本節(jié)探討管理網(wǎng)絡事件所需的技術、日志和證據(jù)。我們還會檢查在事件期間可能需要采取的技術操作和分析類型。

　　成功的技術響應需要有經(jīng)驗和技能的人員，以及工具、特定的網(wǎng)絡設置和數(shù)據(jù)訪問權限。

　　內(nèi)容

　　提供重要信息

　　日志管理和證據(jù)捕獲

　　證據(jù)數(shù)據(jù)捕獲

　　技術響應

　　分流

　　遏制

　　分析

　　補救/根除

　　恢復

　　數(shù)據(jù)安全向第三方提供數(shù)據(jù)

　　如果向供應商提供數(shù)據(jù)，歐盟有GDPR 要求必須考慮數(shù)據(jù)控制者的所有權及其能力。我國現(xiàn)已經(jīng)頒布施行《中華人民共和國數(shù)據(jù)安全法》，有關數(shù)據(jù)安全的原則依據(jù)相關法律法規(guī)執(zhí)行。

　　提供重要信息

　　網(wǎng)絡信息

　　清楚了解網(wǎng)絡對于所有響應階段都很重要。它可以將技術調(diào)查的發(fā)現(xiàn)階段從幾天縮短到幾小時。它還可以確保成功采取遏制和補救措施。

　　網(wǎng)絡圖和支持信息應該至少可以顯示：

　　互聯(lián)網(wǎng)網(wǎng)關

　　IP 地址范圍和任何單獨的 VLAN

　　遠程訪問

　　關鍵系統(tǒng)（文件服務器、平臺、域控制器、網(wǎng)絡服務器）

　　服務器的物理位置

　　您還應該記錄在事件響應過程中可能有用的所有安全設備和軟件。

　　圖片

　　證據(jù)和日志可用性

　　任何事件都至少需要一些基本數(shù)據(jù)來進行分類和分析。

　　請記住，證據(jù)對于證明某事沒有發(fā)生與證明它發(fā)生過同樣重要。

　　證據(jù)和日志的類型

　　在考慮日志記錄的內(nèi)容和方式時，應該參考良好實踐指南并從任何外部安全提供商那里收集輸入。還應該探索許多事件場景，以便了解調(diào)查此類事件可能需要哪些數(shù)據(jù)。

　　典型的日志和證據(jù)類別應包括：

　　外網(wǎng)通訊：

　　網(wǎng)絡流量——元數(shù)據(jù)和數(shù)據(jù)包捕獲（防火墻、IDS/IPS、代理、DHCP、DNS）

　　電子郵件 - 電子郵件日志、完整的電子郵件文件、電子郵件系統(tǒng)的審計日志

　　身份驗證和訪問：

　　賬戶活動 - 域控制器和活動目錄日志

　　遠程登錄 - 如上所述加上潛在的 RDP、VPN 和類似

　　（其他）內(nèi)部網(wǎng)絡活動：

　　本地系統(tǒng)活動 - 事件日志、防病毒日志、任何其他主機安全軟件日志以及系統(tǒng)的完整映像或內(nèi)存轉(zhuǎn)儲

　　面向 Web 的系統(tǒng)：Web 日志和可能與上述類似的主機日志

　　可能還需要考慮其他系統(tǒng)和專業(yè)軟件：

　　信息存儲（文件管理系統(tǒng)和數(shù)據(jù)庫）

　　金融系統(tǒng)

　　操作技術系統(tǒng)——應該考慮這些存在哪些日志和證據(jù)

　　云服務特定日志

　　資產(chǎn)和配置信息

　　除了這些日志和證據(jù)來源之外，您還應該記錄您的 IT 資產(chǎn)和配置。

　　此信息在事件響應期間特別有用，因為它將幫助了解受影響資產(chǎn)的“位置”和“內(nèi)容”并評估事件的嚴重性。

　　日志管理和證據(jù)捕獲

　　提供日志可以如何組織和保留更多的細節(jié)。但是，我們在下面概述了記錄和證據(jù)捕獲的最低限度和增強方法。

　　最低：

　　記錄可用的日志和數(shù)據(jù)源，以在事件期間節(jié)省寶貴的時間

　　了解如何訪問和檢索日志以進行分析，以及誰可以執(zhí)行此操作

　　檢查日志是否易于搜索 - 例如，您能否在過去 2 個月的防火墻日志中搜索特定 IP？

　　理想情況下，將日志保留至少 3 個月——如果可能的話更長——并確保仍然可以提取歸檔日志

　　能夠提供對物理機的訪問。 如果使用全盤加密，請確?？梢垣@取解密密鑰并解密數(shù)據(jù)。

　　為調(diào)查加強證據(jù)和記錄：

　　確保所有證據(jù)或日志源同步到相同的時間服務器和時區(qū)（這可以極大地幫助關聯(lián)事件）

　　如果合適，就捕獲內(nèi)存和磁盤映像的基礎知識培訓員工

　　確保所有日志都有相關字段，或者相關日志可以關聯(lián) - 例如，在某些設置中可能需要將 DHCP 日志與防火墻日志關聯(lián)

