如何有效開(kāi)展網(wǎng)絡(luò)安全事件調(diào)查工作

隨著企業(yè)的數(shù)字化發(fā)展,會(huì)遇到各種類(lèi)型的網(wǎng)絡(luò)安全事件,并不是對(duì)所有的事件都需要開(kāi)展全面調(diào)查,例如,對(duì)今天的DDoS攻擊通常不需要深入調(diào)查,而是只要做好攻擊發(fā)生時(shí)的應(yīng)急響應(yīng)準(zhǔn)備即可。

1.png

本文來(lái)自微信公眾號(hào)“安全牛”。

網(wǎng)絡(luò)安全事件調(diào)查是現(xiàn)代企業(yè)網(wǎng)絡(luò)安全體系建設(shè)的關(guān)鍵組成部分。為了防止網(wǎng)絡(luò)攻擊,僅僅關(guān)注于安全工具的應(yīng)用效果遠(yuǎn)遠(yuǎn)不夠,因?yàn)榘踩录恢倍荚诎l(fā)生。安全團(tuán)隊(duì)只有充分了解攻擊者的行蹤和攻擊路徑,才能更好地防范更多攻擊時(shí)間的發(fā)生。

做好網(wǎng)絡(luò)安全事件調(diào)查看上去并不復(fù)雜,只要收集有關(guān)企業(yè)IT系統(tǒng)的運(yùn)行數(shù)據(jù),然后分析其中的異常情況即可。然而,這項(xiàng)看似簡(jiǎn)單的工作背后隱藏著諸多不確定因素。在網(wǎng)絡(luò)安全事件調(diào)查中,需要采取合法合規(guī)的調(diào)查手段,使用合適的技術(shù)和工具,此外還需要配置一些非專(zhuān)業(yè)性技能,例如分析能力、溝通能力和團(tuán)隊(duì)協(xié)作能力等,才能保證調(diào)查結(jié)果的有效性和合規(guī)性。

網(wǎng)絡(luò)安全事件調(diào)查的意義

隨著企業(yè)的數(shù)字化發(fā)展,會(huì)遇到各種類(lèi)型的網(wǎng)絡(luò)安全事件,并不是對(duì)所有的事件都需要開(kāi)展全面調(diào)查,例如,對(duì)今天的DDoS攻擊通常不需要深入調(diào)查,而是只要做好攻擊發(fā)生時(shí)的應(yīng)急響應(yīng)準(zhǔn)備即可。網(wǎng)絡(luò)安全事件調(diào)查的主要應(yīng)用場(chǎng)景是網(wǎng)絡(luò)攻防對(duì)抗,在高強(qiáng)度對(duì)抗中所產(chǎn)生的安全事件才需要企業(yè)安全調(diào)查人員去深入調(diào)查分析,其調(diào)查難度也是傳統(tǒng)網(wǎng)絡(luò)病毒攻擊事件難以相提并論的。

安全事件調(diào)查與傳統(tǒng)的威脅檢測(cè)都需要依賴(lài)強(qiáng)大的威脅情報(bào)庫(kù)和發(fā)現(xiàn)規(guī)則,但最大的區(qū)別在于,威脅檢測(cè)是為了及時(shí)發(fā)現(xiàn)異常情況并發(fā)出警報(bào),而事件調(diào)查則是對(duì)所發(fā)現(xiàn)的異常行為進(jìn)行全面的調(diào)查分析,并進(jìn)行相應(yīng)的抑制和修復(fù)。

以勒索軟件攻擊事件調(diào)查為例,這已經(jīng)成為企業(yè)組織普遍面臨的安全風(fēng)險(xiǎn)。然而,很多企業(yè)在開(kāi)展勒索攻擊事件調(diào)查時(shí),會(huì)將工作的重點(diǎn)放在了如何解密和恢復(fù)數(shù)據(jù),這是非常錯(cuò)誤的。企業(yè)應(yīng)該充分了解系統(tǒng)是如何被勒索軟件入侵,全面調(diào)查包括網(wǎng)絡(luò)釣魚(yú)、軟件漏洞、弱密碼和惡意內(nèi)部人員等各種威脅產(chǎn)生的路徑,這樣才可能徹底清除勒索攻擊者對(duì)自身業(yè)務(wù)系統(tǒng)的非法控制,并從根本上防止此類(lèi)事件的再次發(fā)生。

