事件响应的黄金时刻

在重大事件中，找出该做什么往往是一项艰巨的任务。此外，不安感通常会妨碍事件响应分析师做出有效决策。然而，保持冷静的头脑和有计划的行动对于成功处理网络安全事件至关重要。本博客将详细阐述一些关键点，以帮助读者更好地执行事件响应程序。

准备是必要的

在处理任何事件之前，安全分析师需要了解大量信息。首先，事件响应分析师需要熟悉自己的角色和职责。过去几年，IT基础设施发展迅速。例如，我们观察到云计算和数据存储的发展趋势越来越大。快速变化的IT环境经常要求分析师更新他们的技能，比如学习云安全。因此，分析人员需要进行实际操作，并维护所有系统拓扑的完整画面。在现实世界中，外部CSIRT分析师应该快速识别其负责的所有资产。同时，内部CSIRT分析师还应积极参与安全漏洞管理和发现扫描过程。

收集信息的质量决定了事件响应的结果。此外，CSIRT分析师还需要了解他们将面临的威胁。随着防御性网络安全技术的日新月异，威胁行为体正蓄势待发。例如，根据2020年的一篇论文，前十大勒索软件参与者中有四个现在正在使用“勒索软件即服务”的商业模式[1]。这种模式表明，由于缺乏利用此类攻击的技术要求，恶意参与者将更容易部署勒索软件。毕竟，CSIRT团队需要确定他们可能遇到的主要威胁。

例如，CSIRT专家可能会看到常见的恶意软件，并得出结论认为不存在其他威胁。但当这种情况出现在更敏感的场景中时，比如能源部门的攻击，他们将不得不进行批判性思考，并寻找非常规的攻击方法。为了有效地准备应对事件，分析人员需要熟悉他们将使用的基础设施以及他们将面临的网络安全威胁。

建立健全的程序

了解只是成功的一半，当警报响起时，我们需要迅速让自己冷静下来，并计划回答第一个问题：“我应该在第一个小时做什么？”“关键事件的阶段”一文将关键事件的第一个小时称为“危机阶段”，其“特点是混乱、恐慌、赶赴现场和僵局”[2] 训练有素的CSIRT分析师在调查中善于运用洞察力。

另一方面，在许多情况下，它们可能容易出现信息模糊、无法在有限的时间范围内实现解决方案以及缺乏运营管辖权的情况。在这种情况下，事件响应团队必须亲自处理问题，明确表达他们的专业知识，并推动他们的操作。

在进行调查和根本原因分析时，事件响应团队经常陷入寻找谜题缺失部分的困境。这些困难导致怀疑和犹豫不决。

在此类事件中，分析人员经常猜测事件是由一种或多种不确定的违约可能性造成的。在这种情况下，建议他们假设最有可能的原因并采取相应的行动。在第一个小时里，时间是必不可少的。就像参加时间有限的考试一样，跳过你首先遇到的问题。

如今，由于广泛采用的端点检测和响应（EDR）技术，事件响应控制过程往往被简化，只需按下一个按钮即可提供网络控制功能。尽管如此，即使使用传统的网络遏制工具，遏制网络也并不总是一件容易的事情。当安全选项可用时，人们并不总是选择更安全的选项。但俗话说，安全总比后悔好！

找出到底发生了什么，缩小差距

也许一个小时后，谜题仍有残缺。现在，花点时间思考一下所有的可能性并列出一个清单是个好主意。

例如，我处理了一个安全事件，攻击者在服务器上启动了一个反向shell。我立即决定控制服务器并收集所有证据。但我和我的队友仍然无法确定服务器是如何受损的，所以我们列出了所有可访问的服务，并检查了每个服务的相关日志。

最初的猜测将IT运营工具作为妥协的指标。但最终，我们排除了所有可能性，推翻了这种猜测，并得出结论，其web服务中肯定存在固有的安全缺陷。

在违约后分析期间，CSIRT分析师在连接这些点时可能会遇到挫折。但只要有足够的耐心和正确的心态，真相总会占上风。