事件回應是調查和補救貴組織主動式攻擊活動的做法。 事件回應是安全作業(SecOps)領域的一部分,主要具有反應性特質。
事件回應對平均回應時間(MTTA)和平均補救時間(MTTR)具有最大的直接影響,這些指標可以衡量安全運營在降低組織風險方面的效果。 事件回應小組嚴重依賴威脅搜捕、情報和事件管理小組(如果有的話)之間的良好工作關係,以實際降低風險。 如需詳細資訊,請參閱 SecOps 計量。
如需安全性作業角色和責任的詳細資訊,請參閱 雲端SOC函式。
事件回應程式
第一個步驟是 備妥 事件回應計劃,其中包含響應網路安全事件的內部和外部程式。 計劃應詳細說明貴組織應如何:
- 根據業務風險和事件影響的不同,解決對策應對的攻擊類型也會有所不同,從導致孤立網站無法使用的問題,到管理員等級憑證遭到妥協。
- 定義回應的目的,例如返回服務或處理攻擊的法律或公共關係層面。
- 根據應該處理事件及其工作的人員數目,排定需要完成的工作優先順序。
請參閱事件響應規劃一文,以瞭解您應該考慮納入事件響應計劃中的活動檢查清單。 一旦事件回應計劃就緒,請定期測試最嚴重類型的網路攻擊,以確保您的組織能夠快速且有效率地回應。
雖然每個組織的事件回應程式可能會根據組織結構和功能和歷程記錄體驗而有所不同,但請考慮本文中的一組建議和最佳做法,以回應安全性事件。
在事件期間,請務必:
保持冷靜
事件非常具有破壞性,而且可能會情感高漲。 保持冷靜,並專注於優先處理最有影響力的行動。
不造成傷害
確認您的回應已經過設計和執行,以避免資料遺失、業務關鍵功能損失,以及證據遺失。 避免可能會損害您建立鑑識時間軸、找出根本原因,以及吸取重要教訓的決策。
牽涉到您的法律部門
判斷他們是否計劃涉及執法部門,以便您可以適當規劃調查和復原程式。
公開分享事件的相關信息時請小心
確認您與客戶和公眾共用的任何專案都是根據法律部門的建議。
視需要取得協助
在調查和回應來自複雜攻擊者的攻擊時,深入瞭解專業知識和經驗。
與診斷和治療醫療疾病一樣,重大事件的網路安全調查和回應需要保護兩者:
- 至關重要(無法暫停運作以進行維修或處理)。
- 複雜(通常超出了任何人的理解範圍)。
在事故發生時,您必須達到這些關鍵平衡:
速度
在快速採取行動以滿足利害關係人需求,與因匆忙決策所帶來的風險之間求取平衡。
共用資訊
根據法律部門的建議,通知調查人員、項目關係人和客戶,以限制責任,並避免設定不切實際的期望。
本文旨在藉由找出常見的錯誤,並針對您可以快速採取哪些動作來降低風險並符合項目關係人需求,進而降低組織的網路安全性事件風險。
注意
如需有關為貴組織準備應對勒索軟體及其他類型的多階段攻擊的指引,請參閱準備復原計劃。
回應最佳做法
透過這些建議,可以從技術和作業的觀點有效地回應事件。
注意
如需更詳細的產業指引,請參閱 NIST 計算機安全性事件處理指南。
技術回應最佳做法
針對事件回應的技術層面,有幾個需要考慮的目標:
嘗試識別攻擊作業的範圍。
大部分的敵人都使用多個持續性機制。
盡可能識別攻擊的目標。
持續性攻擊者在未來的攻擊中,經常會再次針對其目標(數據/系統)進行嘗試。
以下是一些實用的秘訣:
不要將檔案上傳至在線掃描器
許多對手監控像是 VirusTotal 等服務上的實例數量,以發現目標性惡意軟體。
仔細考慮修改
除非您面臨即將失去業務關鍵數據的威脅,例如刪除、加密或外洩,否則請權衡不做修改的風險與預期的業務影響。 例如,在主動式攻擊期間,可能需要暫時關閉組織的因特網存取,以保護業務關鍵資產。