許多客戶(hù)不太關(guān)心攻擊的具體細(xì)節(jié),比如來(lái)源或幕后的黑客組織。他們主要關(guān)注恢復(fù)業(yè)務(wù)流程,并確保此類(lèi)惡意行為不再發(fā)生。與此同時(shí),調(diào)查人員可以對(duì)惡意軟件代碼進(jìn)行逆向工程,以收集能表明黑客來(lái)源的寶貴數(shù)據(jù)。在典型的事件調(diào)查場(chǎng)景中,可以用數(shù)據(jù)收集和分析周期來(lái)表示調(diào)查工作的進(jìn)展情況,每次新的迭代后,企業(yè)就會(huì)對(duì)下一步的網(wǎng)絡(luò)安全建設(shè)有更準(zhǔn)確的理解。

為事件調(diào)查做好準(zhǔn)備

網(wǎng)絡(luò)安全事件調(diào)查通常分為收集線索、數(shù)據(jù)分析和報(bào)告總結(jié)等階段,其中,收集線索是非常關(guān)鍵的準(zhǔn)備工作。只有獲取到足夠的攻擊證據(jù),才能更準(zhǔn)確地分析攻擊者的行蹤和攻擊路徑。

當(dāng)嚴(yán)重的網(wǎng)絡(luò)安全事件發(fā)生后,調(diào)查人員應(yīng)該首先根據(jù)資產(chǎn)的損害狀況和攻擊手法特點(diǎn),設(shè)置好處置任務(wù)的優(yōu)先級(jí),這樣才能在需要時(shí)迅速做出決策,并在必要時(shí)通過(guò)使用排除法來(lái)發(fā)現(xiàn)被攻擊的真相。

當(dāng)安全事件調(diào)查流程啟動(dòng)后,安全分析師要盡可能全面了解事件相關(guān)信息,這需要他們?cè)谌粘9ぷ髦谐浞质煜ぷ陨淼慕巧吐氊?zé)??焖僮兓腎T環(huán)境經(jīng)常需要分析師實(shí)時(shí)同步更新自己的技能組合,比如了解云計(jì)算、大數(shù)據(jù)等。在安全事件調(diào)查時(shí),分析師應(yīng)能夠迅速識(shí)別其負(fù)責(zé)的所有資產(chǎn)運(yùn)行狀態(tài),并積極參與到漏洞管理和掃描發(fā)現(xiàn)過(guò)程。

所收集的安全事件信息數(shù)量和質(zhì)量將決定事件調(diào)查的結(jié)果,幫助分析師準(zhǔn)確了解他們面臨威脅的程度與可能后果。需要指出的是,由于很多攻擊團(tuán)伙開(kāi)始使用“攻擊即服務(wù)”的Saas化商業(yè)模式,要準(zhǔn)確了解這些攻擊技術(shù)并不困難。但是在一些比較敏感的場(chǎng)景(比如能源等關(guān)鍵基礎(chǔ)設(shè)施部門(mén)受到攻擊)中,安全分析師需要留意是否存在更多的非常規(guī)性攻擊方法。

在許多情況下,分析師可能會(huì)面臨信息不全、時(shí)間不足以及缺少權(quán)限等不利因素,并讓調(diào)查工作陷入混亂、恐慌的狀態(tài)中。在這種情況下,訓(xùn)練有素的事件調(diào)查團(tuán)隊(duì)必須清楚地表述其專(zhuān)業(yè)知識(shí),獲取業(yè)務(wù)部門(mén)的理解和支持,并推動(dòng)事件調(diào)查工作開(kāi)展下去。

調(diào)查人員的責(zé)任

網(wǎng)絡(luò)安全事件調(diào)查人員可以接觸到大量的事件信息,如何做好保密是極其敏感的問(wèn)題,調(diào)查人員應(yīng)該充分意識(shí)到這一點(diǎn)。他們需要明白,如果企業(yè)遭遇了數(shù)據(jù)泄露,可能會(huì)導(dǎo)致業(yè)務(wù)崩潰和法律后果。因此,調(diào)查人員絕不應(yīng)該有意地造成這樣的危害。

