什么是事件响应？提前规划，为下一次安全事件做好准备

事件响应定义

事件响应是组织在遭受网络攻击后采取的战略性、有组织的响应措施。响应措施根据计划程序执行，旨在限制损害并修复系统中被攻破的漏洞。

IT 专业人员使用事件响应计划来管理安全事件。制定明确的事件响应计划可以限制攻击损害、降低成本并在发生安全漏洞后节省时间。

网络攻击或数据泄露可能会对组织造成巨大损害，可能影响其客户、品牌价值、知识产权以及时间和资源。事件响应旨在减少攻击造成的损害并帮助组织尽快恢复。

事件响应计划为何如此重要

随着网络攻击的频率、规模和复杂程度不断增加，事件响应计划在组织的信息安全防御中发挥着越来越重要的作用。组织必须在事件发生前做好充分准备，以限制潜在攻击的成功和损害并最大限度地提高响应能力。

然而， Immersive Labs最近的一项研究发现，近 40% 的组织不相信他们的团队能够处理数据泄露。虽然 61% 的受访者认为制定事件响应计划是应对安全事件的最有效方法，但 40% 的受访者表示，上一次演习没有产生任何效果。

网络攻击会对品牌声誉造成破坏性影响，导致组织失去客户并遭受巨额罚款。制定应对计划并根据调查结果采取行动对于吸取教训并避免因数据丢失而受到严厉惩罚至关重要。

CSIRT：计算机安全事件响应小组

计算机或网络安全事件响应小组 (CSIRT) 由负责领导或处理事件响应的人员组成。该团队对于开展事件响应演习、提供员工培训和保持安全意识至关重要。

CSIRT 涉及多个核心角色，可以由一人或多人担任。其中包括负责做出关键决策的高级管理人员和事件经理，负责确保跟踪所有行动，并清晰记录事件、向利益相关者传达事件并上报事件。

CSIRT 还包括客户服务、人力资源、法律和公共关系部门的领导。它需要分析师、调查员和 IT 基础设施专家（通常来自外部组织）来探索、控制和补救事件。

事件响应计划的 6 个步骤

SANS 研究所将组织需要采取的事件响应步骤总结为六步计划。《事件处理程序手册》概述了企业制定自己的事件响应政策、标准和团队的基本基础。它还包括一份清单，确保在发生事件时遵循每个事件响应步骤。

首先，SANS Institute 将事件定义为组织安全受到威胁或侵犯的事件，而不是是否发生。六步计划的每个阶段都需要按顺序执行，因为每个阶段都建立在前一个阶段的基础上。

步骤 1：准备

准备是事件响应计划中最关键的阶段，因为它决定了组织在发生攻击时能够做出多好的响应。它需要实施几个关键要素，以使组织能够处理事件：

1. 政策：提供组织内部的一套书面原则、规则或实践，是提供是否发生事件的指导的关键行动。
2. 响应计划/策略：响应计划需要根据组织影响对事件进行优先排序，从单个工作站故障等小事件到服务器宕机等中等风险事件，再到部门数据被盗等高风险问题。这有助于建立管理层支持的理由并获得有效处理事件所需的资源。
3. 沟通：制定沟通计划对于确保整个 CSIRT 知道联系谁、何时联系以及为什么联系至关重要。没有计划可能会延迟响应时间并导致联系错误的人。
4. 记录：这是事件响应计划中至关重要的一步。记录事件有助于组织在事件被视为犯罪行为时提供证据。它还有助于为未来吸取教训。CSIRT 所做的一切都必须记录下来，并能够回答任何潜在的谁、什么、何时、何地和为什么的问题。
5. 团队：CSIRT 需要由来自组织内不同学科和部门的人员组成，而不仅仅是技术或安全团队。
6. 访问控制：CSIRT 还需要具有适当的权限来履行其职责。例如，拥有访问网络和系统的权限以缓解问题，并在不再需要时删除该权限。
7. 工具：软件和硬件对于帮助 CSIRT 调查事件至关重要。这些工具包括反恶意软件程序、笔记本电脑和螺丝刀。所有所需工具都必须放在“备用包”中。
8. 培训：培训对于确保团队做好应对安全事故的准备至关重要。建议定期进行演习，以便所有 CSIRT 成员在事故发生时都清楚自己的职责。

