什么是事件响应？

当出现数字或物理漏洞，危及组织系统或敏感数据的机密性、完整性或可用性时，就会发生安全事件或事故。安全事件可能由黑客或未经授权的用户造成，也可能是公司用户或供应链中的业务合作伙伴无意中违反了安全政策。

常见的安全事故包括

勒索软件

勒索软件 是一种犯罪商业模式，它利用 恶意软件 扣留有价值的文件、数据或信息以索取赎金。勒索软件攻击的受害者的业务可能会严重性降低或完全关闭。虽然勒索赎金并不是一个新概念，但勒索软件已成为一项价值数百万美元的犯罪业务，其目标既包括个人也包括企业。由于其进入门槛低、创收效果好，迅速取代了其他网络犯罪商业模式，成为当今组织面临的最大威胁。

商业电子邮件泄密 (BEC)

 

根据对 Unit 42^® 事件响应案例的 调查 ，在遭受商业电子邮件泄露（BEC）攻击的组织中，有 89% 没有开启 MFA 或遵循电子邮件安全最佳实践。此外，在这些事件响应案例中，有 50% 的组织在面向互联网的关键系统上缺乏 MFA，如企业网络邮件、虚拟专用网络 (VPN) 解决方案和其他远程访问解决方案。

未经授权访问系统或数据

随着众多企业将其工作负载迁移到公共云，攻击者将目标瞄准了配置不当的云环境，这样他们就可以获得初始访问权限，而无需查找和利用漏洞或使用复杂的技术。攻击者通常会寻找配置不当的云环境，这并不奇怪。

Unit 42 云威胁报告》的一份卷宗显示，仅身份和访问管理（IAM）配置错误就造成了 65% 的可观测性云安全事件。

供应链攻击

帮助组织加快开发周期的敏捷软件开发往往依靠第三方代码来实现快速见效。如果攻击者入侵了第三方开发人员或他们的代码存储库，就有可能使他们获得渗透数千个组织的权限。

网络应用程序攻击

安全小组很难跟踪资产，因为这些资产会随着时间的推移不断转移、移动，数量也会越来越多。这意味着，随着这些表面上的非托管资产数量也在增加，非托管 攻击面 也在持续扩大。因此，攻击者越来越善于通过扫描互联网来寻找易受攻击的系统，并在修补漏洞之前利用安全漏洞。對攻擊者來說，懸而未決的問題包括基本的安全衛生（如強密碼、MFA 部署）和零時差、未修補的漏洞（如 SolarWinds 和 Log4j 所見）。

阅读我们的文章《 云环境中的事件响应》，了解有关云环境中 事件响应的更多信息。

什么是事件响应生命周期？

事件响应生命周期是建议的 SOC 如何准备和响应攻击的基础。Unit 42 确定的这一生命周期有五个步骤：

1. 确定参与范围，以评估攻击及其对环境的影响。
2. 通过 Cortex XDR等安全工具收集和分析证据，充分了解事件。
3. 从您的环境中遏制和根除攻击者，并对新的恶意活动实施全天候监控。
4. 实施调查结果，并通过实施强化的安全控制措施从事件中恢复过来。
5. 吸取违规事件的教训，完善事件响应计划，从而改善安全状况。

尽管在发生攻击时，会有一个特定的团队来领导 SOC，但 SOC 的所有成员都应熟悉事件响应生命周期，这被认为是最佳做法。

什么是事件响应计划？

事件响应计划（IRP） 是 SOC 的重要组成部分，它定义了什么是事件，并概述了清晰、有指导性的响应。IRP 由事件响应团队管理和制定，他们应持续审查、测试、执行并根据需要更新计划。在事件或漏洞得到控制后，这些计划仍将持续发挥作用，为与事件相关的适当记录和下游活动提供持续指导。

事故不仅是安全问题，也是业务问题。丢失数据、伤害员工和客户或声誉受损只是事故对企业造成不利影响的几种方式。制定 IRP 将在危机期间为组织提供指导，并确保每个人都了解自己的角色和责任。

事件响应计划与灾难恢复计划

事件响应计划与灾难恢复计划（DRP）非常相似，但事件响应计划侧重于广泛的网络安全威胁，而灾难恢复计划侧重于通过备份或冗余来恢复基础设施、数据和功能。两者都旨在最大限度地减少对组织的损害，但 IRRP 处理的是主动威胁和违规行为，而 DRP 处理的是基础设施或业务流程受到严重性影响的情况。

尽管这些文件相似，但将它们分开维护仍然很重要；不过，每份文件都引用另一份文件的情况并不少见。许多组织会将它们作为更大的业务持续性计划（BCP）的组成部分同时使用。利用建议的网络安全框架维持一个强大的 IRP，将以不同于 DRP 的方式保护组织。

