本節(jié)探討管理網(wǎng)絡(luò)事件所需的技術(shù)、日志和證據(jù)。我們還會(huì)檢查在事件期間可能需要采取的技術(shù)操作和分析類型。

　　成功的技術(shù)響應(yīng)需要有經(jīng)驗(yàn)和技能的人員，以及工具、特定的網(wǎng)絡(luò)設(shè)置和數(shù)據(jù)訪問權(quán)限。

　　內(nèi)容

　　提供重要信息

　　日志管理和證據(jù)捕獲

　　證據(jù)數(shù)據(jù)捕獲

　　技術(shù)響應(yīng)

　　分流

　　遏制

　　分析

　　補(bǔ)救/根除

　　恢復(fù)

　　數(shù)據(jù)安全向第三方提供數(shù)據(jù)

　　如果向供應(yīng)商提供數(shù)據(jù)，歐盟有GDPR 要求必須考慮數(shù)據(jù)控制者的所有權(quán)及其能力。我國(guó)現(xiàn)已經(jīng)頒布施行《中華人民共和國(guó)數(shù)據(jù)安全法》，有關(guān)數(shù)據(jù)安全的原則依據(jù)相關(guān)法律法規(guī)執(zhí)行。

　　提供重要信息

　　網(wǎng)絡(luò)信息

　　清楚了解網(wǎng)絡(luò)對(duì)于所有響應(yīng)階段都很重要。它可以將技術(shù)調(diào)查的發(fā)現(xiàn)階段從幾天縮短到幾小時(shí)。它還可以確保成功采取遏制和補(bǔ)救措施。

　　網(wǎng)絡(luò)圖和支持信息應(yīng)該至少可以顯示：

　　互聯(lián)網(wǎng)網(wǎng)關(guān)

　　IP 地址范圍和任何單獨(dú)的 VLAN

　　遠(yuǎn)程訪問

　　關(guān)鍵系統(tǒng)（文件服務(wù)器、平臺(tái)、域控制器、網(wǎng)絡(luò)服務(wù)器）

　　服務(wù)器的物理位置

　　您還應(yīng)該記錄在事件響應(yīng)過程中可能有用的所有安全設(shè)備和軟件。

　　圖片

　　證據(jù)和日志可用性

　　任何事件都至少需要一些基本數(shù)據(jù)來(lái)進(jìn)行分類和分析。

　　請(qǐng)記住，證據(jù)對(duì)于證明某事沒有發(fā)生與證明它發(fā)生過同樣重要。

　　證據(jù)和日志的類型

　　在考慮日志記錄的內(nèi)容和方式時(shí)，應(yīng)該參考良好實(shí)踐指南并從任何外部安全提供商那里收集輸入。還應(yīng)該探索許多事件場(chǎng)景，以便了解調(diào)查此類事件可能需要哪些數(shù)據(jù)。

　　典型的日志和證據(jù)類別應(yīng)包括：

　　外網(wǎng)通訊：

　　網(wǎng)絡(luò)流量——元數(shù)據(jù)和數(shù)據(jù)包捕獲（防火墻、IDS/IPS、代理、DHCP、DNS）

　　電子郵件 - 電子郵件日志、完整的電子郵件文件、電子郵件系統(tǒng)的審計(jì)日志

　　身份驗(yàn)證和訪問：

　　賬戶活動(dòng) - 域控制器和活動(dòng)目錄日志

　　遠(yuǎn)程登錄 - 如上所述加上潛在的 RDP、VPN 和類似

　?。ㄆ渌﹥?nèi)部網(wǎng)絡(luò)活動(dòng)：

　　本地系統(tǒng)活動(dòng) - 事件日志、防病毒日志、任何其他主機(jī)安全軟件日志以及系統(tǒng)的完整映像或內(nèi)存轉(zhuǎn)儲(chǔ)

　　面向 Web 的系統(tǒng)：Web 日志和可能與上述類似的主機(jī)日志

　　可能還需要考慮其他系統(tǒng)和專業(yè)軟件：

　　信息存儲(chǔ)（文件管理系統(tǒng)和數(shù)據(jù)庫(kù)）

　　金融系統(tǒng)

　　操作技術(shù)系統(tǒng)——應(yīng)該考慮這些存在哪些日志和證據(jù)

