案例研究：事件响应公司如何选择IR工具

如今，许多公司都制定了网络安全事件响应（IR）计划。制定全面的IR计划，帮助组织有序、理性地应对突发安全事件，这是一种良好的安全实践。否则，该组织将制定一个计划，同时疯狂地应对这一事件，这是一个容易出错的配方。

重量级拳击手迈克·泰森（Mike Tyson）曾经说过：“每个人都有一个计划，直到他们被打到嘴巴。”

重大网络安全事件对网络安全团队乃至整个组织来说都是一记重拳。至少一开始是这样。

制定事故响应计划无疑是明智之举，但它只是让组织走到了目前为止。根据事件的严重程度和被破坏组织内部的网络安全专业知识水平，网络安全事件通常会导致组织内部的恐慌和混乱–；不管有没有计划。

让勒索软件锁定系统和数据，或者不知道隐藏在网络上的潜在入侵者是否在继续破坏和泄露数据，这是非常令人不安的。

大多数违规组织首先要做的事情之一就是召集一个经验丰富的第三方事件响应团队。许多IR供应商遵循SANS协会在一本20页的事件处理手册中定义的结构化6步流程。概述的六个步骤是：

• Preparation—审查并编纂组织安全政策，执行风险评估，识别敏感资产，定义团队应关注的关键安全事件，并建立计算机安全事件响应团队（CSIRT）。
• Identification—监控IT系统，检测与正常操作的偏差，看看它们是否代表实际的安全事件。发现事故后，收集额外证据，确定其类型和严重程度，并记录所有情况。
• Containment—执行短期遏制，例如隔离受到攻击的网段。然后关注长期控制，包括临时修复，以允许系统在生产中使用，同时重建清洁系统。
• Eradication—从所有受影响的系统中删除恶意软件，找出攻击的根本原因，并采取措施防止将来发生类似的攻击。
• Recovery—小心地让受影响的生产系统重新联机，以防止额外的攻击。测试、验证和监控受影响的系统，以确保它们恢复正常活动。
• Lessons learned—在事件结束后的两周内，对事件进行回顾。准备事件的完整文件，进一步调查事件，了解采取了哪些措施来控制事件，以及事件响应过程中是否有任何地方可以改进。

BugSec是全球领先的事件响应提供商之一。当出现妥协时，组织会联系BugSec，但该公司（及其当前的安全提供商）无法准确地找出问题所在。

该公司可能感染了勒索软件，但无法确定它是如何部署的，以及对手是否可以访问网络。也许该公司意识到知识产权被盗，不知道信息是如何被过滤的。

BugSec团队的首要任务是找出发生了哪些恶意行为，以及对手是如何危害组织的。一旦BugSec能够识别并控制事件，他们就可以完全消除所有攻击组件和工件，然后完全恢复操作。

BugSec如何完成识别、遏制和补救全范围网络攻击的艰巨任务？

BugSec几乎所有的IR业务都依赖Cynet 360这样的工具。Cynet免费为IR提供商提供平台。Cynet代理可以在数小时内部署到数千个端点，并立即提供对端点、进程、文件、网络流量、用户帐户等的可见性。

该平台能够自动检测异常情况，并能快速查明攻击的根本原因，并充分暴露其范围。

此外，Cynet“即时”消除了主动威胁，可用于整个环境中更复杂的修复。可以轻松配置和部署定制的修复手册，以便在整个环境中完全消除复杂的攻击组件，从而快速恢复操作。有关BugSec如何与Cynet合作的更多信息，请参见此处。

有一天，你可能会被一个非常能干的网络罪犯打到嘴巴。只要记住，当你的IR计划似乎要崩溃时，专家们随时准备帮助你恢复。