安全团队必须能够尽快阻止威胁并恢复正常运营，这就是网络安全团队不仅要有正确的工具，还要了解如何有效地应对事件的原因，这一点至关重要，可以自定义诸如事件响应模板之类的资源，以定义具有角色和职责、流程和行动项核对清单的计划。

但准备工作不能止步于此，团队必须不断进行培训，以适应威胁的快速发展，必须利用每一次安全事件作为教育机会，帮助企业更好地为未来的事件做好准备，甚至预防。

SANS研究所定义了一个框架，包括成功的网络安全事件响应的六个步骤。

• 准备工作
• 身份识别
• 遏制
• 根除
• 追回
• 吸取的教训

虽然这些阶段遵循逻辑流程，但你可能需要返回到流程中的前一个阶段，以重复第一次错误或不完全完成的特定步骤。

是的，这会减慢速度，但更重要的是彻底完成每个阶段，而不是试图节省时间加快步骤。

1、准备工作

目标：让你的团队做好高效处理事件的准备

有权访问你的系统的每个人都需要为事件做好准备，而不仅仅是事件响应团队。大多数网络安全漏洞都应归咎于人为错误。因此，网络安全事件响应的第一步也是最重要的一步是教育人员要寻找什么，利用模板化的事件响应计划为所有参与者(安全负责人、运营经理、帮助台团队、身份和访问经理以及审计、合规性、沟通和管理人员)确定角色和责任，可以确保高效的协调。

攻击者将继续发展他们的社会攻击和鱼叉式网络钓鱼技术，试图在培训和认知活动中领先一步。虽然现在大多数人都知道不理睬一封写得很糟糕的电子邮件，因为它承诺用一小笔预付款来换取奖励，但一些目标会成为非工作时间短信的受害者，假装成他们的老板，请求帮助完成一项紧急的任务。为了适应这些变化，你的内部培训必须定期更新，以反映最新的趋势和技术。

你的事件响应人员-或安全操作中心(SOC，如果你有的话)-也需要定期培训，理想情况下是基于实际事件的模拟。高强度的桌面练习可以提高警惕，让你的团队有一种体验真实世界事件的感觉。你可能会发现，一些团队成员在热度很高时表现出色，而其他一些成员则需要额外的培训和指导。

你准备的另一个部分是勾勒出具体的应对策略，最常见的方法是遏制和根除这一事件，另一种选择是观察正在进行的事件，这样你就可以评估攻击者的行为并确定他们的目标，前提是这不会造成不可挽回的伤害。

除了培训和策略，技术在事件应对中发挥着巨大的作用，日志是一个关键组件。简单地说，日志记录越多，网络安全事件响应团队调查事件就越容易、越高效。

此外，通过使用具有集中控制的端点检测和响应(EDR)平台或扩展检测和响应(XDR)工具，你可以快速采取防御措施，如隔离计算机、断开它们与网络的连接以及大规模执行对抗命令。

网络安全事件响应需要的其他技术包括虚拟环境，可以在其中分析日志、文件和其他数据，以及足够的存储空间来存储这些信息。你不想在设置虚拟机和分配存储空间的过程中浪费时间。

最后，你需要一个系统来记录你对事件的调查结果，无论是使用电子表格还是专用的网络安全事件响应文档工具。你的文档应包括事件发生的时间线、受影响的系统和用户以及你发现的恶意文件和危害指示器(IOC)(包括当时和追溯的情况)。

2、身份识别

目标：检测你是否被入侵，并收集IOC

有几种方法可以确定事件已经发生或当前正在进行。

• 内部检测：你的内部监控团队或企业的其他成员可以通过一个或多个安全产品发出的警报，或在主动的威胁追踪练习中发现事件。
• 外部检测：第三方顾问或托管服务提供商可以使用安全工具或威胁追踪技术代表你检测事件，或者，业务合作伙伴可能会看到指示潜在事件的异常行为。
• 泄露的数据：最糟糕的情况是，只有在发现数据从你的环境中渗出并发布到互联网或暗网网站后，才会知道事件发生了。如果这样的数据包括敏感的客户信息，并且在你有时间准备协调一致的公开回应之前就泄露给媒体，那么影响就更严重了。

如果不警惕警觉疲劳，任何关于身份识别的讨论都是不完整的。

如果你的安全产品的检测设置拨得太高，你将收到太多有关终端和网络上不重要活动的警报，这是一种让团队不知所措的好方法，可能会导致许多被忽视的警报。

相反的情况是，你的设置拨得太低，也同样有问题，因为你可能会错过关键事件。平衡的安全态势将提供恰到好处的警报数量，这样你就可以识别值得进一步调查的事件，而不会感到警报疲劳。你的安全供应商可以帮助你找到适当的平衡，理想情况下，还可以自动过滤警报，以便你的团队能够专注于重要的事情。

在识别阶段，你将记录从警报收集的所有危害指标(IOC)，例如受危害的主机和用户、恶意文件和进程、新注册表项等。

一旦你记录了所有IOC，你将进入遏制阶段。

3、遏制

目标：将损害降至最低

遏制既是一种战略，也是国际关系中的一个明显步骤。

你将希望建立一种适合你的特定企业的方法，同时考虑到安全和业务影响。尽管将设备与网络隔离或断开连接可以防止攻击在整个企业中传播，但也可能导致重大的财务损失或其他业务影响。这些决定应该提前做出，并在你的投资者关系战略中明确阐述。

