What is Incident Response?
当安全团队检测到威胁时,组织必须为下一步做好准备. 这需要有一个紧密协调的事件响应计划(IRP),并将行动和事件的顺序分配给专门的IR团队中的特定涉众.
有些企业可能有自己的内部团队,有些可能会外包他们的团队 incident response services, 而其他人可能会采取一种混合的方法,他们外包技术分析,但在内部管理IRP的其余部分. 无论哪种方式,这个团队都应该在出现任何麻烦之前对这些IR事件进行培训和计划. 协调良好的IR工作应始终包括:
- 高级事件管理和协调
- 事件的技术分析
- 确定事件范围以确定受影响的人员或内容
- 危机沟通,确保信息以协调和有益的方式发布
- 法律回应,以确定任何影响,并准备任何必要的回应或行动
- 补救和缓解建议和行动,以确保顺利恢复
谁是事件应变小组的主要成员?
IR团队中的关键成员是至关重要的,他们应该根据企业的独特情况量身定制行动 breach. 安全组织应该为以下核心职能确定特定的个人或团队:
- Incident management这一核心角色需要广泛的技术知识和管理和IR方面的经验. 这个角色的人作为一个整体的项目经理来监督技术任务的完成, 以及为所有相关利益相关者收集信息.
- 企业事故调查这就是在大企业工作的挑战与在小公司工作的挑战不同的地方. 大型组织中的大型漏洞需要利用跨团队的技术和伙伴关系来快速协助跨主机(甚至远程主机)的取证,以便团队可以找到 indicators of compromise 以及潜在的范围,越快越好.
- Technical analysis这些角色需要技术知识, 团队中最好有专门研究特定领域的分析师, such as malware analysis, forensics analysis, event log analysis, and network analysis. 这些分析师发现的任何信息都应该与IR团队的其他成员共享.
- Incident scoping:违规的程度是什么? 这是任何IR团队都需要知道的一个关键问题. 这个问题的答案可能会随着IR和调查的进行而改变, 特别是随着技术分析的继续.
- Crisis communications:分享调查结果, 以及范围和潜在结果, 需要在内部和外部同时发生吗. 经验丰富的危机沟通团队应该向正确的受众传达正确的细节. 他们的职责可能包括违规通知, regulatory notifications, 员工和/或受害者通知, and press briefings, if needed.
- 法律、人力资源和监管方面的问题: If a breach has any 法规或遵从性考虑, 团队中要有懂得如何处理披露要求或与执法部门合作的人,这一点很重要, 比如政府代表. 对于没有满足这些需求的内部专家的团队, 聘请律师的专业法律知识是值得投资的.
- Executive decision making任何违规行为都可能影响组织的公众形象和财务状况, 这就是为什么行政领导应该始终参与其中. 在调查和调查过程中,将会有关键的决策点, 在这些关键时刻,团队将需要高管的意见.
- Reporting and remediation在制作IR时,重要的是要记录所有内容. With this information, 团队应该能够拼凑出漏洞的整个故事:攻击者做了什么, when and how they did it, 以及他们设法达成的妥协. 这将使制定详细的应对计划成为可能 remediation and mitigation 从漏洞中恢复的建议, 希望能帮助组织抵御未来类似性质的攻击.
什么是事件应变计划?
IR计划描述了需要采取的步骤, and by whom, 当组织中发生违规或安全危机时. 一个强有力的响应计划应该使团队能够迅速采取行动,并尽可能快地减轻损失. Every moment counts. 这就是为什么紧急事件响应者要经过定期的模拟训练和流程审查, 所以当情况出现时,他们几乎通过肌肉记忆知道如何行动.
以防止在您的组织中发生缓慢的响应, 响应人员应该有一个精心绘制的IR计划, 定期排练各种可能的场景. 关键组织利益相关者和c级高管的支持也很重要, 因此,您的团队知道,支持他们迅速有效地采取行动.
After all, 发生安全事件时, it’s not just technical teams that need to act; non-technical resources – such as legal and communications – as well as outside parties will need to be involved, 尤其是当你和一个 security service provider.
什么是受管理的事件响应服务?
托管IR服务由外部供应商提供,旨在帮助任何成熟度的组织, size, 以及更好地应对和管理漏洞的技能. 这些托管服务提供商可以通过以下方式帮助解决战略和战术差距:
- 开发健壮的安全程序:如果您不确定您的事件检测程序是否涵盖了与您的组织相关的所有可能的突发事件, 托管IR服务可以帮助您提高对事件和违规行为的准备程度.
- 进行桌面练习:让您的内部IR团队通过他们的步伐,并通过供应商进行的威胁模拟演习来验证他们的准备情况.
- 进行妥协和/或违约准备评估外部IR团队可以评估您组织的环境和安全流程的当前状态, 并确定任何潜在的风险或差距.
- 提供即时的违约补救:如果您怀疑自己被入侵并需要立即帮助, 托管服务提供商可以立即采取行动,帮助阻止进一步的损害.
- 提供事件响应保留雇佣人员确保你的团队和供应商的团队按照一个计划保持一致,并且每个人都准备好在发生违规时离开. 许多保留服务将包括上面提到的几种服务, 他们通常会保证在响应时间上达成一定的服务水平协议.
这可能听起来很重复,但最糟糕的准备时间是在入侵发生之后. 有一个健全的IR计划 – 并确保与所有利益相关者沟通 – 为最坏的情况做准备的最好方法是什么.
The Post-Mortem
在成功应对了一个事件之后,现在还不是休息的时候. 内部IR团队应进行事后分析,从经验中吸取教训,并调整应对准备.
什么是有效的,什么是无效的,什么可以更好或更快地工作? 经验是最好的老师, 因此,从应对实际事件中吸取尽可能多的教训是很重要的.
阅读更多关于事件响应的信息
准备战斗:让我们建立一个事件响应计划(第一部分)
准备战斗:让我们建立一个事件响应计划(第二部分)
事件响应新:最新的Rapid7博客文章