事件回應概觀
事件回應是調查和補救貴組織主動式攻擊活動的做法。 事件回應是安全性作業 (SecOps) 專業領域的一部分,主要是反應本質。
事件回應對整體平均時間(MTTA)和補救的平均時間具有最大的直接影響,可衡量安全性作業如何降低組織風險。 事件回應小組嚴重依賴威脅搜捕、情報和事件管理小組(如果有的話)之間的良好工作關係,以實際降低風險。 如需詳細資訊,請參閱 SecOps 計量。
如需安全性作業角色和責任的詳細資訊,請參閱 雲端SOC函式。
事件回應程式
第一個步驟是 備妥 事件回應計劃,其中包含響應網路安全事件的內部和外部程式。 計劃應詳細說明貴組織應如何:
- 解決因業務風險和事件影響而有所不同的攻擊,可能會因已無法再用於系統管理員層級認證的隔離網站而有所不同。
- 定義回應的目的,例如返回服務或處理攻擊的法律或公共關係層面。
- 根據應該處理事件及其工作的人員數目,排定需要完成的工作優先順序。
請參閱事件響應規劃一文,以瞭解您應該考慮納入事件響應計劃中的活動檢查清單。 一旦事件回應計劃就緒,請定期測試最嚴重類型的網路攻擊,以確保您的組織能夠快速且有效率地回應。
雖然每個組織的事件回應程式可能會根據組織結構和功能和歷程記錄體驗而有所不同,但請考慮本文中的一組建議和最佳做法,以回應安全性事件。
在事件期間,請務必:
保持冷靜
事件非常具有破壞性,而且可能受到情感指控。 保持冷靜,並專注於優先處理最有影響力的行動。
不造成傷害
確認您的回應是設計和執行的方式,以避免遺失數據、遺失業務關鍵功能,以及遺失辨識項。 避免可能會損害您建立鑑識時間軸、找出根本原因,以及吸取重要教訓的決策。
牽涉到您的法律部門
判斷他們是否計劃涉及執法部門,以便您可以適當規劃調查和復原程式。
公開分享事件的相關信息時請小心
確認您與客戶和公眾共用的任何專案都是根據法律部門的建議。
視需要取得協助
在調查和回應來自複雜攻擊者的攻擊時,深入瞭解專業知識和經驗。
與診斷和治療醫療疾病一樣,重大事件的網路安全調查和回應需要保護兩者:
- 至關重要(無法關閉才能處理它)。
- 複雜(通常超出了任何人的理解範圍)。
在事件期間,您必須達到這些重大平衡:
速度
平衡需要快速採取行動,以滿足項目關係人與急忙決策的風險。
共用資訊
根據法律部門的建議,通知調查人員、項目關係人和客戶,以限制責任,並避免設定不切實際的期望。
本文旨在藉由找出常見的錯誤,並針對您可以快速採取哪些動作來降低風險並符合項目關係人需求,進而降低組織的網路安全性事件風險。
注意
如需準備貴組織進行勒索軟體和其他多階段攻擊類型的詳細資訊指引,請參閱 準備復原計劃。
回應最佳做法
透過這些建議,可以從技術和作業的觀點有效地回應事件。
注意
如需更詳細的產業指引,請參閱 NIST 計算機安全性事件處理指南。
技術回應最佳做法
針對事件回應的技術層面,有幾個需要考慮的目標:
嘗試識別攻擊作業的範圍。
大部分的敵人都使用多個持續性機制。
盡可能識別攻擊的目標。
持續性攻擊者在未來的攻擊中,經常會傳回其目標(數據/系統)。
以下是一些實用的秘訣:
不要將檔案上傳至在線掃描器
許多敵人監視實例計數的服務,例如 VirusTotal 來探索目標惡意代碼。
仔細考慮修改
除非您面臨即將失去業務關鍵數據的威脅,例如刪除、加密和外泄,否則請平衡未對預計業務影響進行修改的風險。 例如,在主動式攻擊期間,可能需要暫時關閉組織的因特網存取,以保護業務關鍵資產。
如果需要變更,其中不執行動作的風險高於執行動作的風險,請在變更記錄檔中記錄動作。 事件回應期間所做的變更著重於中斷攻擊者,並可能對業務造成負面影響。 復原程序之後,您必須復原這些變更。
不要永遠調查
您必須無情地排定調查工作的優先順序。 例如,只對攻擊者已使用或修改的端點執行鑑識分析。 例如,在攻擊者具有系統管理許可權的重大事件中,實際上不可能調查所有可能遭入侵的資源(這可能包括所有組織資源)。