對(duì)于參與事件調(diào)查的人員,只應(yīng)該關(guān)注并收集完成自己所負(fù)責(zé)調(diào)查任務(wù)所必需的數(shù)據(jù),通常包括已登錄的用戶(hù)賬戶(hù)、已啟動(dòng)的程序以及程序啟動(dòng)時(shí)間。除非特別需要,調(diào)查人員不應(yīng)該收集涉及客戶(hù)擔(dān)心被泄露的敏感信息。值得一提的是,調(diào)查期間收集的所有信息都按照嚴(yán)格的安全規(guī)程妥善存儲(chǔ)。在一段指定的時(shí)間后,數(shù)據(jù)被刪除。

還有人擔(dān)心調(diào)查人員可能會(huì)與別人分享事件信息。事實(shí)上,調(diào)查團(tuán)隊(duì)的所有人員都沒(méi)有義務(wù)向第三方(包括警方)提供有關(guān)被調(diào)查事件的信息,因?yàn)槭欠駡?bào)告這類(lèi)事件需要由受害企業(yè)的管理者和實(shí)際受害者來(lái)決定。

此外,調(diào)查人員的工作和行動(dòng)不是為了破壞和處罰信息安全部門(mén)。在事件發(fā)生后解雇可能存在失職行為的安全人員并不一定總是合適的。雖然有時(shí)會(huì)發(fā)生這種情況,但沒(méi)有一個(gè)安全系統(tǒng)是完美無(wú)缺的,難免會(huì)有漏洞。對(duì)安全事件進(jìn)行問(wèn)責(zé)與安全事件調(diào)查并沒(méi)有關(guān)系,這是企業(yè)的管理層需要做出的決定。

在調(diào)查人員給出的事件調(diào)查報(bào)告中,應(yīng)該包含事件過(guò)程的完整信息。如果事件因未解決的、原有的和眾所周知的漏洞而發(fā)生,必須將所發(fā)現(xiàn)的漏洞情況完整附在報(bào)告中。調(diào)查人員不得隱瞞此類(lèi)信息。

法律方面的挑戰(zhàn)

由于網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家安全的一部分,因此很多網(wǎng)絡(luò)攻擊事件,并不能僅依靠企業(yè)自身就可以有效解決。在很多時(shí)候,企業(yè)需要選擇與司法部門(mén)合作,甚至把事件的最后處置交由法院來(lái)判決。

由于司法信息是公開(kāi)的,這么做可能會(huì)使安全事件公之于眾,這可能給企業(yè)帶來(lái)商譽(yù)方面風(fēng)險(xiǎn)。因此,一些企業(yè)由于對(duì)商譽(yù)的擔(dān)心而故意隱瞞了對(duì)網(wǎng)絡(luò)安全事件的調(diào)查,從而延誤了事情的處理,結(jié)果帶來(lái)了更大的安全危害。

因此,如果需要通過(guò)司法流程來(lái)解決某些安全事件,企業(yè)管理層應(yīng)該盡快做出決定,這需要進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估。在這種情況下,企業(yè)最好不要擅自對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行任何改變,而是立即向律師事務(wù)所尋求建議。專(zhuān)業(yè)律師會(huì)提供咨詢(xún)服務(wù),并建議適當(dāng)?shù)男袆?dòng)方案。

網(wǎng)絡(luò)安全事件調(diào)查中的另一個(gè)法律風(fēng)險(xiǎn)挑戰(zhàn)是如何確保對(duì)復(fù)制、刪除或覆蓋數(shù)據(jù)的過(guò)程進(jìn)行適當(dāng)?shù)目刂坪陀涗?。如果證據(jù)收集未正確進(jìn)行或違反了法律要求,法院可能在訴訟中質(zhì)疑數(shù)據(jù)的有效性,并拒絕使用該數(shù)據(jù)。這可能會(huì)對(duì)案件的最終處理結(jié)果產(chǎn)生重大影響。

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀點(diǎn))

更多
暫無(wú)評(píng)論