没有圣人,谁能无所作为?但在安防行业,小失误往往造成大损失。从缺乏计划到紧急停工,这些常见错误可能会严重破坏应急响应(IR)工作的有效性,进而影响业务。一个运行良好的网络事件响应团队(CIRT)可以通过防止早期入侵演变成全面的数据泄露来证明网络安全计划的最终保证。至少,CIRT可以在事情失控之前将数据泄露的影响降至最低。虽然许多网络安全组织目前部署了早期网络事件响应团队,但实际上运作良好的并不多。据具有灾难恢复工作经验的安全专家称,许多事件因紧急响应(IR)失败而变得更糟。这些失败是企业反复遇到的一些常见错误。为了帮助组织更好地实施应急响应,安全专家总结了十大错误以及如何避免这些错误的相关建议。1.没有适当的应急响应计划毫无疑问,在发生安全事件时,应急响应的头号错误是没有制定适当的计划来有效地指导安全团队。DigitalGuardian网络安全副总裁TimBandos表示:“今天,我仍然看到许多企业没有适当的应急响应计划来处理安全事件。通常,这个过程需要第三方应急响应的参与、部署代理、收集证据、执行分析等。这可能会花费很多时间,但结果绝对是值得的。要知道,恶意行为者在企业环境中停留的时间越长,他们窃取企业的时间就越多信息。越来越多。因此,部署适当的计划以及时检测和预防攻击对企业来说是一项高投资回报率的事情。”对于这种情况,安全顾问和第三方响应公司早就意识到了这种情况。不幸的是,仍有许多公司没有准备好的响应计划、遏制和响应策略,甚至没有适当的升级计划。KudelskiSecurity首席执行官安德鲁霍华德表示:“我们的事件响应团队还发现,客户在应对违规行为时普遍缺乏对他们面临的威胁的了解。造成这种缺乏理解和准备的因素有很多:一个是很多网络没有一个事件响应程序是在考虑任何策略的情况下创建的。相反,创建一个团队并提供一套威胁检测或威胁情报工具,然后要求他们进行操作。不幸的是,没有驱动整个过程的理念和计划team,这只会造成一种虚假的安全感。2.未能测试计划的可行性如果最大的错误是根本没有应急响应计划,紧随其后的是从来没有真正测试过该计划的可行性和有效性,BeyondSecurity首席执行官AviramJenik说:“请记住,每个企业都可以有一个计划,但计划的有效性可能要等到直面挑战的那一天才能知道,”Jenik说。为了最大限度地减少攻击的影响,您需要紧急响应团队的参与来测试该计划的可行性和有效性。“测试的方式有很多种,既要在程序层面验证,通过桌面演练,也要在技术层面(比如定期的红队演练)进行验证。此外,安全专家建议,所有部分都可以进行验证。”Optiv威胁管理技术总监CurtisFechner表示:“涵盖单一合规驱动场景的基本桌面练习可能无法提供足够的维度来验证该计划的合理性切实支持企业级事件响应(IR)可执行计划。认真对待此测试以推动持续改进至关重要。3.计划中隐藏的过时细节定期安全测试有助于减少另一个常见错误:应急响应计划变得过时。根据PenTestPartners的取证顾问安德鲁·巴西(AndrewBassi)的说法,“应急响应程序的生命周期大致是这样的:它被编写、搁置、尘土飞扬、受到攻击,然后匆忙地被挖掘出来。届时,原联系人可能已经离职或更换,流程可能不适用于环境中当前部署的硬件/软件。Bassi建议,虽然不一定需要在公司每次更改平台时都编写新计划,但确实需要定期审查更新。除此之外,它还可以写在某些部分,例如升级计划。足够通用,因此它不会很快过时。例如,工作流应按部门、职位或角色分配负责人或组,而不是按个人姓名分配,以避免人员流动问题。