遏制可以分为短期和长期两个步骤，每一个步骤都有独特的含义。

• 短期：这包括你目前可能采取的措施，比如关闭系统、断开设备与网络的连接，以及积极观察威胁参与者的活动。每一步都有利有弊。
• 长期：最好的情况是让受感染的系统离线，这样你就可以安全地进入根除阶段。然而，这并不总是可能的，因此你可能需要采取修补、更改密码、取消特定服务等措施。

在遏制阶段，你需要确定域控制器、文件服务器和备份服务器等关键设备的优先顺序，以确保它们不会受到威胁。

此阶段的其他步骤包括记录事件期间包含的资产和威胁，以及根据设备是否受到攻击对设备进行分组。如果你不确定，就做最坏的打算。一旦对所有设备进行了分类并满足你对遏制的定义，此阶段就结束了。

额外的一步：调查

目标：确定谁、什么、何时、何地、为什么、如何

在这个阶段，值得注意的是事件响应的另一个重要方面：调查。

调查在整个事件响应过程中进行，虽然它本身不是一个阶段，但在执行每一步时都应该牢记这一点，调查旨在回答有关哪些系统被访问以及入侵来源的问题，当事件得到控制后，团队可以通过从磁盘和内存映像以及日志等来源捕获尽可能多的相关数据来促进彻底调查。

你可能熟悉术语数字取证和事件响应(DFIR)，但值得注意的是，事件响应取证的目标不同于传统取证的目标，在信息检索中，取证的主要目标是帮助尽可能有效地从一个阶段进入下一个阶段，以便恢复正常的业务运营。

数字取证技术旨在从捕获的任何证据中提取尽可能多的有用信息，并将其转化为有用的情报，有助于建立事件的更完整图景，甚至有助于起诉坏人。

为已发现的构件添加上下文的数据点可能包括攻击者如何进入网络或四处移动、访问或创建了哪些文件、执行了哪些进程等。当然，这可能是一个耗时的过程，可能会与事件响应冲突。

值得注意的是，DFIR自这个术语首次被创造以来已经发生了演变。如今，企业拥有成百上千台计算机，每台计算机都有数百GB甚至数TB的存储空间，因此从所有受损计算机捕获和分析完整磁盘映像的传统方法已不再实用。

目前的情况需要一种更外科的方法，即捕获和分析来自每台受危害机器的特定信息。

4、根除

目标：确保完全消除威胁

遏制阶段完成后，你可以转移到根除，这可以通过磁盘清理、恢复到干净备份或完全磁盘重新映像来处理，清除需要删除恶意文件以及删除或修改注册表项，重新映像意味着重新安装操作系统。

在采取任何行动之前，事件响应团队需要参考任何组织策略，例如，要求在发生恶意软件攻击时重新映像特定计算机。

与前面的步骤一样，文件在根除过程中发挥了作用。事件响应团队应仔细记录在每台机器上采取的操作，以确保不会遗漏任何内容。作为另一项检查，你可以在根除过程完成后对系统执行主动扫描，以查找该威胁的任何证据。

5、恢复

目标：恢复正常运营

你们所有的努力都引领着我们来到这里!恢复阶段是指你可以像往常一样恢复业务。在这一点上，确定何时恢复操作是关键决策。理想情况下，这可以毫不延迟地进行，但可能需要等待组织的非工作时间或其他静默期。

再检查一次，以验证恢复的系统上是否没有任何IOC。你还需要确定根本原因是否仍然存在，并实施适当的修复。

现在你已经了解了这种类型的事件，你将能够在未来对其进行监控并建立保护性控制。

6、吸取的教训

目标：记录所发生的事情并提高自己的能力

现在事件已经过去了，是时候反思事件响应的每个主要步骤并回答关键问题了，有很多问题和方面需要提出和审查，下面是几个例子：

• 识别：在最初的妥协发生后，需要多长时间才能检测到事件?
• 遏制：花了多长时间才控制住事件?
• 根除：根除后，你是否仍发现恶意软件或受攻击的迹象?

探讨这些问题将帮助你后退一步，重新考虑基本的问题，比如：我们有正确的工具吗?我们的员工是否接受了应对事故的适当培训?

然后循环返回到准备阶段，你可以在此进行必要的改进，例如更新事件响应计划模板、技术和流程，并为你的员工提供更好的培训。

确保安全的4个专业提示

让我们用4个最后的建议来结束吧，记住：

• 日志越多，调查就越容易。确保尽可能多地记录日志，以节省金钱和时间。
• 通过模拟针对你网络的攻击来做好准备。这将揭示你的SOC团队如何分析警报及其通信能力——这在实际事件中至关重要。
• 人是企业安全态势不可或缺的一部分。你知道95%的网络入侵都是人为错误造成的吗?这就是定期对终端用户和安全团队这两组人进行培训很重要的原因。
• 考虑让专门的第三方事件响应团队随叫随到，他们可以立即介入，帮助你的团队解决可能无法解决的更困难的事件，这些团队可能已经解决了数百起事件，他们将拥有事件响应经验和必要的工具，以迅速启动并加速你的事件响应。