如果需要變更,其中不執行動作的風險高於執行動作的風險,請在變更記錄檔中記錄動作。 事件回應期間所做的變更著重於中斷攻擊者,並可能對業務造成負面影響。 在恢復程序之後,您必須恢復這些變更。
不要一直調查下去
您必須無情地排定調查工作的優先順序。 例如,只對攻擊者已使用或修改的端點執行鑑識分析。 例如,在攻擊者具有系統管理許可權的重大事件中,實際上不可能調查所有可能遭入侵的資源(這可能包括所有組織資源)。
共用資訊
確認所有調查小組,包括所有內部小組和外部調查人員或保險提供者,都會根據您的法律部門的建議彼此共享數據。
存取正確的專業知識
確認您已將系統深入知識的人員整合到調查中,例如內部員工或廠商等外部實體,而不只是安全性一般主義者。
預期回應能力降低
請做好因情境壓力導致您的 50% 員工僅能以正常產能的 50% 運作的規劃。
與利害關係人溝通的重要期望是,您可能永遠無法識別初始攻擊,因為在調查開始前所需的識別數據已被刪除,例如攻擊者透過日誌滾動來隱藏其痕跡。
作業回應最佳做法
針對事件回應的安全性作業 (SecOps) 層面,有幾個需要考慮的目標:
保持專注
確認您專注於業務關鍵數據、對客戶的影響,以及準備好進行補救。
提供協調與明確的角色定位
為支援危機小組的作業建立不同的角色,並確認技術、法律和通訊小組彼此保持知情。
保持業務觀點
您應該一律考慮對手動作和您自己的回應動作對商務作業的影響。
以下是一些實用的秘訣:
-
如果您沒有管理安全性事件的永久組織,建議您使用ICS作為暫時組織結構來管理危機。
保持持續中的每日作業不變
請確保一般的 SecOps 不會被完全忽視,而無法支持事件調查。 這項工作仍然需要完成。
避免浪費開支
許多重大事件導致在壓力下購買昂貴的安全性工具,而這些工具從未被部署或使用。 如果您在調查期間無法部署和使用工具,包括僱用和訓練更多具有操作工具所需的技能集的員工,請延遲取得,直到完成調查為止。
存取深入的專業知識
確認您有能力將問題和議題升級至重要平臺上的資深專家。 這項功能可能需要存取商務關鍵系統和全企業元件的作業系統和應用程式廠商,例如桌面和伺服器。
建立資訊流程
為資深事件回應領導者和組織項目關係人之間的資訊流程設定明確的指引和期望。 如需詳細資訊,請參閱 事件響應規劃。
復原最佳做法
有了這些建議,可以從技術和作業的角度有效地回復事件。
技術復原最佳做法
針對從事件復原的技術層面,以下是要考慮的一些目標:
不要煮海
限制您的響應範圍,以便在 24 小時內執行復原作業。 規劃周末時考量到突發情況和矯正措施。
避免干擾
延遲長期安全性投資,例如實作大型且複雜的新安全性系統,或取代反惡意代碼解決方案,直到復原作業之後為止。 對目前復原作業沒有直接和立即影響的任何事物都是一種干擾。
以下是一些實用的秘訣:
永遠不要一次重設所有密碼
密碼重設應先根據您的調查著重於已知的遭入侵帳戶,而且可能是系統管理員或服務帳戶。 如有需要,用戶密碼應僅以分段和控制的方式重設。
集中執行復原工作
除非您面臨遺失業務關鍵數據迫在眉睫的威脅,否則您應該規劃合併作業,以快速補救所有遭入侵的資源(例如主機和帳戶),而不是在您找到資源時補救遭入侵的資源。 壓縮此時間範圍會使攻擊運算符難以調整和維護持續性。
使用現有的工具
研究及使用您在嘗試在復原期間部署及學習新工具之前所部署的工具功能。
避免洩漏消息給對手
實際上,您應該採取步驟來限制敵人關於復原作業的資訊。 敵人通常會在重大網路安全事件中存取所有生產數據和電子郵件。 但實際上,大多數攻擊者沒有時間監視所有通訊。
