在網(wǎng)絡(luò)攻擊襲擊之企業(yè)前，準(zhǔn)備好預(yù)案是事關(guān)生死的大事。

細(xì)節(jié)決定成敗，制定事件響應(yīng)(IR)計(jì)劃時(shí)尤其如此。但，即使最成功的IR計(jì)劃也會(huì)缺失關(guān)鍵信息，阻礙正常業(yè)務(wù)運(yùn)營的快速恢復(fù)。以下，是應(yīng)集成到IR計(jì)劃中的很重要卻經(jīng)常被遺忘的9個(gè)步驟。

一、總動(dòng)員

精明的安全主管應(yīng)該有能力讓整個(gè)公司員工參與到IR計(jì)劃制定中來。CISO通常只管理負(fù)責(zé)威脅處理的團(tuán)隊(duì)，而搞定數(shù)據(jù)泄露引發(fā)的紛爭(zhēng)則需要全公司的努力。

舉個(gè)例子，如果一家銀行有法律義務(wù)公開事件，那么它處理數(shù)據(jù)泄露事件影響的時(shí)候就會(huì)需要其公關(guān)部門的協(xié)助。該銀行的網(wǎng)站開發(fā)團(tuán)隊(duì)也需要參與進(jìn)來，如果黑客是通過利用公司網(wǎng)站漏洞實(shí)現(xiàn)攻擊的話。另外，如果員工個(gè)人信息被泄露，公司人力資源部也需要聯(lián)系一下。該銀行的事件響應(yīng)計(jì)劃需要囊括進(jìn)所有上述部門的意見。

一份詳盡的事件響應(yīng)計(jì)劃，會(huì)鋪陳出檢測(cè)到數(shù)據(jù)泄露時(shí)應(yīng)通知的關(guān)鍵人物，也會(huì)規(guī)劃事件發(fā)生時(shí)在公司內(nèi)部和外部信息流通的方式。在準(zhǔn)備階段，關(guān)鍵員工的溝通時(shí)間線和聯(lián)系信息應(yīng)被加入到計(jì)劃中。

二、判明衡量標(biāo)準(zhǔn)

一份成功的事件響應(yīng)計(jì)劃會(huì)預(yù)先定義好關(guān)鍵業(yè)績(jī)指標(biāo)(KPI)供安全團(tuán)隊(duì)對(duì)事件作出評(píng)估。一些時(shí)間相關(guān)的度量包括：檢測(cè)時(shí)間、事件報(bào)告時(shí)間、事件分類時(shí)間、調(diào)查時(shí)間、響應(yīng)時(shí)間。在定性層面上，應(yīng)追蹤的一些數(shù)據(jù)包括：誤報(bào)數(shù)量、攻擊屬性(惡意軟件 VS 非基于惡意軟件的)、檢出事件的工具。

　　三、測(cè)試

企業(yè)應(yīng)利用準(zhǔn)備階段考慮各種各樣的有可能發(fā)生的數(shù)據(jù)泄露事件場(chǎng)景。這些場(chǎng)景應(yīng)在不同活動(dòng)中被仔細(xì)審查，比如團(tuán)隊(duì)培訓(xùn)、桌面模擬演練、紅藍(lán)對(duì)抗等。企業(yè)甚至應(yīng)該模擬異常數(shù)據(jù)泄露事件，讓員工知曉當(dāng)真實(shí)事件發(fā)生時(shí)自己扮演的角色。

準(zhǔn)備階段，就是公司發(fā)現(xiàn)自身弱點(diǎn)和風(fēng)險(xiǎn)因素，辨明哪些行為需要嚴(yán)密監(jiān)測(cè)，決定怎么分配安全預(yù)算的時(shí)候。IR計(jì)劃應(yīng)每年重新修訂，如果公司發(fā)展很快，重修訂間隔還應(yīng)更短些。另外，IR計(jì)劃中應(yīng)包含相關(guān)經(jīng)營規(guī)范。

四、核查看起來良性的警報(bào)

威脅檢測(cè)有時(shí)候也會(huì)源于乍看良性且與安全無關(guān)的情形。對(duì)運(yùn)行很慢的計(jì)算機(jī)進(jìn)行IT檢查或許會(huì)揭示出該機(jī)器已經(jīng)感染了惡意軟件，比如說，提起對(duì)網(wǎng)絡(luò)釣魚攻擊的警醒，展開對(duì)是否有人點(diǎn)擊了可疑鏈接的調(diào)查。IT工作人員應(yīng)總是在面對(duì)技術(shù)問題時(shí)記得檢查是否有安全隱患，即使事件看起來似乎與安全無關(guān)。

公司對(duì)抗敵人的最佳防御，是訓(xùn)練良好的用戶，比如說，那些收到帶奇怪鏈接的郵件時(shí)知道該聯(lián)系安全團(tuán)隊(duì)的用戶。

另外，IT和安全團(tuán)隊(duì)不應(yīng)該無視用戶的懷疑。應(yīng)認(rèn)真對(duì)待每一個(gè)直覺，人的直覺有時(shí)候會(huì)提供偵獲數(shù)據(jù)泄露的線索。