简而言之,所有人机交互都应该是通用的,但具有精确的所有权——例如,指定数据隐私官或云安全架构师,而不是约翰或桑迪。4.缺乏自动化的最佳选择自动化可以大大提高应急响应的效率和响应过程的有效性。这背后的基本原理是,通过适当的自动化水平,可以淘汰低价值的体力劳动,而更适合人类决策的任务可以由最精明的分析师来处理,实现人们利益的最大化。RedSeal的CTOMikeLloyd表示:“一些组织最终会因为自动化程度不够或应急响应过程中的困难而迷失在这个过程中,留下响亮的口号。其他组织会适得其反,过度使用自动化。完全没有意识到机器决定——making仍然不够,使其成为攻击者的切入点。”5.在情况的阴影下工作为可靠的应急响应实践奠定了一些最好的基础,并实现了良好的IT管理和安全管理解决方案。这包括做一些“发现自己”的工作,如资产发现和分类。请注意,未能解决资产库存或数据分类和管理等问题可能会导致许多错误。如果不知道您在保护什么,或者您的企业最有价值的资产是什么以及在哪里,就很难制定完善的投资者关系战略。6.威胁行为持续时间过长警报优先级和分类是管理分析工作负载的重要部分。然而,简单地根据关键高点确定行动的优先级,同时忽略低级别和不明显的威胁行为,可能会导致一些异常活动被忽视,直到入侵事件为时已晚。这种仅对威胁进行优先级排序的方法的问题在于,一些低级威胁可能在公司网络中徘徊得太深,以至于无法被视为优先级。如果一个组织能够在流程的早期发现并阻止该威胁,它实际上可以更好地降低组织面临的风险。这个问题可以通过更平衡的应急响应工具和威胁搜寻等主动实践的组合来解决。7.过快结案没有找到问题的根源和恶意活动的相关迹象,就尽快结案可能导致问题进一步扩散和恶化,应急响应团队很可能只会跟进表面战斗现象而不是将问题扼杀在萌芽状态。Sophos管理威胁响应高级主管JJThompson说:“通过避免需要耗时挖掘的关键问题来尽快结案或获胜通常会导致更广泛的传播问题。”假设但由于技术限制未经验证,这可能会导致应急响应团队、法律人员和行政人员之间的误解,从而导致虚假报告违规行为。”8.缺乏合作和沟通无论响应者是否在安全运营中心(SOC),仍然是远程办公,成功的应急响应计划可以使团队成员紧密合作,更高效地处理案件。随着COVID-19大流行的继续蔓延,应急响应小组现在必须采用新的远程工作策略,这导致人们更加关注沟通方法和渠道。通过群聊、共享跟踪表和团队电话会议在团队成员之间轻松共享数据和相关事件信息的能力比以往任何时候都更加重要。IBMX-Force网络事件响应团队首席技术官ChrisScott表示:“由于这场全球危机,办公室里的交流对话减少了。一旦通信和协作中断,围绕安全事件的上下文信息就会丢失。只有有了正确的背景信息,人们才有可能做出最好的决定。”9.没有脚本的执行仅仅有一个总体的战略性应急响应计划是不够的。应急响应团队还需要针对常见场景制定战术计划,以节省响应时间并简化操作。这就是为什么一些安全专家指出最大的错误之一是在没有脚本和过程的情况下处理事件。ByLight首席技术官KenJenkins表示:“组织必须定义团队将响应的特定事件类型,并制定分步程序,以确保他们能够在最激烈的攻击事件中运行。时刻。尽可能详细。”10.缺乏时间的事件通知当谈到内部和外部违规通知时,时间就是一切。组织犯的最大错误之一是过早或过晚传达违规通知。过早沟通会导致无法回答许多详细信息问题或提供对组织和第三方潜在风险和影响的额外见解。沟通太晚会给人带来无法及时发现和处理事件的感觉。[责任编辑:赵宁宁电话:(010)68476606]
