人非圣賢,孰能無過?但在安全行業(yè),小過失往往造成大損失。從缺乏計劃到緊急關(guān)閉事件,這些常見錯誤都會嚴(yán)重破壞應(yīng)急響應(yīng)(IR)工作的有效性,進(jìn)而損害企業(yè)利益。
運行良好的網(wǎng)絡(luò)事件響應(yīng)團隊(CIRT)可以通過阻止早期入侵轉(zhuǎn)變成全面的數(shù)據(jù)泄露事件,來證明網(wǎng)絡(luò)安全計劃的最終保障能力。至少,CIRT可以在事情沒有演變得不可收拾之前,將數(shù)據(jù)泄露的影響降至最低。
盡管當(dāng)前許多網(wǎng)絡(luò)安全組織都部署了早期的網(wǎng)絡(luò)事件響應(yīng)團隊,但是真正實現(xiàn)良好運行的卻并不多。
根據(jù)具備災(zāi)后恢復(fù)工作經(jīng)驗的安全專家表示,由于應(yīng)急響應(yīng)(IR)故障,許多事件變得更加糟糕。而且這些故障都是企業(yè)反復(fù)觸及的一些常見錯誤集。為了幫助企業(yè)組織更好地實現(xiàn)應(yīng)急響應(yīng),安全專家總結(jié)了top 10失誤點,以及關(guān)于如何規(guī)避這些錯誤的相關(guān)建議。
1. 沒有合適的應(yīng)急響應(yīng)計劃
毫無疑問,排在第一的應(yīng)急響應(yīng)錯誤就是未能制定適當(dāng)?shù)挠媱潱撚媱澘梢栽诎l(fā)生安全事件時有效地指導(dǎo)安全團隊行事。
Digital Guardian網(wǎng)絡(luò)安全副總裁Tim Bandos表示:
“時至今日,我仍然看到很多企業(yè)并未制定適當(dāng)?shù)膽?yīng)急響應(yīng)計劃來應(yīng)對安全事件。通常來說,這一過程需要雇傭第三方應(yīng)急響應(yīng)團隊參與進(jìn)來,部署代理、收集證據(jù)、執(zhí)行分析等等。這可能會花費很多時間,但是結(jié)果一定是值得的。因為要知道,惡意行為者在企業(yè)環(huán)境中潛伏的越久,他們用于竊取企業(yè)信息的時間也就越多。所以,部署適當(dāng)?shù)挠媱潱皶r發(fā)現(xiàn)和阻止攻擊,對于企業(yè)而言是具有高投資回報率的事情。”
對于這種情況,安全顧問和第三方響應(yīng)公司早就察覺到了??上?,仍然有很多公司沒有準(zhǔn)備響應(yīng)計劃,也沒有遏制和響應(yīng)策略,甚至也沒有適當(dāng)?shù)纳売媱潯?/p>
Kudelski Security首席執(zhí)行官Andrew Howard表示:
“我們的應(yīng)急響應(yīng)小組還發(fā)現(xiàn),客戶對于應(yīng)對違規(guī)行為時所面臨的威脅普遍缺乏了解。造成這種缺乏了解和準(zhǔn)備的因素有很多:其中一個就是,許多網(wǎng)絡(luò)事件響應(yīng)程序在創(chuàng)建之初都沒有考慮任何策略,取而代之的是,創(chuàng)建一個團隊并提供一組威脅檢測或威脅情報工具,然后要求他們進(jìn)行操作。不幸的是,如果沒有驅(qū)動整個團隊的理念和計劃,這只會造成一種虛假的安全感。”
2. 無法測試計劃可行性
Beyond Security首席執(zhí)行官Aviram Jenik表示,如果最大的錯誤是根本不具備應(yīng)急響應(yīng)計劃的話,那么緊隨其后的就是永遠(yuǎn)不會實際地測試計劃的可行性和有效性。
Jenik表示:
