Trace Id is missing
跳转至主内容
Microsoft 安全

什么是事件响应?

探索有效事件响应如何帮助组织检测、处理和遏止网络攻击。

事件响应定义

在定义事件响应之前,有必要清楚什么是事件。在 IT 领域有三个术语,它们有时互换使用,但有不同的含义:

  1. 事件是经常发生的一种无害操作,例如在创建文件、删除文件夹或打开电子邮件时发生。事件本身通常不表示出现入侵行为,但是在与其他事件结合时,可能表示存在威胁。 
  2. 警报是事件触发的一则通知,而该事件可能是威胁,也可能不是。
  3. 事故是人类或自动化工具认为可能是真正威胁的一组相关警报。单独来看,每个警报可能看起来不是一个重要威胁,但结合在一起时,它们表示可能出现违反行为。

事件响应是组织认为 IT 系统或数据可能遭到入侵时采取的行动。例如,安全专业人员在发现未经授权的用户、恶意软件或安全措施失败的证据时会采取行动。

响应的目标是尽快消除网络攻击、按照地区法律的要求通知任何客户或政府机构,并学习如何在未来降低出现类似违反行为的风险。

事件响应的工作原理

当安全团队收到来自安全信息和事件管理 (SIEM) 系统的可信警报时,通常就会开始事件响应。

团队成员需要验证事件是否属于事故,然后隔离受影响的系统并移除威胁。如果事故很严重或者需要很长时间才能解决,组织可能需要还原备份数据、应对赎金问题,或者通知客户其数据遭到泄露。

因此,响应中通常也涉及到网络安全团队之外的人员。隐私专家、律师和业务决策者将帮助确定组织应对事故及其后果的方法。

安全事故的类型

攻击者有几种方法来试图访问公司的数据,或者用其他方式入侵公司的系统和业务运营。下面是最常见的几种方式:

  • 钓鱼

    钓鱼是一种社交工程攻击,其中攻击者利用电子邮件、文本或电话来冒充知名品牌或人士。典型的钓鱼攻击会试图说服接收人下载恶意软件或提供自己的密码。这些攻击会利用人们的信任,并利用恐惧等心理技巧来让人们采取行动。其中很多攻击没有目标,它们瞄准数千个人,希望有一个人作出回应。然而,有一种更复杂的攻击叫做鱼叉式网络钓鱼,它通过深入研究来编写意图说服单个个体的消息。
  • 恶意软件

    恶意软件是指设计用来危害计算机系统或泄露数据的任何软件。它有许多不同的形式,包括病毒、勒索软件、间谍软件和特洛伊木马。恶意行动者利用硬件和软件的漏洞来安装恶意软件,或者说服员工使用社交工程技术来安装恶意软件。
  • 勒索软件

    勒索软件攻击中,恶意行动者利用恶意软件加密关键数据和系统,然后威胁如果受害者不支付赎金,就将数据公开或破坏数据。

  • 拒绝服务

    拒绝服务攻击(DDoS 攻击)中,威胁行动者利用流量让网络或系统不堪重负,直到它们速度变慢或崩溃。通常,攻击者攻击的是银行或政府等知名公司,目的是消耗它们的时间和金钱,但各种规模的公司都可能成为这类攻击的受害者。

  • 中间人

    网络犯罪分子用来盗取个人数据的另一种方式是,将自己插入到认为其正在进行私密通信的人员之间的在线对话中间。通过拦截消息并在将这些消息发送给目标收件人之前复制或更改它们,攻击者试图操纵其中一名参与者来向他们提供有价值的数据。

  • 内部威胁

    虽然大部分攻击都是组织外部的人实施的,但安全团队也需要警惕内部威胁。员工或其他有权合法访问受限资源的人可能会在无意中,或在某些情况下故意泄露敏感数据。

什么是事件响应计划?

响应事故需要团队有效且高效地相互配合,力图消除威胁并满足法规要求。在这些压力很大的情况下,很容易变得慌张和犯错,这就是为什么很多公司会制定事件响应计划的原因。该计划定义了角色和责任,并包括适当解决、记录事故和就事故进行沟通所需的步骤。

事件响应计划的重要性

重大攻击不仅仅是破坏组织的运营,还会影响企业在客户和社区当中的信誉,还可能会产生法律后果。所有的一切,包括安全团队响应攻击的速度和高管层就事故沟通的方式,都影响着其总体成本。

那么向客户和政府隐瞒损失,或者对威胁不够重视的公司,可能会违反法规。当参与者没有计划时,这类错误更常见。在情绪激动的时候,人们可能会因为害怕作出草率的决定,最终对组织造成伤害。

