在网络安全事件之前和期间所做的事情可能会影响您的响应是否成功。
在跨行业、企业平台和威胁媒介的领先网络应急响应中,无论组织规模大小,都会出现一些共同的问题。比如:
1. 事件响应计划作为事件前的讨论点很重要,但在事件期间很少咨询
事件响应计划是在事件发生前推动组织战略的重要工具。桌面练习,其中讨论了假设的违规行为,有助于帮助组织摆脱应对网络灾难的新奇事物。但在真正的灾难性网络事件中,从未见有人咨询过事件响应计划。有时这仅仅是因为事件响应计划 - 就像网络的其余部分一样 - 作为赎金的一部分被加密和锁定。然而,这通常只是紧急情况的性质:没有时间审查计划或召集所谓的响应团队。
建议是确保——不管有什么事件响应计划——你的组织知道在事件中它会首先联系谁。事件响应计划不能反映组织的理念,而是现实。你有一个亲自动手的 CEO 吗?在这种情况下,事件响应计划需要反映他们将成为事件响应团队的一部分。当她的组织面临极端威胁时,一位亲力亲为的 CEO 是不会退缩的。
最重要的是,团队知道在事件期间指挥链发生了变化,并且知道遵循新的命令。律师们在房间里指挥和引导组织通过模糊的预责任空间。如果内部或外部法律顾问以外的任何人指挥事件响应计划,则整个调查可能会暴露。这是因为律师-客户特权是事件中唯一真正的保密手段。通常,资深的技术顾问需要领导调查,因为让 Luddite 律师尝试即时了解 SIEM 或 VM 等首字母缩略词的含义,不利于快速响应。
2. 日志永远不会出现
网络事件中说的第一句话就是问是否有日志。这不是无谓的好奇。这是因为我通过艰难的方式了解到,除非日志保存是事件最初几分钟的主要重点,否则这些日志可能会丢失。
不仅如此,在预算中削减日志聚合器的决定通常会导致事件发生时的大麻烦。为什么?因为作为一名律师,我依靠技术取证专家来利用日志来确定威胁行为者可能去过的地方以及该威胁行为者可能在何处获取了个人身份信息以在暗网上出售或用于自己的恶意目的。
最新的网络地图和 IT 资产清单是勒索软件响应过程中最关键的信息之一。在事件发生过程中,您的组织以取证团队的形式邀请本质上是陌生人,有时甚至是执法部门。这些专家正试图对您的事件做出快速响应,以“清除”犯罪现场,以确保修复并重新上线是安全的。如果您在多个地点拥有复杂的 IT 环境,立即了解土地的布局至关重要。了解威胁可能存在的位置以及需要恢复的内容归结为了解在任何给定时间起作用的资产。
在事件发生前的平静中,专注于最重要的事情:(1) 开发最新的地图和清单;(2) 开发可以捕获环境中横向移动的日志记录策略;(3) 更少担心事件响应计划,更多地关注拥有一个了解指挥链的团队。
原文来源:informatech,沃通WoTrus原创翻译整理,转载请注明来源