Microsoft 的安全性作業中心(SOC)會使用測試用 Microsoft 365 租戶,以確保事件回應小組成員之間的安全通訊和協作。
作業復原最佳做法
針對從事件復原的作業層面,以下是要考慮的一些目標:
有明確的計劃和有限的範圍
與您的技術小組密切合作,以建置範圍有限的明確計劃。 雖然計劃可能會根據對手活動或新資訊而改變,但您應該努力限制範圍擴充,並承擔更多任務。
擁有明確的計劃擁有權
復原作業牽涉到許多人一次執行許多不同的工作,因此請為作業指定項目負責人,以便明確決策和明確資訊,以在危機小組之間流動。
維護項目關係人通訊
請與通訊小組合作,為組織項目關係人提供及時更新和主動的期望管理。
以下是一些實用的秘訣:
瞭解您的功能和限制
管理重大安全性事件非常具有挑戰性、非常複雜,而且對業界許多專業人員來說都是全新的。 如果您的小組不知所措或不確定接下來要做什麼,您應該考慮從外部組織或專業服務引進專業知識。
擷取所學的經驗教訓
建置並持續改善針對 SecOps 角色的特定手冊,即使這是您第一次面對沒有書面程式的事件。
如果不進行練習或預先準備,執行層和董事會層級的事件回應通訊可能會充滿挑戰。 請確定您有溝通計劃來管理進度報告和復原預期。
SecOps 的事件回應程式
請考慮此關於 SecOps 和員工事件回應程式的一般指引。
1. 決定並採取行動
在 Microsoft Sentinel 或 Microsoft Defender XDR 等威脅偵測工具偵測到可能的攻擊之後,就會建立事件。 SOC 回應性的平均應答時間(MTTA)測量從您的安全人員注意到攻擊的那一刻開始。
當班的分析師被委派或主動取得事件的擁有權,並進行初步分析。 此時間戳記標誌著 MTTA 回應性測量的結束,同時開始平均補救時間(MTTR)測量。
身為負責事件的分析師,能夠建立足夠的信心以了解攻擊的情況和範圍時,他們可以快速轉向規劃和執行清除措施。
根據攻擊的性質和範圍,您的分析師可以在進行中清除攻擊遺留物(例如電子郵件、端點和身分識別),或者他們可能會建置一份遭入侵的資源清單,以便一次性清除所有(稱為 Big Bang 作業)。
當您去時清除
針對在攻擊作業早期偵測到的大部分典型事件,分析師可以在發現痕跡後立即清除。 這種做法使對手處於不利地位,並防止他們前進到下一個階段的攻擊。
準備大爆炸
這個方法適用於敵人已經入侵並且在您的環境中建立了冗餘存取機制的情況。 在 Microsoft 事件回應小組調查的客戶事件中,經常能看到這種做法。 在這種方法中,分析師應該避免在完全發現攻擊者存在之前驚動對手,因為出其不意有助於完全中斷其行動。
Microsoft瞭解到,部分的補救措施常常會讓對手警覺,這給予他們機會做出反應,迅速惡化事件。 例如,攻擊者可以擴大攻擊範圍,變更其存取方法以逃避偵測,掩蓋其行踪,以及造成數據和系統的損害和破壞,以報復。
清除網路釣魚和惡意電子郵件通常可以在不驚動攻擊者的情況下完成,但清除主機上的惡意軟體並重新取得帳戶控制則很可能會被發現。
這些決策不容易做,對於做出這些判斷來說,經驗是無可替代的。 在您的 SOC 中,協作的工作環境和文化有助於確保分析師能夠利用彼此的經驗。
特定回應步驟取決於攻擊的性質,但分析師所使用的最常見程式可能包括:
用戶端端點 (裝置)
隔離端點,並連絡使用者或IT作業/技術服務人員以起始重新安裝程式。
伺服器或應用程式
請與IT作業和應用程式擁有者合作,以安排這些資源的快速補救。
使用者帳戶