　　如果需要，能夠以純文本格式檢索日志以供其他方分析

　　改進證據(jù)捕獲和日志可用性的其他措施：

　　將日志流式傳輸?shù)街醒胛恢煤拖到y(tǒng)，以實現(xiàn)快速關聯(lián)和分析（例如 SIEM 工具或 SOC）。這也可能包括來自主機的本地事件日志。

　　保留完整的數(shù)據(jù)包捕獲（更短的時間）

　　云中的系統(tǒng)或數(shù)據(jù)：

　　默認情況下，云/托管服務提供商可能不會打開或允許管理員訪問所有日志記錄。

　　與云提供商合作，確?？梢栽谛枰獣r（直接或通過他們的員工）訪問相關數(shù)據(jù)。

　　證據(jù)數(shù)據(jù)捕獲

　　當事件可能導致法院采取行動時，可能有必要收集證據(jù)數(shù)據(jù)。至少值得提供證據(jù)袋，并為當?shù)?IT 人員提供有關如何捕獲系統(tǒng)和安全存儲系統(tǒng)的一些基本指導。

　　日志測試

　　檢查和測試日志可用性和提取至關重要。

　　由于缺乏日志數(shù)據(jù)，許多調(diào)查受到阻礙。通常，這是組織認為他們擁有但尚未驗證的數(shù)據(jù)。

　　技術響應

　　技術響應通常包括分類、遏制、分析、補救和恢復階段。這些階段可能包括非技術元素，例如媒體處理或法律考慮。請注意，對于成功的響應，團隊技能和經(jīng)驗與技術同樣重要。

　　技術響應的階段如下圖所示。網(wǎng)絡事件響應流程部分提供了顯示其他非技術元素的更完整圖表。

　　流體過程

　　技術響應過程中的各個階段循環(huán)和重疊。例如，在修復階段可能會進行一些不太重要的分析。類似地，可以在整個初始分析階段采取遏制和緩解措施。

　　您的供應商的能力

　　如果依賴供應商（例如托管基礎設施或托管提供商）來采取技術行動，應該考慮他們的能力、可用性以及與他們簽訂的服務水平協(xié)議 （SLA）。

　　為了取得成功，通常需要在整個 IT 資產(chǎn)中同步操作，以便一次性消除感染。

　　分流

　　分類涉及事件類型和嚴重性的分類，以便可以優(yōu)先考慮后續(xù)行動。它主要由一組明確的事件類型定義和事件的觀察影響指導。分類過程的更詳細處理可以在開發(fā)網(wǎng)絡事件過程部分找到。

　　這個階段在很大程度上依賴于證據(jù)和數(shù)據(jù)的可用性以及對其進行分析的能力。

　　遏制

　　在此階段，采取行動防止威脅進一步傳播，或以某種方式降低其影響。

　　這項工作應盡快開展，并應在整個事件響應過程中繼續(xù)進行。有關特定操作的列表，請參閱下面的修復部分。

　　不要反應過度

　　在收容期間，重要的是要考慮為處理事件可能采取的任何行動的潛在影響。

　　反應過度會造成比事故本身更大的損害。在有針對性的攻擊的情況下，攻擊者可能會做出反應或?qū)⒆约焊钊氲芈裨谀木W(wǎng)絡中。

　　在某些情況下，在采取行動之前進一步監(jiān)控和分析可能會更好。您需要根據(jù)具體情況對此進行評估。

　　了解要采取的正確行動的關鍵是創(chuàng)建自己的特定于組織的指南并練習不同的場景。這將幫助組織確定適合組織和 IT 設置的最佳操作，以及建立員工體驗。當時機到來時，將因此做好更好的準備，更有可能采取最合適的行動。

　　分析

　　通常，此階段的首要任務是學習足夠的知識以遏制并最終修復攻擊。但是，要做到這一點，可能還需要了解啟用攻擊的條件，并詳細了解攻擊者在訪問您的系統(tǒng)時的行為。