如果有深思熟虑的计划,人们就知道他们在攻击的每个阶段应该怎么做,这样就不必匆忙地做出弥补。在恢复后,如果公众有疑问,组织将能够确切展示它们的应对方式,并表明自己认真对待了事故,采取了必要的步骤来防止更坏的结果,让客户安心。

事件响应步骤

处理事件响应的方法不止一种,许多组织依赖于安全标准组织来指导他们选择响应方法。美国系统管理和网络安全审计委员会 (SANS) 是一个私人组织,它提供了一个六步响应框架,其概述如下。许多组织也采用美国国家标准与技术研究院 (NIST) 事故恢复框架

  • 准备 - 在事故发生之前减少漏洞并制定安全策略和程序非常重要。 在准备阶段,组织要开展风险评估来确定它们是否有薄弱环节并设定资产的优先级。在这个阶段,需要编写和完善安全程序、确定角色和责任,并更新系统来降低风险。大多数组织会定期回顾这个阶段,并在汲取教训或技术发生变化时对策略、程序和系统进行改进。
  • 识别威胁 - 在任何给定的一天,安全团队都可能收到数千个提示可疑活动的警报。其中一些是误报,或者可能不会上升到事故水平。一旦确定事故,团队就会深入研究违反行为的性质并记录发现的情况,包括违反行为的来源、攻击类型和攻击者的目标。在这个阶段,团队还需要通知利益干系人并就后续行动进行沟通。
  • 遏制威胁 - 下一项首要任务是遏制威胁。恶意行动者能够访问的时间越长,他们造成的破坏越大。安全团队要行动起来,快速地将遭到攻击的应用程序或系统与网络的其他部分隔离开来。这有助于防止攻击者访问企业的其他部分。
  • 消除威胁 - 采取遏制行动后,团队需要从受影响的系统和资源中踢除攻击者和任何恶意软件。这可能涉及到让系统离线。团队还要继续将进展告知给利益干系人。
  • 恢复和复原 - 从事故中恢复可能需要几个小时的时间。一旦威胁不在,团队就会复原系统、从备份中恢复数据,并监视受影响的方面来确保攻击者不会回来。
  • 反馈和改进 - 解决事故后,团队需要回顾发生的事情,并确定可对流程进行的改进。从这个阶段学习可帮助团队加强组织的防御。

什么是事件响应团队?

事件响应团队也称为计算机安全事件响应团队 (CSIRT)、网络事件响应团队 (CIRT) 或计算机紧急响应团队 (CERT),由组织中负责执行事件响应计划的一组跨职能人员构成。其中不仅包括移除威胁的人员,也包括制定有关事故的业务/法律决策的人员。典型的团队包括以下成员:

  • 事件响应管理员,通常是 IT 主管,负责监督响应的各个阶段并向内部利益干系人提供信息。 

  • 安全分析人员,负责调查事故来试图了解发生的情况。他们还负责记录发现的情况和收集法庭证据。

  • 威胁调查人员,负责在组织外部收集提供其他背景信息的情报。 

  • 来自管理层的人员,例如首席信息安全官或首席信息官,负责提供指导和担任与其他高管的联络人。

  • 人力资源专员,帮助管理内部威胁。

  • 法律总顾问,帮助团队解决责任问题并确保收集法庭证据。

  • 公共关系专员,负责协调与媒体、客户和其他利益干系人的准确外部沟通。

事件响应团队可能是安全运营中心 (SOC) 的一部分,后者会处理超出事件响应之外的安全操作。

事件响应自动化

在大多数组织中,网络和安全解决方案生成的安全警报比事件响应团队实际能够管理的数量要多得多。为了帮助团队专注于合理的威胁,许多企业会实施事件响应自动化。自动化运用 AI 和机器学习来会审警报、识别事故,并执行基于编程脚本的响应 playbook 来根除威胁。

安全业务流程、自动化和响应 (SOAR) 是一类安全工具,企业使用它来自动进行事件响应。这些解决方案提供以下功能:

  • 将跨多个终结点的数据与安全解决方案关联起来,以识别事故供人员进行跟进。

  • 运行预编写脚本的 playbook 来隔离和处理已知事故类型。

  • 生成调查时间线,其中包括可用于分析的行动、决策和法庭证据。

  • 引入相关的外部警报进行人工分析。

如何实施事件响应计划

制定事件响应计划可能看起来令人望而却步,但它能够大幅度降低企业在大型事故中毫无准备的风险。下面是如何操作的说明:

