事件管理-开发:技术响应能力
2021-11-01
来源:河南等级保护测评
本节探讨管理网络事件所需的技术、日志和证据。我们还会检查在事件期间可能需要采取的技术操作和分析类型。
成功的技术响应需要有经验和技能的人员,以及工具、特定的网络设置和数据访问权限。
内容
提供重要信息
日志管理和证据捕获
证据数据捕获
技术响应
分流
遏制
分析
补救/根除
恢复
数据安全向第三方提供数据
如果向供应商提供数据,欧盟有GDPR 要求必须考虑数据控制者的所有权及其能力。我国现已经颁布施行《中华人民共和国数据安全法》,有关数据安全的原则依据相关法律法规执行。
提供重要信息
网络信息
清楚了解网络对于所有响应阶段都很重要。它可以将技术调查的发现阶段从几天缩短到几小时。它还可以确保成功采取遏制和补救措施。
网络图和支持信息应该至少可以显示:
互联网网关
IP 地址范围和任何单独的 VLAN
远程访问
关键系统(文件服务器、平台、域控制器、网络服务器)
服务器的物理位置
您还应该记录在事件响应过程中可能有用的所有安全设备和软件。
图片
证据和日志可用性
任何事件都至少需要一些基本数据来进行分类和分析。
请记住,证据对于证明某事没有发生与证明它发生过同样重要。
证据和日志的类型
在考虑日志记录的内容和方式时,应该参考良好实践指南并从任何外部安全提供商那里收集输入。还应该探索许多事件场景,以便了解调查此类事件可能需要哪些数据。
典型的日志和证据类别应包括:
外网通讯:
网络流量——元数据和数据包捕获(防火墙、IDS/IPS、代理、DHCP、DNS)
电子邮件 - 电子邮件日志、完整的电子邮件文件、电子邮件系统的审计日志
身份验证和访问:
账户活动 - 域控制器和活动目录日志
远程登录 - 如上所述加上潜在的 RDP、VPN 和类似
(其他)内部网络活动:
本地系统活动 - 事件日志、防病毒日志、任何其他主机安全软件日志以及系统的完整映像或内存转储
面向 Web 的系统:Web 日志和可能与上述类似的主机日志
可能还需要考虑其他系统和专业软件:
信息存储(文件管理系统和数据库)
金融系统
操作技术系统——应该考虑这些存在哪些日志和证据
云服务特定日志
资产和配置信息
除了这些日志和证据来源之外,您还应该记录您的 IT 资产和配置。
此信息在事件响应期间特别有用,因为它将帮助了解受影响资产的“位置”和“内容”并评估事件的严重性。
日志管理和证据捕获
提供日志可以如何组织和保留更多的细节。但是,我们在下面概述了记录和证据捕获的最低限度和增强方法。
最低:
记录可用的日志和数据源,以在事件期间节省宝贵的时间
了解如何访问和检索日志以进行分析,以及谁可以执行此操作
检查日志是否易于搜索 - 例如,您能否在过去 2 个月的防火墙日志中搜索特定 IP?
理想情况下,将日志保留至少 3 个月——如果可能的话更长——并确保仍然可以提取归档日志
能够提供对物理机的访问。 如果使用全盘加密,请确保可以获取解密密钥并解密数据。
为调查加强证据和记录:
确保所有证据或日志源同步到相同的时间服务器和时区(这可以极大地帮助关联事件)
如果合适,就捕获内存和磁盘映像的基础知识培训员工
确保所有日志都有相关字段,或者相关日志可以关联 - 例如,在某些设置中可能需要将 DHCP 日志与防火墙日志关联
如果需要,能够以纯文本格式检索日志以供其他方分析
改进证据捕获和日志可用性的其他措施:
将日志流式传输到中央位置和系统,以实现快速关联和分析(例如 SIEM 工具或 SOC)。这也可能包括来自主机的本地事件日志。
保留完整的数据包捕获(更短的时间)
云中的系统或数据:
默认情况下,云/托管服务提供商可能不会打开或允许管理员访问所有日志记录。
与云提供商合作,确保可以在需要时(直接或通过他们的员工)访问相关数据。
证据数据捕获
当事件可能导致法院采取行动时,可能有必要收集证据数据。至少值得提供证据袋,并为当地 IT 人员提供有关如何捕获系统和安全存储系统的一些基本指导。
日志测试
检查和测试日志可用性和提取至关重要。
由于缺乏日志数据,许多调查受到阻碍。通常,这是组织认为他们拥有但尚未验证的数据。
技术响应
技术响应通常包括分类、遏制、分析、补救和恢复阶段。这些阶段可能包括非技术元素,例如媒体处理或法律考虑。请注意,对于成功的响应,团队技能和经验与技术同样重要。
技术响应的阶段如下图所示。网络事件响应流程部分提供了显示其他非技术元素的更完整图表。
流体过程
技术响应过程中的各个阶段循环和重叠。例如,在修复阶段可能会进行一些不太重要的分析。类似地,可以在整个初始分析阶段采取遏制和缓解措施。
您的供应商的能力
如果依赖供应商(例如托管基础设施或托管提供商)来采取技术行动,应该考虑他们的能力、可用性以及与他们签订的服务水平协议 (SLA)。