如何创建事件响应计划

在创建 IRP 时，安全领导者应了解企业的短期和长期要求。但是，确定需求、风险和薄弱环节仅仅是个开始。

在制定全面的 IRP 时，重要的是要制定计划，确定由谁维护、如何识别何时启动、组织沟通计划，以及确定绩效指标和合规性需求。

没有放之四海而皆准的国际投资计划。创建一个将要求安全小组进行不懈的测试和编辑。以下是制定和测试计划的一些补充提示：

• 评估并列出您的潜在风险。
• 使用清晰的语言和明确的术语。
• 确定如何通知内部利益相关者，如运营部门和高级管理层。
• 如果您选择使用预制模板，请根据您的具体需求进行调整。
• 经常使用紫队或桌面演练等技术测试你的计划，以便根据需要进行修改。
• 利用 Cortex XSOAR 等事件响应技术来优化和自动化响应工作流程，根除恶意活动。

如果您正在寻找 IRP 模板或其他指导， Unit 42 可提供 IRP 制定和审查服务。与 Unit 42 建立合作伙伴关系后，您将在专家的帮助下创建并验证事件响应计划。

准备工作无疑是事件响应的重要组成部分，但同样重要的是，SOC 能够在危机时刻准确地执行任务。在不确定发生了什么的情况下，许多公司会请求事件响应服务来协助实时检测、遏制和消除。

深入了解事件响应计划，了解它们对成功分流事件至关重要的原因：什么是 事件响应计划？入门。

什么是数字取证和事件响应？

通常情况下，数字取证与事件响应工作相结合，以创建更广泛的 数字取证和事件响应（DFIR） 流程。数字取证专门收集和调查数据，目的是重建事件并提供整个攻击生命周期的完整情况，这通常涉及恢复被删除的证据。

合并后，DFIR 可以确定问题的根本原因，识别和定位所有可用证据，并提供持续支持，以确保组织的安全态势在未来得到加强。

单击此处 加入 Cortex 的 DFIR 社区。

事件响应是网络安全中一个复杂而又关键的部分。对建立事件响应计划的安全小组来说，最好的建议就是不要焦虑。做好准备和计划，但不要惊慌失措！就像一般的网络安全一样，事件响应并不是要为每一次网络攻击做好 100% 的准备，而是要持续学习和加强流程，在安全计划中建立起应变能力。只要你知道应该采取哪些步骤、如何找到最好的帮助以及应该避免哪些陷阱，你就能够带领你的 SOC 度过任何安全事故。防范攻击的部分工作是了解事件响应生命周期。

如果这些攻击真的发生了，SOC 可以实施 DFIR 以更好地了解其环境以及这些攻击是如何得逞的。

了解为什么数字调查服务与事件响应专业技术相结合对于管理日益复杂的现代网络安全事件至关重要： 数字取证和事件响应

事件响应框架和阶段

事件响应框架为组织提供了创建 IRP 的标准。虽然并不要求实施这些框架，但这些框架是 SOC 制定和调整计划时的绝佳指南。有两个特别知名的网络机构，其框架可供各组织参考：

1. 美国国家标准与技术研究院 (NIST) 框架提供了创建 IRP、建立 CSIRT 和培训员工的详细步骤。NIST 包含各种技术框架，而 NIST SP 800-61 则详细介绍了对投资者关系的建议。
2. SANS 研究所提供培训课程和证书，以及长达 20 页的投资者关系 手册 。Unit 42 在帮助客户创建 IRP 时，会使用这些框架以及 MITRE ATT&CK 和 互联网安全中心 的指导原则。

事件响应小组

许多组织都有一个专门负责事件响应的团队。这个小组有不同的名称，如计算机安全事件响应小组（CSIRT）、网络事件响应小组（CIRT）或计算机应急响应小组（CERT）。CSIRT 可由事件响应管理员、事件响应分析员、数字取证分析员、恶意软件逆向工程人员和威胁研究人员组成。其中许多小组由首席信息安全官（CISO）或 IT 总监领导。

在某些情况下，组织会选择将内部团队的努力和能力与 Unit 42 等外部事件响应合作伙伴结合起来。用更多的专家来补充团队是一个很好的策略，可以满足对不同层次的主题专业知识的需求。由于网络攻击的形式和规模多种多样，因此，在必要时，与经验丰富的外部合作伙伴合作，填补技能空白，是非常有益的。

除了拥有专注于网络的小组成员外，让非安全利益相关者加入事件响应小组也是有益的。这可能包括法律、风险管理、人力资源和其他业务职能部门。

例如，如果安全事件涉及员工，如内部威胁或数据泄漏，小组中最好有一名人力资源代表。如果事件涉及第三方（如客户或供应商），则团队中的总法律顾问对于评估法律影响非常重要。最后，CSIRT 应配备一名公共关系专家，以便向有关各方提供准确的信息。

