事件響應準備之旅

2024 November 11

介紹

想像一下,您生活在一個社區,越來越多的房屋被無恥的犯罪分子闖入,竊取和破壞貴重物品,綁架人員勒索贖金,在某些情況下,甚至將房屋夷為平地!如果這些房子屬於你最近的鄰居,你會等到那些犯罪分子闖入你的家才採取行動,還是會主動採取一切措施阻止對你房子的類似行為,包括加固所有門、轉移一些有價值的東西銀行保險箱、家庭安全攝影機、與相關當局合作、為最壞情況提供保險,甚至乾脆搬家?

上面的插圖可能看起來像是誇大的身體威脅。然而,這就是網路領域的嚴酷現實,在現實世界中帶來了切實的後果,例如勒索、破壞資料(包括智慧財產權)和勒索。網路犯罪分子的行為會產生重大的財務影響,通常會對組織造成數百萬美元的損失,而且損失越來越嚴重。例如,2024 年資料外洩的全球平均成本約為 488 萬美元,年增 10% { IBM Breach Report 2024 }。

雖然一些網路事件可能是不可避免的(例如零時差攻擊),但其他網路事件是可以預測的,可以透過適當的措施來避免或顯著減少。這些措施可稱為事件回應 (IR) 準備情況。

IR 就緒性是一組定期流程、程序和技術,可幫助組織人員主動、系統地思考可能的安全事件,準備在初始階段檢測和回應這些事件,並最大限度地減少已確認事件的任何損害和成本。良好的 IR 準備使組織做好應對事件的準備,同時提高其安全狀況和成熟度。

 IR 準備之旅

網路威脅和事件將持續存在,犯罪分子不斷發展複雜的策略和技術,因此每個組織都必須做好應對這些威脅的準備。這項準備工作可以透過 IR 準備之旅來完成。儘管步驟可能會根據每個組織的成熟度而有所不同,但以下部分提供了該旅程的藍圖。

本文其餘部分對此類 IR 準備之旅的概述是 Check Point 事件響應團隊 (CPIRT) 的指南,他們不僅在響應活動事件方面而且在協助組織準備響應方面擁有豐富的經驗,以及網絡安全行業和其他專家領導的組織(例如美國國家標準與技術研究所(NIST) 和CISA)所看到的其他最佳實踐。

CPIRT 建議按順序完成這些 IR 準備步驟並定期重新審視,以考慮組織、網路威脅情勢以及新的網路防禦知識和實踐的變化

圖 1 – 事件回應準備之旅

 

1- 資產追蹤/管理:

簡而言之,您無法保護您不知道自己擁有的東西——這是大多數網路安全專業人士都承認的基本事實。然而,許多組織仍然不了解其關鍵資產,維護仍可存取其環境的所謂不活動資產,並將內部資源公開給公眾訪問。公司的政策使情況變得更加複雜,例如執行不力的自帶設備 (BYOD) 政策,該政策授予外部資產對公司資源的存取權限,而不考慮它們。

資產追蹤可以使用免費和付費系統來實施,並得到內部政策、適當培訓和全公司承諾的支持。

對於任何想要確定從哪裡開始或評估當前資產管理實踐中的差距的組織來說,美國國家標準技術研究院 SP1800-5 指南等資源提供了一個很好的起點。

2- 框架採用

一旦組織對其資產有了更好的了解,就值得討論並採用統一的網路安全框架。

採用特定框架有助於透過業界最佳實踐簡化安全環境的路線圖。它可以作為針對集中安全操作的特定標準的指南,也可以作為精確的內部基準。

首先,NIST 的網路安全框架(通常稱為 CSF)對於任何希望標準化其網路安全策略、流程和程序的公司來說都是一個很好的起點。還有其他類似的區域或特定行業框架,但大多數都基於 CSF 或深受其影響。

3- 資產保護/部署-檢測-回應

採用統一的網路框架後,下一個關鍵步驟是採用流程、程序和技術來幫助監控和偵測任何已知的傳入威脅。例如,到 2023 年,只有 33% 的違規行為是在安全團隊和工具的共同努力下被發現的;其餘的偵測只是因為運氣和攻擊者出於財務和其他惡意動機的自我揭露{IBM Breach Report 2023}。

組織至少應將端點偵測和回應(EDR) 解決方案部署到所有關鍵資產,目標是將覆蓋範圍擴大到所有設備和網路出口節點一旦覆蓋所有資產,請確保它們得到正確配置並由訓練有素的團隊持續監控準備應對最早的攻擊跡象。這可以由內部團隊或透過專門的外部託管偵測和回應 (MDR) 服務來管理。

4- 修補程式和漏洞管理

如果不定期更新和升級,任何系統或保護措施最終都會出現威脅行為者可以利用並存取組織資產的漏洞。每個公司都應該採用修補系統來追蹤新發現的漏洞並儘快對其進行修補。修補系統不僅應考慮可用的更新和升級,還應考慮任何已知漏洞的嚴重性及其對組織及其資產的潛在影響。

5- 事件回應計劃

組織的 IR 回應應包含在書面且動態的事件回應計畫 (IRP) 中。 IRP 不僅應該記錄在案,還應該得到組織最高層的批准。透過建立和記錄 IRP,組織應建立回應小組並確定主要利害關係人;建立並審查現有的第三方聯繫以及 IR 外部支援團隊的安排;整合回應工具包、回應範本、網路保險和其他緩解措施。

精心設計的IRP應該簡單、高效,不僅反映組織的環境和需求,而且成為回應即時事件的主要指南。

6- 培訓

組織最好的資產是人。使用技術、健全的流程和程序的人員是事件成為小事件還是全面災難的關鍵。因此,為組織工作的所有人員都必須接受培訓,使其成為安全方面的資產而不是負債。所有培訓都應根據人員的角色和職責量身定制,定期進行且切合實際。培訓可以包括網路意識培訓、網路釣魚和其他常見威脅意識以及複雜的培訓,例如紅外線響應演習(桌面)。

7- 安全措施的審核和測試

一旦實施上述措施,重要的是定期審查所有資產,由內部團隊評估保護措施並由外部團隊測試,並在模擬事件中運行事件響應計劃和行動手冊(桌面練習)。應審查所有吸取的教訓以及發現的任何差距,以改善安全措施。

主動實施上述步驟可能具有挑戰性且成本高昂,特別是對於已經捉襟見肘的網路安全人員而言。然而,當權衡潛在的財務損失、聲譽損害和恢復費用時,事件響應準備提供了豐厚的投資回報,與對實際事件做出反應的成本相比,它很划算。

對於希望採取主動方法來做好事件回應 (IR) 準備的組織,無論規模大小,都有各種資源可以提供協助。其中包括地方和聯邦政府的支持,提供技術和財政援助。此外,Check Point 事件回應團隊可以在整個過程中為您的團隊提供指導和協助。

在接下來的幾個月中,我們的團隊將透過部落格和網路研討會更深入地研究每個步驟。

文章來源/Check Point Blog Check Point Blog

返回