“記住,每個企業(yè)都可以制定一份計劃,但是計劃有效性如何,也許只有到直面挑戰(zhàn)的那一天才知曉。為了最大限度地降低攻擊影響,您需要應(yīng)急響應(yīng)小組介入,來檢測該計劃的可行性和有效性。”
進(jìn)行測試的方法有很多種,應(yīng)該從程序級別,桌面練習(xí)以及技術(shù)級別(如定期的紅隊練習(xí))進(jìn)行驗證。此外,安全專家還建議可以使用更高級的預(yù)檢和模擬對所有部件進(jìn)行進(jìn)一步測試。
Optiv公司威脅管理技術(shù)總監(jiān)Curtis Fechner稱:
“涵蓋單個遵從性驅(qū)動方案的基本桌面練習(xí),可能無法提供足夠的維度來驗證該計劃的基本原理是否合理,并切實地支持企業(yè)級別的應(yīng)急響應(yīng)(IR)可執(zhí)行計劃。認(rèn)真對待這項測試以推動持續(xù)改進(jìn)至關(guān)重要。”
3. 計劃中暗藏過時細(xì)節(jié)
定期進(jìn)行安全測試可以幫助減少另一項常見錯誤:應(yīng)急響應(yīng)計劃成為過時品。
Pen Test Partners公司取證顧問Andrew Bassi表示:
“應(yīng)急響應(yīng)程序的生命歷程大致是這樣的:編寫完成、擱置、蒙塵、攻擊來襲再匆忙將其挖掘出來。屆時,最初設(shè)定的聯(lián)系人可能早已離職或者更換他人,而且過程也可能不適用當(dāng)前環(huán)境中所部署的硬件/軟件。”
Bassi建議,雖然不一定每次公司更換平臺時都需要編寫新計劃,但確實需要定期對其進(jìn)行審查以獲取更新信息。
除此之外,還可以在某些部分(如升級計劃)編寫得足夠通用一些,這樣就不會過時得那么快。比如,工作流應(yīng)該按部門、職務(wù)或角色指定負(fù)責(zé)的人員或小組,而不是按個人姓名來,以此避免人員流動帶來的問題??傊?,所有的人機交互都應(yīng)該是通用的,但要精確地確定所有權(quán)——例如,指定數(shù)據(jù)隱私官或云安全架構(gòu)師,而不是John或Sandy。
4. 缺少自動化的最佳選擇
自動化可以大大提高應(yīng)急響應(yīng)程序的效率和效果。其背后的原理是,通過適當(dāng)?shù)淖詣踊?,以削減低價值的手動勞作,同時還可以將更適合人工決策的任務(wù)交給最精明的分析人員處理,實現(xiàn)了人員效益最大化。
RedSeal的首席技術(shù)官Mike Lloyd表示:
“有些組織會因為自動化程度不足,或者應(yīng)急響應(yīng)過程遇到困難而最終迷失其中,空留一個響亮的口號。還有一部分組織則適得其反,過度地利用了自動化,完全沒有意識到機器決策仍然存在不足,致其成為攻擊者的攻擊入口。”
5. 在弄不清狀況的情況下工作
為可靠的應(yīng)急響應(yīng)實踐奠定的一些最佳基礎(chǔ),也是實現(xiàn)良好的IT管理和安全管理的解決方案。包括進(jìn)行一些資產(chǎn)發(fā)現(xiàn)和分類等“發(fā)現(xiàn)自我”的工作。
要知道,未能解決資產(chǎn)清單或數(shù)據(jù)分類及管理等方面的問題,將會導(dǎo)致諸多錯誤。不知道自己在保護什么,或者企業(yè)最寶貴的東西是什么,在哪里,就很難制定合理的投資者關(guān)系策略。
6. 讓威脅行為持續(xù)太久
警報優(yōu)先級和分類是管理分析工作負(fù)載的重要組成部分。但是,簡單地根據(jù)關(guān)鍵高點對操作進(jìn)行優(yōu)先級排序,而忽略低級和不明顯的威脅行為,可能會使導(dǎo)致某些異?;顒颖缓雎?,直至發(fā)生入侵事件才悔之晚矣。