拥有一支全面而有能力的事件响应团队是事件响应流程的重要组成部分。作为危机时刻的专家，CSIRT 还应花时间研究威胁、鼓励最佳实践并制定事件响应计划。

事件响应工具和技术

除了事件响应计划，安全小组还需要一些工具来帮助他们对安全警报做出快速、大规模的响应，从发现到检测再到响应。SOC 使用的传统工具包括 EDR、SIEM 和数百种面向 SOC 团队销售的其他工具。但是，如果您正在考虑将投资者关系流程的关键部分自动化，那么谨慎的做法是选择那些能够紧密集成并允许数据共享的工具，以便全面了解整个组织内发生的情况。这种方法还能最大限度地提高运行效率，并减少团队在管理大量工具时的学习曲线。

事件检测和预防

寻找一个全面的生态系统，查看安全态势，进行有针对性的威胁检测、行为监控、情报、资产发现和风险评估。

扩展检测和响应解决方案 （XDR），如 Cortex XDR ，可从多个（有时是互补的）来源（包括 EDR、网络流量分析 (NTA)、用户和实体行为分析 (UEBA) 以及入侵指标 (IoC)）收集不同的遥测数据。然后，它执行基于 ML 的行为分析，对相关警报进行分组，将这些警报放入一个时间轴，并揭示根本原因，从而为各种技能水平的分析师加快分流和调查速度。

与互联网连接的资产发现和缓解

云和远程工作的兴起意味着攻击面在不断移动、变化，并变得更加复杂。此外，扫描技术的进步使攻击者能够快速、轻松地扫描整个互联网，定位攻击载体，发现被遗弃、恶意或配置错误的资产，这些资产可能成为入侵的后门。部署像 Cortex Xpanse 这样的 攻击面管理 解决方案，可以对组织的外部攻击面进行持续评估，持续更新与组织网络连接的所有资产（包括 IP 地址、域、证书、云基础设施和物理系统）的完整清单，并映射出组织中谁对每种资产负责任的情况。

事件响应和安全协调、自动化与响应 (SOAR)

像 Cortex XSOAR 这样的 安全协调、自动化和响应（SOAR） 技术有助于协调、执行和自动化各种人员和工具之间的任务，所有这些都在一个平台内完成。这样，组织不仅可以快速应对网络安全攻击，还可观测、了解和预防未来的事件，从而改善整体安全态势。

按照 Gartner 的定义，全面的 SOAR 产品应在三个主要软件功能下运行：威胁和漏洞管理、安全事件响应和安全操作自动化。

威胁和漏洞管理是对威胁信息源的管理，可为威胁情报和事件响应小组提供更多有关事件中的 IoC 或野生新威胁的背景信息，而安全操作自动化则涉及在自动化事件响应工作流程中协调 SOC 中使用的安全工具，从而加快事件的调查和修复。

事件响应服务

许多 SOC 资源有限，甚至根本没有资源来有效应对事件。这就是为什么许多公司选择聘用外部合作伙伴来协助满足其事件响应需求。这些合作伙伴补充甚至取代内部小组，提供服务以监控、检测和应对发生的安全事件。

就 Unit 42 的 IR 服务而言，我们的专家全天候待命，部署资源以满足您的事件响应需求。我们可以部署 Cortex XDR 等一流工具，在几分钟内遏制威胁并收集证据。然后，这些信息将被浓缩成一份事后分析报告，以帮助您改进 IRP。观看下面的视频，了解 Unit 42 专家如何作为您团队的延伸开展工作。

使用 Unit 42 预留程序，在几分钟内启动响应

使用 Unit 42 Retainer，您的组织将获得事件响应的预付积分。贵公司可以让我们的专家成为您团队的延伸，在您需要帮助时随时快速拨号。遇到问题时，你不会疯狂地寻找资源。相反，当您拨打电话时，已经熟悉您所处环境的专家将在现场提供帮助。

如果您没有在 IR 上使用所有的预聘信用额度，您可以将其重新用于 Unit 42 的任何其他网络风险管理服务，以帮助您变得更加积极主动，包括 IRP 开发、风险评估等。

进一步了解事件响应

事件响应需要随着威胁形势的不断变化而发展，而这首先需要了解最新趋势。要想准确了解事件响应的现状和未来，请查看《 2022 年 Unit 42 事件响应报告》。

Unit 42 免费电子书《 在创纪录的时间内应对威胁》提供了一份指南，帮助您的小组快速检测、应对和控制安全事件。

事件响应常见问题解答