  • 确定资产并设定其优先级

    在事件响应计划中,第一步是知道你正在保护哪些内容。记录组织的关键数据,包括它所在的位置及其对企业的重要程度。

  • 确定潜在风险

    每个组织面临的风险都不同。熟悉组织最大的漏洞,评估攻击可能利用这些漏洞的方式。 

  • 制定响应程序

    在压力重重的事故当中,清晰的程序将有助于确保事故得到快速、有效的处理。首先是定义什么属于事故,然后确定团队应采取哪些行动来检测、隔离和从事故中恢复,这包括有关记录决策和收集证据的程序。

  • 建立事件响应团队

    组建一支跨职能团队来负责了解响应程序并在发生事故时进行动员。确保清晰定义角色,并对可帮助作出沟通和责任相关决策的非技术类角色进行说明。加入管理团队中的一名成员,该成员将在公司的最高层拥护该响应团队及其需求。 

  • 制定沟通计划

    有了沟通计划,就能清楚知道何时以及如何将正在发生的情况告知组织内部和外部的其他人。思考各种场景,来帮助你确定在哪些情况下需要通知高管、整个组织、客户和媒体或其他外部利益干系人。

  • 培训员工

    恶意行动者的目标是组织各级的员工,正因如此,每个人都有必要了解你的响应计划,并知道他们在怀疑自己成为攻击的受害者时该做什么。定期进行员工测试来确认他们可识别钓鱼电子邮件,并让他们在不小心单击错误链接或打开受感染的附件时能够轻松地通知事件响应团队。 

事件响应解决方案

做好准备来应对重大事故是保持组织免受威胁的一个重要部分。建立内部事件响应团队将给你信心,让你知道当你成为恶意行动者的受害者时已做好应对准备。

利用 SIEM 和 SOAR 解决方案(例如 Microsoft Sentinel),它们运用自动化来帮助你识别和自动响应事故。资源较少的组织可在能够应对多个事件响应阶段的服务提供商的帮助下增强其团队。但是,无论你的员工在内部还是外部进行事件响应,都请确保你制定了计划。

详细了解 Microsoft 安全

Microsoft 威胁防护

利用威胁防护中的最新功能识别和响应整个组织中的事故。

Microsoft Sentinel

利用由云和 AI 提供支持的强大 SIEM 解决方案了解复杂的威胁并果断做出响应。

Microsoft Defender XDR

遏止终结点、电子邮件、标识、应用程序和数据中的攻击。

常见问题解答

  • 事件响应是组织在怀疑存在安全漏洞时执行的所有活动。目标是尽快隔离和根除攻击者、遵守数据隐私法规,并在尽量减少对组织的损害的情况下安全地恢复。

  • 由跨职能团队来负责事件响应。IT 通常负责识别、隔离威胁并从威胁中恢复,然而,事件响应不仅仅是找到和清除恶意行动者。根据攻击的类型,某些人可能不得不作出业务决策,例如关于如何处理赎金问题。法律总顾问和公共关系专业人员帮助确保组织遵循数据隐私法,包括适当地向客户和政府发送通知。如果威胁是由员工造成的,人力资源部门会就适当的行动提出建议。

  • CSIRT 是事件响应团队的另一种叫法。它包括一支跨职能团队,由负责管理事件响应各个方面的人员组成,其中事件响应涉及到检测、隔离和消除威胁,进行恢复,内部和外部沟通,文档记录以及法庭分析。

  • 大多数组织使用 SIEMSOAR 解决方案来帮助识别和响应威胁。这些解决方案通常会将来自多个系统的数据聚合在一起,并运用机器学习来帮助识别真正的威胁。它们还可根据预编写脚本的 playbook 自动响应某些类型的威胁。

  • 事件响应生命周期包括 6 个阶段:

    1. 准备发生在确定故事之前,包括定义组织将什么视为事故,还包括防止、检测、消除攻击和从攻击中恢复所必需的所有策略和程序。
    2. 识别威胁是运用人类分析人员和自动化工具来识别哪些事件是需要处理的真正威胁的一个过程。
    3. 遏制威胁是团队采取来隔离威胁并防止威胁感染业务的其他方面的行动。 
    4. 消除威胁包括从组织中移除恶意软件和攻击者的步骤。
    5. 恢复和复原包括重启系统和计算机并还原已丢失的任何数据。 
    6. 反馈和改进是团队执行来从事故中发现教训并将学到的教训应用于策略和程序的过程。 

关注 Microsoft 安全