　　云服務(wù)特定日志

　　資產(chǎn)和配置信息

　　除了這些日志和證據(jù)來(lái)源之外，您還應(yīng)該記錄您的 IT 資產(chǎn)和配置。

　　此信息在事件響應(yīng)期間特別有用，因?yàn)樗鼘椭私馐苡绊戀Y產(chǎn)的“位置”和“內(nèi)容”并評(píng)估事件的嚴(yán)重性。

　　日志管理和證據(jù)捕獲

　　提供日志可以如何組織和保留更多的細(xì)節(jié)。但是，我們?cè)谙旅娓攀隽擞涗浐妥C據(jù)捕獲的最低限度和增強(qiáng)方法。

　　最低：

　　記錄可用的日志和數(shù)據(jù)源，以在事件期間節(jié)省寶貴的時(shí)間

　　了解如何訪問和檢索日志以進(jìn)行分析，以及誰(shuí)可以執(zhí)行此操作

　　檢查日志是否易于搜索 - 例如，您能否在過去 2 個(gè)月的防火墻日志中搜索特定 IP？

　　理想情況下，將日志保留至少 3 個(gè)月——如果可能的話更長(zhǎng)——并確保仍然可以提取歸檔日志

　　能夠提供對(duì)物理機(jī)的訪問。 如果使用全盤加密，請(qǐng)確?？梢垣@取解密密鑰并解密數(shù)據(jù)。

　　為調(diào)查加強(qiáng)證據(jù)和記錄：

　　確保所有證據(jù)或日志源同步到相同的時(shí)間服務(wù)器和時(shí)區(qū)（這可以極大地幫助關(guān)聯(lián)事件）

　　如果合適，就捕獲內(nèi)存和磁盤映像的基礎(chǔ)知識(shí)培訓(xùn)員工

　　確保所有日志都有相關(guān)字段，或者相關(guān)日志可以關(guān)聯(lián) - 例如，在某些設(shè)置中可能需要將 DHCP 日志與防火墻日志關(guān)聯(lián)

　　如果需要，能夠以純文本格式檢索日志以供其他方分析

　　改進(jìn)證據(jù)捕獲和日志可用性的其他措施：

　　將日志流式傳輸?shù)街醒胛恢煤拖到y(tǒng)，以實(shí)現(xiàn)快速關(guān)聯(lián)和分析（例如 SIEM 工具或 SOC）。這也可能包括來(lái)自主機(jī)的本地事件日志。

　　保留完整的數(shù)據(jù)包捕獲（更短的時(shí)間）

　　云中的系統(tǒng)或數(shù)據(jù)：

　　默認(rèn)情況下，云/托管服務(wù)提供商可能不會(huì)打開或允許管理員訪問所有日志記錄。

　　與云提供商合作，確?？梢栽谛枰獣r(shí)（直接或通過他們的員工）訪問相關(guān)數(shù)據(jù)。

　　證據(jù)數(shù)據(jù)捕獲

　　當(dāng)事件可能導(dǎo)致法院采取行動(dòng)時(shí)，可能有必要收集證據(jù)數(shù)據(jù)。至少值得提供證據(jù)袋，并為當(dāng)?shù)?IT 人員提供有關(guān)如何捕獲系統(tǒng)和安全存儲(chǔ)系統(tǒng)的一些基本指導(dǎo)。

　　日志測(cè)試

　　檢查和測(cè)試日志可用性和提取至關(guān)重要。

　　由于缺乏日志數(shù)據(jù)，許多調(diào)查受到阻礙。通常，這是組織認(rèn)為他們擁有但尚未驗(yàn)證的數(shù)據(jù)。

　　技術(shù)響應(yīng)

　　技術(shù)響應(yīng)通常包括分類、遏制、分析、補(bǔ)救和恢復(fù)階段。這些階段可能包括非技術(shù)元素，例如媒體處理或法律考慮。請(qǐng)注意，對(duì)于成功的響應(yīng)，團(tuán)隊(duì)技能和經(jīng)驗(yàn)與技術(shù)同樣重要。

　　技術(shù)響應(yīng)的階段如下圖所示。網(wǎng)絡(luò)事件響應(yīng)流程部分提供了顯示其他非技術(shù)元素的更完整圖表。

　　流體過程

　　技術(shù)響應(yīng)過程中的各個(gè)階段循環(huán)和重疊。例如，在修復(fù)階段可能會(huì)進(jìn)行一些不太重要的分析。類似地，可以在整個(gè)初始分析階段采取遏制和緩解措施。

　　您的供應(yīng)商的能力

　　如果依賴供應(yīng)商（例如托管基礎(chǔ)設(shè)施或托管提供商）來(lái)采取技術(shù)行動(dòng)，應(yīng)該考慮他們的能力、可用性以及與他們簽訂的服務(wù)水平協(xié)議 （SLA）。

