处理的部分。把事件响应视为一个完整的反馈循环过程，一开始，在威胁造成任何伤害之前便能够发现威胁，如果确实发生了泄露事件，则快速将其遏制住，修复安全防御系统中可能被攻击的任何漏洞，然后从事件中吸取教训，这些教训可以应用到企业持续进行的泄露事件预防和检测活动中。换句话说，计划应涵盖泄露事件前、事件中和事件后的活动。

1.组建事件响应小组

如果企业不幸曾被攻击过，那么最后悔的可能是之前没有组建事件响应小组。企业都应该有一个事件响应小组，其中包括最有能力的IT安全专业人员，但也需要整个企业的广泛参与，这一点非常重要。

来自高管层的支持也很重要。有了企业领导层的支持，IT主管就能够招聘到需要的合格人员来实施计划。这些人应接受培训，以便他们知道自己的角色和责任。

按照企业的规模和在全球的分布情况，可能需要组件多个小组，例如，一个北美小组，一个亚太小组，以适应不同的语言、法规和报告要求等。

除了安全分析师，还需要有人去处理事件响应技术人员和关键相关方（包括高级领导层、董事会和非技术员工）之间的内部沟通。还应立即通知参与供应链的合作伙伴、供应商和其他第三方。

律师和审计师应参与到处理各种问题的循环过程中来，包括合规、法律责任，与执法部门打交道等。在公共关系方面，必须有一个危机管理小组来设法处理泄露事件带来的负面影响。需要通知客户。市场营销也要适时参与进来，以制定旨在重建客户信任的公关策略。

小组还必须有一个领导，即事件响应经理，并且应该指派专人来收集文档。同样重要的是要有畅通的沟通渠道，能随时联系上每一个人，如果小组关键成员休假或者在灾难发生时联系不上，还应该有备份或者备用方案。

对于应向IT管理层、高管层、受影响的部门、受影响的客户和媒体传达多少细节，应该有明确的原则。

还需要考虑其他沟通问题：如果刚刚发现攻击，攻击者可能仍在监听内部通信，那么最好暂停使用电子邮件、即时通信和协作应用程序，每个人应该在房间里面对面地进行交流。小组可能需要从公司总部前往泄露事件发生所在地，因此需要考虑相关的后勤保障。

确实要组件事件响应小组，不能纸上谈兵。企业应留出时间进行适当的演习，以确保每个人都知道当真正出现事故时该怎么办。

2.制订行動手册

企业应制订行动手册，全面、详细地指导怎样应对安全事件。行动手册是事件响应计划的根本。

行动手册应涵盖准备、检测、分析、遏制、根除、恢复和事故后处理等环节。手册的一个关键点是，必须制订的非常详细，清楚地阐明角色、职责和处理程序。另一方面，由于很难预测泄露事件的类型和严重程度，因此，手册应非常灵活，人们能够根据情况需要，有权自由地随时作出重要决定。

例如，卡内基梅隆大学制订的行动手册长达11页。加利福尼亚州科技部的事件响应计划有4页，包括小组成员应遵循的17步检查表。

同样重要的是，随着环境的变化和威胁的演变，企业应不断更新行动手册。要根据事件响应小组在应对威胁时所汲取的经验教训，不断完善行动手册。行业协会、分析师和同业团体等外部资源的见解也应纳入行动手册中。

当然，事件真正来临时，事件响应小组再身经百战也未必能完全做好准备，他们可能要每周7天，每天工作18小时，甚至要连续工作几星期。而定义好了角色和职责的事件响应行动手册肯定会有帮助。

3.预防和准备

显然，最好的事件响应计划是在第一时间阻止泄露事件的发生。企业应进行漏洞评估和其他类型的分析，以发现并堵塞安全漏洞。企业还需要对员工进行安全最佳实践方面的培训，例如，创建强密码，不要点击网络钓鱼链接等。预防阶段还应包括在发生泄露事件时提供所需的工具和资源。

企业还需要对数据和应用程序的业务价值认真进行评估。通过这一步骤，安全小组加强了防御，保护企业最重要的资产，首先确定攻击者最感兴趣的高价值数据类型，确保有更强的安全措施来保护这些数据。

Ponemon报告中最令人惊讶的发现是，确认数据泄露所需的时间平均是197天，而一旦发现数据泄露，遏制数据泄露所需的时间平均为69天。这意味着很多情况下，攻击者在被发现之前，已经在企业的系统里至少扎根了6个月以上。

怎么會这样？在最近由Splunk赞助的IDC调查中，只有40%的企业制订了比较宽泛的事件响应计划，只有14%的企业拥有流程自动化的事件响应管理平台。

最终的结果是，安全分析人员在雪崩般的警报面前应接不暇，无法对这些警报准确地进行分类，不知道哪些是误报，哪些是直接威胁。接受IDC调查的2/3的企业报告称，他们每周遭受一次攻击，30%的企业至少每天遭受一次攻击，而10%的企业每小时会遭受一次攻击。

在这种持续遭受攻击的环境下，只有27%的受调查企业表示，他们能够轻松应对这么多的攻击，28%的企业表示，他们处境艰难，另有5%的企业则表示，他们一直在四处灭火。安全小组面对大量的攻击措手不及，没有适当的工具、流程和计划来有效管理其事件响应活动。

Imperva的一项研究调查支持了这一结论，该调查发现，在安全运维中心（SOC）工作的分析师平均每天调查20～26起事件。警报实在太多了，安全专业人员最终会忽略一些警报，或者修改他们的策略以减少接收到的警报次数。

Imperva调查中的大多数IT专业人员（53%）表示，他们所在企业的SOC一直苦于很难确定哪些安全事件是关键的，哪些只是干扰噪声。

有效地排除背景噪声的最佳方法是通过自动处理事件响应，对事件响应进行编排。据Ponemon的报告，自动化将数据泄露的平均成本降低了155万美元，并增强了网络攻击的预防、检测、响应和遏制能力。通过自动化，安全分析师提高了效率，能够根据更准确的信息来采取行动。Ponemon说，编排使得事件响应速度提高了40倍。