1. 概述

1.1. 计算机安全事件响应(Computer Security Incident Response，CSIR)

1.2. 支撑安全态势的三个支柱，其中两个支柱（检测和响应）与事件响应(Incident Response，IR)流程直接相关

1.3. 要增强安全态势的基础，你需要有可靠的事件响应流程

1.4. 许多公司确实制定了事件响应流程，但并没有不断检查，也没有从以前的事件中吸取经验教训，最重要的是，许多公司没有做好在云环境中处理安全事件的准备

1.5. 通过规划事件响应生命周期的每个阶段，你可以创建一个可以应用于整个组织的连贯性流程

1.6. 在安全领域，大多数时候“一刀切”的概念并不适用，其目的总是利用众所周知的标准和最佳实践，并将它们应用到你自己的环境中去

• 1.6.1. 保持灵活性以适应业务需求非常重要，以便在操作时提供更好的体验

1.7. 每个事件都有一个事件生命周期，通过检查可以更好地了解事件发生的原因，以及如何防止将来出现类似问题

2. 实施IR流程的理由

2.1. 如果没有适当的事件响应流程，专业人员会将精力集中在与基础设施相关的问题上，从而耗尽他们排除故障的精力

2.2. 安全态势较好的公司，都会有相应的事件响应流程

2.3. 准则

• 2.3.1. 所有IT人员都应接受培训，了解如何处理安全事件

• 2.3.2. 应对所有用户进行培训，使其了解有关安全的核心基础知识，以便更安全地开展工作，这将有助于避免感染

• 2.3.3. 服务台系统和事件响应团队之间应该集成，以便共享数据

2.4. 攻陷指示器(Indicator of Compromise，IoC)

• 2.4.1. 当找不到IoC时，并不意味着环境是干净的，现在你需要改变策略，开始寻找攻击指示器(Indicator of Attack，IoA)，这需要寻找能够表明攻击者意图的证据

• 2.4.2. 在调查时，你可能会发现许多IoA，这可能不会引出IoC

• 2.4.3. 关键是了解IoA将使你更好地了解攻击是如何执行的，以及如何对其进行防范

2.5. 不仅要在网络中有好的传感器，而且主机本身也要有

• 2.5.1. 有了好的传感器，你不仅可以快速检测到攻击，还可以识别可能导致迫在眉睫的违规威胁的潜在场景

3. 创建IR流程

3.1. 建立目标

• 3.1.1. 回答问题：流程的目的是什么？

3.2. 一旦定义了目标，就需要处理范围问题

• 3.2.1. 虽然事件响应流程通常在公司范围内有效，但在某些情况下也可以局限于部门范围

• 3.2.2. 是否将其定义为公司范围的流程，这一点很重要

3.3. 每家公司对安全事件可能有不同的看法，因此，你必须对安全事件的构成有一个定义

• 3.3.1. 除定义之外，公司还必须创建自己的词汇表，其中包含所用术语的定义

• 3.3.2. 不同的行业会有不同的术语集，如果这些术语与安全事件相关，则必须将其记录在案

3.4. 在事件响应流程中，角色和职责至关重要

• 3.4.1. 如果没有适当级别的授权，整个流程都会面临风险

3.5. 与事件的严重性有关

• 3.5.1. 什么可以用于定义危急事件？

• 3.5.2. 危急程度决定了资源分配

• 3.5.3. 事件对业务的功能影响

  • 3.5.3.1. 受影响的系统对业务的重要性将直接影响事件的优先级

  • 3.5.3.2. 受影响的系统的所有利益相关者都应该意识到这一问题，并在确定优先事项时发表自己的意见

• 3.5.4. 受事件影响的信息类型

  • 3.5.4.1. 每次处理个人身份信息(Personally Identifiable Information，PII)时，你的事件将具有高优先级

    3.5.4.1.1. 这是事件发生时首先要核实的因素之一

  • 3.5.4.2. 根据你公司使用的合规标准而泄露的数据类型

• 3.5.5. 可恢复性

  • 3.5.5.1. 在初步评估之后，可以估计需要多长时间才能从事件中恢复过来

  • 3.5.5.2. 根据恢复时间的长短，再加上系统的危急程度，可能会将事件的优先级提升到很高

3.6. 与第三方、合作伙伴和客户进行交互

• 3.6.1. 在新闻稿发布之前，法律部门也应该参与进来，以确保声明不引发法律问题

• 3.6.2. 在事件响应流程中，参与执法的程序也必须一并记录

• 3.6.3. 在记录这一点时，请考虑物理位置—事件发生的位置、服务器所在的位置（如果合适）​，以及状态

  • 3.6.3.1. 通过收集这些信息，将更容易确定管辖权和避免冲突

3.7. IR小组

• 3.7.1. 需要组建事件响应小组

• 3.7.2. 小组的形式将根据公司规模、预算和目的而有所不同

  • 3.7.2.1. 大型公司可能希望使用分布式模型，其中有多个事件响应小组，每个小组都有特定的属性和职责

    3.7.2.1.1. 此模型对地理位置分散、计算资源分布在多个区域的组织非常有用

  • 3.7.2.2. 其他公司可能希望将整个事件响应小组集中在单个实体中，负责处理任何位置的事件

• 3.7.3. 在选择了使用的模式后，公司可以着手招募员工加入小组

• 3.7.4. 事件响应流程需要具有广泛技术知识的人员，同时还需要具有其他一些领域的深厚的知识

  • 3.7.4.1. 挑战在于如何在这个领域找到有深度和广度的人

• 3.7.5. 事件响应小组的预算还必须包括通过教育进行持续改进，以及购买适当的工具、软件和硬件

  • 3.7.5.1. 随着新的威胁出现，负责事件响应的安全专业人员必须做好准备，并要接受良好的应对培训

  • 3.7.5.2. 许多公司未能及时更新员工队伍，这可能会使公司面临风险

  • 3.7.5.3. 当将事件响应流程外包时，要确保你所雇佣的公司负责不断地对员工进行这方面的培训

• 3.7.6. 如果计划将事件响应运营外包，请确保你拥有定义明确的服务等级协议(Service-Level Agreement，SLA)，该协议满足之前建立的严重性等级

  • 3.7.6.1. 班次：要实现24小时覆盖，需要多少班次？

  • 3.7.6.2. 小组分配：根据这些班次，要怎样安排每个班次的值班人员，包括全职员工和承包商吗？

  • 3.7.6.3. 随叫随到流程：建议轮流安排技术人员和管理人员值班，随叫随到，以防问题需要升级

  • 3.7.6.4. 能让你更清楚地看到团队需要涵盖的工作，从而相应地分配时间和资源

3.8. 事件生命周期

• 3.8.1. 每个事件都必须有始有终，在开始和结束之间发生的事情分属不同阶段，将决定响应过程的结果

• 3.8.2. 准备阶段还包括实施其他安全控制措施

  • 3.8.2.1. 端点保护

  • 3.8.2.2. 恶意软件防护

  • 3.8.2.3. 网络安全

• 3.8.3. 准备阶段不是一成不变的

• 3.8.4. 事后活动对于提高未来攻击的准备水平至关重要，因为在这里你将执行事后分析，以了解根本原因，并了解如何改进防御以避免将来遭受相同类型的攻击

• 3.8.5. 检测和遏制阶段在同一事件中可以有多个交互

  • 3.8.5.1. 循环结束后，将进入事后活动阶段

来源链接：https://www.cnblogs.com/lying7/p/18880010