　　為了取得成功，通常需要在整個(gè) IT 資產(chǎn)中同步操作，以便一次性消除感染。

　　分流

　　分類涉及事件類型和嚴(yán)重性的分類，以便可以優(yōu)先考慮后續(xù)行動(dòng)。它主要由一組明確的事件類型定義和事件的觀察影響指導(dǎo)。分類過程的更詳細(xì)處理可以在開發(fā)網(wǎng)絡(luò)事件過程部分找到。

　　這個(gè)階段在很大程度上依賴于證據(jù)和數(shù)據(jù)的可用性以及對(duì)其進(jìn)行分析的能力。

　　遏制

　　在此階段，采取行動(dòng)防止威脅進(jìn)一步傳播，或以某種方式降低其影響。

　　這項(xiàng)工作應(yīng)盡快開展，并應(yīng)在整個(gè)事件響應(yīng)過程中繼續(xù)進(jìn)行。有關(guān)特定操作的列表，請(qǐng)參閱下面的修復(fù)部分。

　　不要反應(yīng)過度

　　在收容期間，重要的是要考慮為處理事件可能采取的任何行動(dòng)的潛在影響。

　　反應(yīng)過度會(huì)造成比事故本身更大的損害。在有針對(duì)性的攻擊的情況下，攻擊者可能會(huì)做出反應(yīng)或?qū)⒆约焊钊氲芈裨谀木W(wǎng)絡(luò)中。

　　在某些情況下，在采取行動(dòng)之前進(jìn)一步監(jiān)控和分析可能會(huì)更好。您需要根據(jù)具體情況對(duì)此進(jìn)行評(píng)估。

　　了解要采取的正確行動(dòng)的關(guān)鍵是創(chuàng)建自己的特定于組織的指南并練習(xí)不同的場(chǎng)景。這將幫助組織確定適合組織和 IT 設(shè)置的最佳操作，以及建立員工體驗(yàn)。當(dāng)時(shí)機(jī)到來(lái)時(shí)，將因此做好更好的準(zhǔn)備，更有可能采取最合適的行動(dòng)。

　　分析

　　通常，此階段的首要任務(wù)是學(xué)習(xí)足夠的知識(shí)以遏制并最終修復(fù)攻擊。但是，要做到這一點(diǎn)，可能還需要了解啟用攻擊的條件，并詳細(xì)了解攻擊者在訪問您的系統(tǒng)時(shí)的行為。

　　當(dāng)發(fā)現(xiàn)新信息時(shí)，可能需要在此階段和遏制/緩解工作之間循環(huán)。

　　為了在內(nèi)部執(zhí)行一些基本的分類和分析，以下步驟可能有用：

　　與用戶互動(dòng)以了解他們觀察到或做了什么（例如單擊鏈接）

　　分析活動(dòng)目錄、遠(yuǎn)程訪問和電子郵件等日志以了解活動(dòng)。在某些情況下，這可能涉及對(duì)網(wǎng)絡(luò)流量日志（例如防火墻）的基本搜索

　　使用開源威脅情報(bào)（例如博客和開源沙箱）。

　　許多事件需要更復(fù)雜的分析。這將包括以下內(nèi)容：

　　完整主機(jī)（磁盤/移動(dòng)/服務(wù)器）取證

　　網(wǎng)絡(luò)流量和日志分析（通常非常大，因此可能需要專業(yè)工具）

　　高級(jí)惡意軟件分析

　　許多不同事件、日志和數(shù)據(jù)源的相關(guān)性

　　這種類型的分析通常外包給專家。但是，對(duì)于目標(biāo)明確的組織而言，在內(nèi)部培養(yǎng)更高級(jí)的功能可能是有益的，并且可以降低成本。這也意味著進(jìn)行分析的人員已經(jīng)對(duì)網(wǎng)絡(luò)有了深入的了解。

　　在某些情況下，在修復(fù)/根除階段可能會(huì)繼續(xù)分析。例如，當(dāng)了解足夠多的威脅以將其從網(wǎng)絡(luò)中完全移除時(shí)，需要進(jìn)行更多分析以準(zhǔn)確確定攻擊期間發(fā)生的情況，以便法律、監(jiān)管和其他外部利益相關(guān)者了解情況。