　　當發(fā)現(xiàn)新信息時，可能需要在此階段和遏制/緩解工作之間循環(huán)。

　　為了在內(nèi)部執(zhí)行一些基本的分類和分析，以下步驟可能有用：

　　與用戶互動以了解他們觀察到或做了什么（例如單擊鏈接）

　　分析活動目錄、遠程訪問和電子郵件等日志以了解活動。在某些情況下，這可能涉及對網(wǎng)絡流量日志（例如防火墻）的基本搜索

　　使用開源威脅情報（例如博客和開源沙箱）。

　　許多事件需要更復雜的分析。這將包括以下內(nèi)容：

　　完整主機（磁盤/移動/服務器）取證

　　網(wǎng)絡流量和日志分析（通常非常大，因此可能需要專業(yè)工具）

　　高級惡意軟件分析

　　許多不同事件、日志和數(shù)據(jù)源的相關性

　　這種類型的分析通常外包給專家。但是，對于目標明確的組織而言，在內(nèi)部培養(yǎng)更高級的功能可能是有益的，并且可以降低成本。這也意味著進行分析的人員已經(jīng)對網(wǎng)絡有了深入的了解。

　　在某些情況下，在修復/根除階段可能會繼續(xù)分析。例如，當了解足夠多的威脅以將其從網(wǎng)絡中完全移除時，需要進行更多分析以準確確定攻擊期間發(fā)生的情況，以便法律、監(jiān)管和其他外部利益相關者了解情況。

　　補救/根除

　　在此階段，威脅已從網(wǎng)絡中完全消除。

　　遏制和補救雖然不同，但通常需要類似的能力：

　　系統(tǒng)隔離（可以包括關鍵系統(tǒng)、虛擬機、網(wǎng)站）

　　重置憑據(jù)和阻止或鎖定遠程訪問的能力

　　阻止入站/出站流量和電子郵件

　　刪除惡意文件（清理或重建機器、清理用戶配置文件、使用 AV 掃描、部署腳本）。

　　修復需要仔細規(guī)劃。

　　更高級的功能包括：

　　及時采取行動的能力，包括非工作時間（如果需要，考慮供應商 SLA 和員工可用性/隨叫隨到）

　　同步整個莊園的一系列行動，包括不同的時區(qū)和國家（特別是修復）

　　更復雜的操作，例如：

　　重置域管理員和服務賬戶，以及范圍內(nèi)的重置

　　遠程隔離或隔離機器或部分網(wǎng)絡

　　遠程阻止或刪除惡意文件和/或進程

　　阻止或警告特定模式（例如流量模式）

　　監(jiān)控網(wǎng)絡和主機活動以確認操作是否成功。

　　確認修復成功

　　在開始恢復之前，應該始終確認修復已成功。

　　至關重要的是，員工可以授權關鍵決策，例如使客戶數(shù)據(jù)庫或網(wǎng)站脫機。

　　實際執(zhí)行操作所需的人員必須知道他們需要聯(lián)系誰、如何聯(lián)系他們以及何時聯(lián)系。這適用于供應商以及內(nèi)部員工。

　　作為網(wǎng)絡事件和響應的一部分，連續(xù)性規(guī)劃應考慮中斷和停機時間。這應該與災難恢復計劃相關聯(lián)。

　　在此階段可能還需要處理非技術性操作。這可能包括媒體處理、客戶支持和監(jiān)管或法律職責等。有關更多詳細信息，請參閱流程頁面。

　　必須確認備份是干凈的

　　只有干凈的數(shù)據(jù)才應該被復制回干凈的系統(tǒng)和網(wǎng)絡。

　　提示：  僅備份“數(shù)據(jù)”（即工作文檔而不是系統(tǒng)文件）將有助于防止隱藏在備份中的可執(zhí)行文件（因此感染）。

　　恢復

　　在這一點上，攻擊者已被移除的可信度很高。此時的主要目標是恢復“一切照舊”。這意味著讓網(wǎng)絡恢復到干凈的狀態(tài)，并最終確定監(jiān)管機構、媒體和客戶處理等事項。

　　隨著干凈的系統(tǒng)重新上線，臨時塊和其他措施可以被刪除， 除非認為將它們保持在更永久的基礎上是有價值的。

　　技術恢復的注意事項

　　在最壞的情況下，當數(shù)據(jù)或系統(tǒng)被損壞（例如被勒索軟件加密）或丟失時，備份應該可用于恢復和/或可用的備用設備和系統(tǒng)。

　　為了幫助恢復過程，應該：

　　對數(shù)據(jù)進行離線/隔離備份，因為在線備份可能會受到影響。

　　將備份保留一段時間，而不是只有一個滾動備份，因為如果在覆蓋備份之前沒有注意到感染/損壞，這不會提供太多保護。

　　考慮在檢測到某些內(nèi)容之前可能需要多長時間，并確保您的備份保留更長時間 - 至少一個月。

　　考慮備份系統(tǒng)配置（例如專業(yè)系統(tǒng)）

　　查看備用設備的可用性。如果感染未知和/或難以清除，您可能需要更換或完全重建設備。