五、構(gòu)建整合的數(shù)據(jù)倉庫

無論公司使用什么方法檢測(cè)威脅，將所有事件整合進(jìn)一個(gè)中央存儲(chǔ)倉庫都是其中重要一環(huán)。企業(yè)通常會(huì)使用SIEM來做這事兒，但有時(shí)候SIEM也不足以完整呈現(xiàn)IT環(huán)境。

事件響應(yīng)團(tuán)隊(duì)經(jīng)常需要重現(xiàn)當(dāng)時(shí)環(huán)境中所發(fā)生的所有事。而這種時(shí)候才來構(gòu)筑全面視圖往往已經(jīng)太遲，事件響應(yīng)團(tuán)隊(duì)最終得到的，頂多是零零散散的局部重現(xiàn)，毫無價(jià)值。打造并維護(hù)一個(gè)有著廣泛可見性的連續(xù)的數(shù)據(jù)倉庫，不僅僅是監(jiān)管上的要求。它對(duì)加速調(diào)查和響應(yīng)也舉足輕重。

六、別忽視工業(yè)控制

很多企業(yè)都有運(yùn)行工業(yè)系統(tǒng)的設(shè)施，比如煉油廠或者制藥廠。然而，企業(yè)或許沒想到攻擊者也會(huì)瞄準(zhǔn)這些地點(diǎn)，因而放松了對(duì)這些設(shè)施的惡意行為監(jiān)測(cè)。

另一些情況下，是由非IT或非安全部門來主管這些工控系統(tǒng)設(shè)施。該部門的人員也許就缺乏嚴(yán)密監(jiān)測(cè)此類系統(tǒng)的知識(shí)，導(dǎo)致在安全上出現(xiàn)疏忽。

七、遏制和緩解

有徹底的遏制和緩解過程阻擋整個(gè)攻擊行動(dòng)而不僅僅是簡(jiǎn)單地解決攻擊癥狀，對(duì)企業(yè)而言十分重要。不過，安全團(tuán)隊(duì)通常都單用某個(gè)特定的解決方案來面對(duì)諸多問題，為同樣的攻擊重現(xiàn)留下了大量機(jī)會(huì)。

遏制和緩解計(jì)劃必須建立在安全團(tuán)隊(duì)對(duì)事件的調(diào)查結(jié)果上。太多時(shí)候，制定出來的計(jì)劃都僅僅是基于預(yù)先檢測(cè)的信息。比如說，如果SIEM系統(tǒng)檢測(cè)到了連到C2服務(wù)器的連接，典型的解決方案就是殺死發(fā)起連接的進(jìn)程，在防火墻中封掉該IP。但，如果該惡意軟件是持續(xù)性的，只要計(jì)算機(jī)重啟，惡意軟件又會(huì)重新加載上，或許還會(huì)改頭換面用另一個(gè)進(jìn)程名，與另一個(gè)服務(wù)器連接。

于是，安全團(tuán)隊(duì)陷入無窮無盡的對(duì)同一個(gè)威脅的檢測(cè)-遏制-清除循環(huán)中。另一方面，如果安全團(tuán)隊(duì)深入調(diào)查惡意軟件的技術(shù)和感染方式，就能得到更好的根除計(jì)劃，也有望開發(fā)出預(yù)防機(jī)制。

八、準(zhǔn)備后續(xù)預(yù)算和資源

后續(xù)跟進(jìn)，是預(yù)防安全事件重現(xiàn)的基礎(chǔ)。然而，企業(yè)通常都忘了走這一步。有些后續(xù)跟進(jìn)過程會(huì)牽涉到金錢支出，讓有預(yù)算限制的企業(yè)覺得難以承受。花費(fèi)較少的選擇包括了在SIEM中添加新的檢測(cè)規(guī)則，而更貴一些的后續(xù)跟進(jìn)步驟，涉及到聘用額外的安全分析師或者購買攻擊檢測(cè)技術(shù)。

后續(xù)跟進(jìn)階段也是企業(yè)重新審視其KPI表現(xiàn)和決定是否需要調(diào)整的時(shí)候。比如說，安全團(tuán)隊(duì)可以判斷出會(huì)引發(fā)過多誤報(bào)的檢測(cè)規(guī)則，然后修改規(guī)則集或者升級(jí)到另一套具備更強(qiáng)能力的檢測(cè)系統(tǒng)，避免影響到快速響應(yīng)能力。安全團(tuán)隊(duì)還可以選擇根據(jù)用戶而不是SIEM報(bào)告的事件，來添加檢測(cè)規(guī)則。

九、全公司跟進(jìn)

企業(yè)應(yīng)準(zhǔn)備好在事件發(fā)生后花費(fèi)時(shí)間和金錢來汲取教訓(xùn)。學(xué)習(xí)和改進(jìn)的過程不僅僅包括IT和安全團(tuán)隊(duì)。與準(zhǔn)備階段相似，很多時(shí)候，跟進(jìn)只集中在了安全團(tuán)隊(duì)處理的東西上，也就是遏制和檢測(cè)上。

把跟進(jìn)限制在安全團(tuán)隊(duì)的責(zé)任上，會(huì)讓過程管理更簡(jiǎn)單，但卻沒能使企業(yè)其他部門得到可以更好地應(yīng)對(duì)未來安全事件的能力。事件響應(yīng)需要全公司的合作，而不僅僅是IT和安全部門。