网络安全事件响应：之前，期间和之后

事件响应计划已成为所有类型企业（不仅是金融公司）的关键要求，因为人们面对日益复杂的网络攻击试图保持强大的安全状态。但是，了解如何实现这一目标是一项详尽的练习，公司必须对此给予足够的重视。

这是Eze Castle Integration最近举办的网络研讨会的焦点，该网络研讨会的主题为“网络安全事件响应：之前，期间和之后”，由ECI认证的业务连续性和数据隐私顾问Matt Donahue和Jeremy Ross主持。

事件响应生命周期方法包含四个单独的部分：i）准备，ii）检测分析，iii）遏制，根除和恢复，以及iv）事件后的活动。

这样的生命周期不应被视为静态的。相反，这是一个不断发展的，连续的过程。好的事件响应方法论着重于准备，不仅是为了建立事件响应能力以使组织准备响应，而且还要防止事件发生以确保系统，网络和应用程序实际上足够安全。

准备：建立CIRT

许多组织创建了所谓的计算机事件响应小组，也称为CIRT；一个专门应对这些事件的小组。Ross解释说，核心是“内部和外部专家的跨职能团队，负责响应事件。此外，他们还必须促进彼此之间的沟通，通知监管机构并执行政策和程序，以便根据最佳实践对情况进行最佳处理。”

CIRT的第一部分应由IT人员（例如网络管理员）组成，以帮助进行调查。他们将是找出谁拥有和管理系统，谁拥有所提供的技能以及谁拥有管理员访问权限的关键。Ross补充说：“没有IT，您的CIRT不可能真正获得对系统的访问权。”

下一个部分应包括公司传播代表。该小组将有一名代表公司发言的代表，并将公司要传达给客户和业务合作伙伴的信息传达给他们。

“接下来，我们有法定代表人，”罗斯解释道。“您可能必须将事件报告给适当的监管机构。但是，“您将要在此之前聘请法律人员，以提供有关潜在违规行为的合法性以及证据收集，违规通知等要求的指南，尤其是在GDPR和Gifford更新了有关违规披露的法规之后。”

CIRT的另一个组件应该是信息安全人员。这些人将负责处理调查的详细信息：查看日志，弄清楚发生了什么并提供法医分析（可能需要外部第三方专家的帮助）。

最后一个组成部分是直接与业务代表联系。没有他们的投入，就不可能弄清楚事件如何影响特定的产品或产品线。

检测分析和遏制

检测分析工作通常会与遏制，根除和恢复工作重叠。两者是网络安全事件响应计划的可变要素。没有单一的途径。

正如Matt Donahue在网络研讨会上解释的那样：“通常，当您尝试包含，根除或恢复并确认其正确执行时，您将进行重新评估，确保从检测分析中获得的指标是一致的，并确保您感知到的变化将要发生。发生。

“如果我们谈论的是'轰炸'（发生攻击并可能造成严重破坏的那一刻），很多时候它只是一个小指标。其中一些可以是内部警报，其中一些可以是各种日志，这些日志将向您显示数据。最终，这些就像跳闸线一样，将通知您某些差异。

“那些是内部可能会收到的早期通知。此外，人们可能会从商业供应商那里得到一些东西，甚至可能是来自联邦调查局的一封电子邮件，表明存在恶意活动。”

在这种情况下，最佳实践是拥有一组核心人员，他们可以获取这些初始信息并评估后续步骤。多纳休说：“您希望有一群受过培训的核心人员，他们可以传达信息并启动流程。

“在进行外部通信之前，至关重要的是进行内部通信以确保存在一致的信息。理想情况下，您希望主动进行沟通，以便使所有各方都了解情况，而不是让人们利用自己的想象力和进行假设。”

关于遏制网络事件，有多种选择。

一个人可以隔离数据和系统，将其隔离或完全关闭。或者，确实可以容忍它。

这将基于人们对该资源的了解。

根除与恢复

关于根除，公司将需要收集所有必要的证据并删除可能有害的文件。例如，在恶意软件攻击中，您必须清理文件目录，删除受感染的目录，并从根本上清理系统中的所有内容，以防止攻击造成进一步的破坏。

最后阶段是恢复。

当某人拥有不同的系统或资产时，将需要使他们重新联机，重新进入正常的操作程序。根据进入恢复时间阶段的速度，讨论什么是可以接受的，什么不是。

活动后

一旦企业恢复了正常活动，事件响应程序的最后一步就是活动后的注意事项。

“在这里，您可能希望寻求一些外部援助，尤其是当您希望使用保险来支付与事件相关的一些费用时。您可能想要确保所有内容都记录在案并进行法医分析，以便向保险公司证明“我们已尽力，这就是问题所在”，多纳休建议。

如果必须告知监管机构，则保存证据和采取适当措施遏制事故的证据将很重要。即使违反行为严重，表明遵守事件响应计划也将有助于减轻监管风险。

Donahue强调：“如果人们可能要进行调查工作，那么有证据是一件好事。”

在网络研讨会即将结束时，Ross进行了一次模拟网络钓鱼攻击，这是一种较常见的网络攻击。

假设一名员工使用其同事之一发送的电子邮件中的链接将凭据输入平台。IT团队怀疑该链接包含在欺骗电子邮件中，而是将员工定向到另一个门户。

事件响应团队应如何应对？

首先，您将要明确确定问题的潜在范围。

“您”将要密切注意门户，并开始为所有允许的用户重置帐户访问权限和密码。

“下一步将是运行扫描并提取日志以确定是否有进一步的影响。如果攻击者进行了任何横向或横向移动，您都希望看到它们。这就是为什么对您的网络可见性至关重要的原因。当您遇到可能实际上发展成更大事件的小事件时，它将真正有帮助。

“因此，看到这些动作，在需要时运行这些扫描和日志将非常关键，” Ross说。

然后，他建议使此类网络钓鱼攻击成为一堂学习课。实际上，确保员工知道如何向其IT团队报告可疑电子邮件似乎很明显，但是人们做得还不够。

“最好举报，因为这样做有助于保护公司中的其他人。如果您举报收到的网络钓鱼电子邮件并将其记录下来，它将消除组织中其他任何人单击链接或下载任何图像或恶意软件的风险。”

要与Eze Castle Integration的事件响应专家进行对话，请在此处与我们联系：https://www.eci.com/contact/

钉“ />

詹姆斯·威廉姆斯