停用帳戶並重設遭入侵帳戶的密碼,以回收控制權。 隨著使用者轉換到使用 Windows Hello 或其他形式的多因素驗證(MFA)的無密碼驗證,這些程序可能會演變。 另一個步驟是讓使用 Microsoft Defender for Cloud Apps 帳戶的所有驗證令牌過期。
您的分析師還可以檢查 MFA 方法的電話號碼和裝置註冊,以確保它們未被劫持,必要時可以與用戶聯繫並重設這些信息。
服務帳戶
由於存在對服務或業務影響的高風險,您的分析師應與記錄在案的服務帳戶擁有者合作,並在需要時依靠 IT 作業,以安排對這些資源的快速補救。
電子郵件
刪除攻擊或網路釣魚電子郵件,有時徹底清除,以防止用戶復原已刪除的電子郵件。 請一律儲存原始電子郵件的復本,以供稍後搜尋攻擊後分析,例如標頭、內容和腳本或附件。
其他
您可以根據攻擊的性質來執行自定義動作,例如撤銷應用程式令牌並重新設定伺服器和服務。
2. 事件後清除
直到您改變未來的行動之前,您不會從學到的經驗中獲益,因此務必將從調查中獲得的任何實用資訊整合回您的 SecOps。
透過相同的威脅執行者或方法判斷過去和未來事件之間的連線,並擷取這些學習,以避免在未來重複手動工作和分析延遲。
這些學習可以採用許多形式,但常見的做法包括分析:
入侵指標(IoC)。
將您的SOC威脅情報系統記錄任何適用的IoC,例如檔案哈希、惡意IP位址和電子郵件屬性。
未知或未修補的弱點。
您的分析師可以啟動流程,以確保遺漏的安全性修補程式能夠被套用,修正錯誤的配置設定,將「零日」弱點通知廠商(包括 Microsoft),以便建立及發佈安全性修補程式。
內部動作,例如啟用涵蓋雲端式和內部部署資源的資產記錄。
檢閱現有的安全性基準,並考慮新增或變更安全性控制。 例如,請參閱 Microsoft Entra 安全性作業指南 ,以取得在下一個事件發生之前啟用目錄中適當層級稽核的資訊。
檢閱您的回應程式,以識別並解決事件期間發現的任何差距。
事件回應資源
- 規劃 安全營運中心 (SOC)
- 應用手冊,提供響應常見攻擊方法的詳細指導
- Microsoft Defender XDR 事件響應
- 適用於雲端的 Microsoft Defender (Azure)
- Microsoft Sentinel 事件回應
- Microsoft事件回應小組指南會分享安全性小組和領導者的最佳做法
- Microsoft事件回應指南可協助安全性小組分析可疑活動
微軟重要安全資源
| 資源 | 描述 |
|---|---|
| 2023 Microsoft 數位防禦報告 | 報告匯集來自Microsoft的安全專家、從業者和防禦者的經驗,旨在使世界各地的人們能夠抵禦網路威脅。 |
| Microsoft 網路安全性參考結構 | 一組可視化架構圖表,顯示Microsoft的網路安全性功能及其與Microsoft雲端平臺的整合,例如Microsoft 365 和 Microsoft Azure 和第三方雲端平臺和應用程式。 |
| 分秒必爭信息圖 下載 | Microsoft SecOps 小組如何執行事件回應以減輕持續攻擊的概觀。 |
| Azure 雲端採用架構 安全性作業 | 建立或現代化安全性作業功能領導者的戰略指導方針。 |
| Microsoft安全性營運最佳實務 | 如何最佳利用 SecOps 中心,以比針對您組織的攻擊者更快的速度行動。 |
| Microsoft IT 架構設計人員模型的雲端安全性 | 跨Microsoft雲端服務和平台的安全性,以進行身分識別和裝置存取、威脅防護和信息保護。 |
| Microsoft 安全性文件 | Microsoft的其他安全性指引。 |