　　補(bǔ)救/根除

　　在此階段，威脅已從網(wǎng)絡(luò)中完全消除。

　　遏制和補(bǔ)救雖然不同，但通常需要類似的能力：

　　系統(tǒng)隔離（可以包括關(guān)鍵系統(tǒng)、虛擬機(jī)、網(wǎng)站）

　　重置憑據(jù)和阻止或鎖定遠(yuǎn)程訪問的能力

　　阻止入站/出站流量和電子郵件

　　刪除惡意文件（清理或重建機(jī)器、清理用戶配置文件、使用 AV 掃描、部署腳本）。

　　修復(fù)需要仔細(xì)規(guī)劃。

　　更高級(jí)的功能包括：

　　及時(shí)采取行動(dòng)的能力，包括非工作時(shí)間（如果需要，考慮供應(yīng)商 SLA 和員工可用性/隨叫隨到）

　　同步整個(gè)莊園的一系列行動(dòng)，包括不同的時(shí)區(qū)和國(guó)家（特別是修復(fù)）

　　更復(fù)雜的操作，例如：

　　重置域管理員和服務(wù)賬戶，以及范圍內(nèi)的重置

　　遠(yuǎn)程隔離或隔離機(jī)器或部分網(wǎng)絡(luò)

　　遠(yuǎn)程阻止或刪除惡意文件和/或進(jìn)程

　　阻止或警告特定模式（例如流量模式）

　　監(jiān)控網(wǎng)絡(luò)和主機(jī)活動(dòng)以確認(rèn)操作是否成功。

　　確認(rèn)修復(fù)成功

　　在開始恢復(fù)之前，應(yīng)該始終確認(rèn)修復(fù)已成功。

　　至關(guān)重要的是，員工可以授權(quán)關(guān)鍵決策，例如使客戶數(shù)據(jù)庫(kù)或網(wǎng)站脫機(jī)。

　　實(shí)際執(zhí)行操作所需的人員必須知道他們需要聯(lián)系誰(shuí)、如何聯(lián)系他們以及何時(shí)聯(lián)系。這適用于供應(yīng)商以及內(nèi)部員工。

　　作為網(wǎng)絡(luò)事件和響應(yīng)的一部分，連續(xù)性規(guī)劃應(yīng)考慮中斷和停機(jī)時(shí)間。這應(yīng)該與災(zāi)難恢復(fù)計(jì)劃相關(guān)聯(lián)。

　　在此階段可能還需要處理非技術(shù)性操作。這可能包括媒體處理、客戶支持和監(jiān)管或法律職責(zé)等。有關(guān)更多詳細(xì)信息，請(qǐng)參閱流程頁(yè)面。

　　必須確認(rèn)備份是干凈的

　　只有干凈的數(shù)據(jù)才應(yīng)該被復(fù)制回干凈的系統(tǒng)和網(wǎng)絡(luò)。

　　提示：  僅備份“數(shù)據(jù)”（即工作文檔而不是系統(tǒng)文件）將有助于防止隱藏在備份中的可執(zhí)行文件（因此感染）。

　　恢復(fù)

　　在這一點(diǎn)上，攻擊者已被移除的可信度很高。此時(shí)的主要目標(biāo)是恢復(fù)“一切照舊”。這意味著讓網(wǎng)絡(luò)恢復(fù)到干凈的狀態(tài)，并最終確定監(jiān)管機(jī)構(gòu)、媒體和客戶處理等事項(xiàng)。

　　隨著干凈的系統(tǒng)重新上線，臨時(shí)塊和其他措施可以被刪除， 除非認(rèn)為將它們保持在更永久的基礎(chǔ)上是有價(jià)值的。

　　技術(shù)恢復(fù)的注意事項(xiàng)

　　在最壞的情況下，當(dāng)數(shù)據(jù)或系統(tǒng)被損壞（例如被勒索軟件加密）或丟失時(shí)，備份應(yīng)該可用于恢復(fù)和/或可用的備用設(shè)備和系統(tǒng)。

　　為了幫助恢復(fù)過程，應(yīng)該：

　　對(duì)數(shù)據(jù)進(jìn)行離線/隔離備份，因?yàn)樵诰€備份可能會(huì)受到影響。

　　將備份保留一段時(shí)間，而不是只有一個(gè)滾動(dòng)備份，因?yàn)槿绻诟采w備份之前沒有注意到感染/損壞，這不會(huì)提供太多保護(hù)。

　　考慮在檢測(cè)到某些內(nèi)容之前可能需要多長(zhǎng)時(shí)間，并確保您的備份保留更長(zhǎng)時(shí)間 - 至少一個(gè)月。

　　考慮備份系統(tǒng)配置（例如專業(yè)系統(tǒng)）

　　查看備用設(shè)備的可用性。如果感染未知和/或難以清除，您可能需要更換或完全重建設(shè)備。