這種僅遵循優(yōu)先級處理威脅的方法所存在的問題在于,一些低級的威脅可能會在企業(yè)網(wǎng)絡(luò)中潛伏很久很深,而無法被視為優(yōu)先事項進(jìn)行處理。而如果組織可以在流程的較早階段發(fā)現(xiàn)并組織該威脅,實際上可以更好地減輕企業(yè)組織面臨的風(fēng)險。
針對該問題,可以通過更平衡的應(yīng)急響應(yīng)工具組合以及諸如威脅捕獲之類的積極實踐來解決。
7. 結(jié)案太快
采取最快的速度結(jié)案,并且不去深究引發(fā)問題的根本原因以及惡意活動的相關(guān)跡象等問題,可能會導(dǎo)致問題的進(jìn)一步擴散和惡化,而應(yīng)急響應(yīng)團隊很可能只是在跟表面現(xiàn)象做斗爭,而并未將問題扼殺在萌芽狀態(tài)。
Sophos托管威脅響應(yīng)高級總監(jiān)JJ Thompson表示:
“通過避開需要費時挖掘的關(guān)鍵問題,來盡快結(jié)案或贏得勝利,通常會導(dǎo)致更廣泛的傳播問題。通常情況下,這些惡意軟件或明顯的入口點都是假定的,但由于技術(shù)限制而未經(jīng)驗證,這可能會導(dǎo)致應(yīng)急響應(yīng)團隊、法務(wù)人員和行政人員之間產(chǎn)生誤會,從而導(dǎo)致錯誤的違規(guī)報告。”
8. 缺乏合作和溝通
無論響應(yīng)者是在安全運營中心(SOC)還是遠(yuǎn)程辦公,成功的應(yīng)急響應(yīng)計劃都能使團隊成員緊密協(xié)作,并且更高效地合作處理案件。由于新冠疫情持續(xù)蔓延,應(yīng)急響應(yīng)團隊現(xiàn)在必須采用新的遠(yuǎn)程工作策略,這也使得他們投入了更多精力在通信方法和渠道上。通過小組聊天、共享的跟蹤表和團隊電話會議,團隊成員間能夠輕松地共享數(shù)據(jù)以及相關(guān)的事件信息,這些都比以往任何時候都更為重要。
IBM X-Force網(wǎng)絡(luò)應(yīng)急響應(yīng)團隊的首席技術(shù)官Chris Scott表示:
“由于此次全球危機,辦公室內(nèi)的溝通對話減少了。而一旦溝通和協(xié)作中斷,圍繞安全事件的背景信息就會丟失。只有擁有正確的背景信息,人們才有可能做出最佳決策。”
9. 在不設(shè)置腳本的情況下執(zhí)行
僅僅制定總體性和戰(zhàn)略性的應(yīng)急響應(yīng)計劃是遠(yuǎn)遠(yuǎn)不夠的。應(yīng)急響應(yīng)團隊還需要針對常見情況制定戰(zhàn)術(shù)計劃,以此來節(jié)省響應(yīng)時間和簡化操作流程。
這就是為什么有些安全專家指出,最大的錯誤之一就是在沒有腳本和設(shè)定程序的情況下處理事件。
By Light公司首席技術(shù)官Ken Jenkins表示:
“企業(yè)必須設(shè)定團隊將要響應(yīng)的特定類型的事件,并制定逐步的程序,而這些程序必須確??梢栽诋?dāng)下最激烈的攻擊事件中運行。關(guān)于這些程序越詳細(xì)越好。”
10. 缺乏時間觀念的事件通知
當(dāng)涉及內(nèi)部和外部違規(guī)通知時,時間就是一切。而企業(yè)組織犯下的最大錯誤之一就是過早或過遲地傳達(dá)違規(guī)通知。
過早溝通會導(dǎo)致無法回答諸多細(xì)節(jié)問題,或無法為組織和第三方的潛在風(fēng)險和影響提供更多見解。而過晚溝通又會帶來無法及時發(fā)現(xiàn)和處理事件的感覺。