第 2 步：识别

第二阶段是检测并确定是否发生了事件。必须从各种来源（包括入侵检测系统和防火墙）收集错误消息和日志文件等信息，才能做出这一决定。如果发生了事件，应尽快报告，以便 CSIRT 有足够的时间收集证据并为下一步做好准备。CSIRT 成员也需要得到通知并开始事件响应计划流程。

例如，Fortinet FortiGuard解决方案每天分析超过 1000 亿个安全事件，以检测和防御不断演变的威胁形势。它提供实时威胁情报，保护客户免受新的高级威胁，并在发生违规行为时检测和预防违规行为。

步骤 3：遏制

一旦发现威胁，组织必须限制和防止任何进一步的损害。有几个必要的步骤可以帮助他们减轻事件的影响并防止证据被毁坏。

1. 短期遏制：旨在尽快限制损害。它可以简单到隔离受感染的机器、关闭生产服务器并将所有流量路由到故障转移服务器。
2. 系统备份：取证软件必须捕获受影响系统在事件发生期间的图像，以保存证据并了解它们是如何受到损害的。
3. 长期遏制：此步骤将暂时修复受影响的系统，以确保它们可以在重建干净系统的同时继续使用。主要重点是删除攻击者留下的帐户或后门并安装安全补丁。

第四步：根除

此阶段将移除和恢复受安全事件影响的系统。与计划的所有阶段一样，记录对于确定工时、资源成本以及攻击的总体影响至关重要。组织还必须确保已从受影响的系统中删除恶意内容，并彻底清理系统以防止再次感染的风险。

根除阶段对于帮助企业根据所吸取的教训提高防御能力和修复漏洞也至关重要，以确保其系统不会再次受到攻击。

步骤 5：恢复

此阶段可帮助组织谨慎地将受影响的系统重新纳入生产环境，并确保不会发生另一起事件。系统在重新投入生产时必须经过测试、监控和验证，以免再次被恶意软件感染或受到攻击。此处的重要决策包括：

1. 恢复运营的时间和日期。系统运营商和所有者必须根据 CSIRT 的建议做出最终决定
2. 如何测试和验证受感染系统是否干净且功能齐全
3. 监测异常行为的时长
4. 用于测试、监控和验证系统行为的工具

第 6 步：学习

对于组织来说，审查其事件响应并调整其方法以应对未来的攻击至关重要。现在需要汇编事件期间未完成的所有文档，以及可能对未来事件有益的其他信息。

报告必须对整个事件的发生过程进行逐一回顾。这将有助于 CSIRT 提高绩效，从发生的事件中吸取教训，并为未来事件提供参考资料。该报告还可以用作新员工的培训材料，并指导团队进行的任何演习。

事件发生后，应尽快召开经验教训总结会议。您的报告应涵盖以下内容：

1. 问题首次发现的时间、发现方式以及发现者
2. 事件的根本原因
3. 如何控制和根除这一问题
4. 在整个恢复过程中执行的操作
5. CSIRT 有效的领域和需要改进的领域
6. 关于如何改进 CSIRT 的建议和讨论

Fortinet 产品与服务

拥有经过验证的事件响应计划对于组织尽可能做好应对安全事件的准备至关重要。除了让合适的人员参与 CSIRT 并了解在发生事件时谁负责什么之外，企业还需要拥有合适的工具。Fortinet 提供一系列工具和技术，使企业能够检测、预防和缓解安全威胁。

其中包括功能强大的FortiSIEM ，这是 Fortinet 的安全信息和事件管理工具，可帮助组织管理和保护其日益复杂的基础设施和攻击面。另一个是精简的FortiSOAR ，这是 Fortinet 的全面安全编排、自动化和响应工具，可解决最大的安全挑战并优化流程。组织还可以使用网络安全解决方案，例如入侵防御系统 (IPS)或下一代防火墙 (NGFW) ，来识别可疑活动并保护自己免受恶意攻击。

FortiGuard 事件响应服务在安全事件发生前/发生期间/发生后提供关键服务。我们的专家为您的团队提供快速检测、调查、遏制和恢复安全运营的服务。

事件响应常见问题解答

什么是事件响应？

事件响应是网络攻击发生后使用的计划。IT 专业人员使用它来应对安全事件。

事件响应的目的是什么？

事件响应旨在减少攻击造成的损害并帮助组织尽快恢复。