为了取得成功,通常需要在整个 IT 资产中同步操作,以便一次性消除感染。
分流
分类涉及事件类型和严重性的分类,以便可以优先考虑后续行动。它主要由一组明确的事件类型定义和事件的观察影响指导。分类过程的更详细处理可以在开发网络事件过程部分找到。
这个阶段在很大程度上依赖于证据和数据的可用性以及对其进行分析的能力。
遏制
在此阶段,采取行动防止威胁进一步传播,或以某种方式降低其影响。
这项工作应尽快开展,并应在整个事件响应过程中继续进行。有关特定操作的列表,请参阅下面的修复部分。
不要反应过度
在收容期间,重要的是要考虑为处理事件可能采取的任何行动的潜在影响。
反应过度会造成比事故本身更大的损害。在有针对性的攻击的情况下,攻击者可能会做出反应或将自己更深入地埋在您的网络中。
在某些情况下,在采取行动之前进一步监控和分析可能会更好。您需要根据具体情况对此进行评估。
了解要采取的正确行动的关键是创建自己的特定于组织的指南并练习不同的场景。这将帮助组织确定适合组织和 IT 设置的最佳操作,以及建立员工体验。当时机到来时,将因此做好更好的准备,更有可能采取最合适的行动。
分析
通常,此阶段的首要任务是学习足够的知识以遏制并最终修复攻击。但是,要做到这一点,可能还需要了解启用攻击的条件,并详细了解攻击者在访问您的系统时的行为。
当发现新信息时,可能需要在此阶段和遏制/缓解工作之间循环。
为了在内部执行一些基本的分类和分析,以下步骤可能有用:
与用户互动以了解他们观察到或做了什么(例如单击链接)
分析活动目录、远程访问和电子邮件等日志以了解活动。在某些情况下,这可能涉及对网络流量日志(例如防火墙)的基本搜索
使用开源威胁情报(例如博客和开源沙箱)。
许多事件需要更复杂的分析。这将包括以下内容:
完整主机(磁盘/移动/服务器)取证
网络流量和日志分析(通常非常大,因此可能需要专业工具)
高级恶意软件分析
许多不同事件、日志和数据源的相关性
这种类型的分析通常外包给专家。但是,对于目标明确的组织而言,在内部培养更高级的功能可能是有益的,并且可以降低成本。这也意味着进行分析的人员已经对网络有了深入的了解。
在某些情况下,在修复/根除阶段可能会继续分析。例如,当了解足够多的威胁以将其从网络中完全移除时,需要进行更多分析以准确确定攻击期间发生的情况,以便法律、监管和其他外部利益相关者了解情况。
补救/根除
在此阶段,威胁已从网络中完全消除。
遏制和补救虽然不同,但通常需要类似的能力:
系统隔离(可以包括关键系统、虚拟机、网站)
重置凭据和阻止或锁定远程访问的能力
阻止入站/出站流量和电子邮件
删除恶意文件(清理或重建机器、清理用户配置文件、使用 AV 扫描、部署脚本)。
修复需要仔细规划。
更高级的功能包括:
及时采取行动的能力,包括非工作时间(如果需要,考虑供应商 SLA 和员工可用性/随叫随到)
同步整个庄园的一系列行动,包括不同的时区和国家(特别是修复)
更复杂的操作,例如:
重置域管理员和服务账户,以及范围内的重置
远程隔离或隔离机器或部分网络
远程阻止或删除恶意文件和/或进程
阻止或警告特定模式(例如流量模式)
监控网络和主机活动以确认操作是否成功。
确认修复成功
在开始恢复之前,应该始终确认修复已成功。
至关重要的是,员工可以授权关键决策,例如使客户数据库或网站脱机。
实际执行操作所需的人员必须知道他们需要联系谁、如何联系他们以及何时联系。这适用于供应商以及内部员工。
作为网络事件和响应的一部分,连续性规划应考虑中断和停机时间。这应该与灾难恢复计划相关联。
在此阶段可能还需要处理非技术性操作。这可能包括媒体处理、客户支持和监管或法律职责等。有关更多详细信息,请参阅流程页面。
必须确认备份是干净的
只有干净的数据才应该被复制回干净的系统和网络。
提示: 仅备份“数据”(即工作文档而不是系统文件)将有助于防止隐藏在备份中的可执行文件(因此感染)。
恢复
在这一点上,攻击者已被移除的可信度很高。此时的主要目标是恢复“一切照旧”。这意味着让网络恢复到干净的状态,并最终确定监管机构、媒体和客户处理等事项。
随着干净的系统重新上线,临时块和其他措施可以被删除, 除非认为将它们保持在更永久的基础上是有价值的。
技术恢复的注意事项
在最坏的情况下,当数据或系统被损坏(例如被勒索软件加密)或丢失时,备份应该可用于恢复和/或可用的备用设备和系统。
为了帮助恢复过程,应该:
对数据进行离线/隔离备份,因为在线备份可能会受到影响。
将备份保留一段时间,而不是只有一个滚动备份,因为如果在覆盖备份之前没有注意到感染/损坏,这不会提供太多保护。
考虑在检测到某些内容之前可能需要多长时间,并确保您的备份保留更长时间 - 至少一个月。
考虑备份系统配置(例如专业系统)
查看备用设备的可用性。如果感染未知和/或难以清除,您可能需要更换或完全重建设备。