共用資訊
確認所有調查小組,包括所有內部小組和外部調查人員或保險提供者,都會根據您的法律部門的建議彼此共享數據。
存取正確的專業知識
確認您已將系統深入知識的人員整合到調查中,例如內部員工或廠商等外部實體,而不只是安全性一般主義者。
預期回應能力降低
規劃 50% 的員工因情況壓力而運作正常容量的 50%。
與項目關係人一起管理的關鍵期望是,您可能永遠無法識別初始攻擊,因為調查開始前已刪除識別所需的數據,例如攻擊者透過記錄滾動來涵蓋其追蹤。
作業回應最佳做法
針對事件回應的安全性作業 (SecOps) 層面,有幾個需要考慮的目標:
保持專注
確認您專注於業務關鍵數據、對客戶的影響,以及準備好進行補救。
提供協調和角色清楚
為支援危機小組的作業建立不同的角色,並確認技術、法律和通訊小組彼此保持知情。
保持業務觀點
您應該一律考慮對手動作和您自己的回應動作對商務作業的影響。
以下是一些實用的秘訣:
-
如果您沒有管理安全性事件的永久組織,建議您使用ICS作為暫時組織結構來管理危機。
保持持續中的每日作業不變
請確定一般 SecOps 並未完全排入支援事件調查。 這項工作仍然需要完成。
避免浪費開支
許多重大事件會導致在從未部署或使用的壓力下購買昂貴的安全性工具。 如果您在調查期間無法部署和使用工具,包括僱用和訓練更多具有操作工具所需的技能集的員工,請延遲取得,直到完成調查為止。
存取深入的專業知識
確認您有能力將問題和問題呈報給重要平臺上的深入專家。 這項功能可能需要存取商務關鍵系統和全企業元件的作業系統和應用程式廠商,例如桌面和伺服器。
建立資訊流程
為資深事件回應領導者和組織項目關係人之間的資訊流程設定明確的指引和期望。 如需詳細資訊,請參閱 事件響應規劃。
復原最佳做法
有了這些建議,從事件回復就技術和作業上可以有效完成。
技術復原最佳做法
針對從事件復原的技術層面,以下是要考慮的一些目標:
不要煮海
限制您的響應範圍,以便在 24 小時內執行復原作業。 規劃在周末考慮偶發事件和矯正措施。
避免干擾
延遲長期安全性投資,例如實作大型且複雜的新安全性系統,或取代反惡意代碼解決方案,直到復原作業之後為止。 對目前復原作業沒有直接和立即影響的任何專案都是分散注意力。
以下是一些實用的秘訣:
永遠不要一次重設所有密碼
密碼重設應先根據您的調查著重於已知的遭入侵帳戶,而且可能是系統管理員或服務帳戶。 如有需要,用戶密碼應僅以分段和控制的方式重設。
合併復原工作的執行
除非您面臨遺失業務關鍵數據迫在眉睫的威脅,否則您應該規劃合併作業,以快速補救所有遭入侵的資源(例如主機和帳戶),而不是在您找到資源時補救遭入侵的資源。 壓縮此時間範圍會使攻擊運算符難以調整和維護持續性。
使用現有的工具
研究及使用您在嘗試在復原期間部署及學習新工具之前所部署的工具功能。
避免從對手中小費
實際上,您應該採取步驟來限制敵人關於復原作業的資訊。 敵人通常會在重大網路安全事件中存取所有生產數據和電子郵件。 但實際上,大多數攻擊者沒有時間監視所有通訊。
Microsoft 的安全性作業中心 (SOC) 會使用非生產 Microsoft 365 租用戶來保護事件回應小組成員的安全通訊和共同作業。
作業復原最佳做法
針對從事件復原的作業層面,以下是要考慮的一些目標:
有明確的計劃和有限的範圍
與您的技術小組密切合作,以建置範圍有限的明確計劃。 雖然計劃可能會根據對手活動或新資訊而改變,但您應該努力限制範圍擴充,並承擔更多任務。
擁有明確的計劃擁有權
復原作業牽涉到許多人一次執行許多不同的工作,因此請為作業指定項目負責人,以便明確決策和明確資訊,以在危機小組之間流動。
維護項目關係人通訊
請與通訊小組合作,為組織項目關係人提供及時更新和主動的期望管理。
以下是一些實用的秘訣:
瞭解您的功能和限制
管理重大安全性事件非常具有挑戰性、非常複雜,而且對業界許多專業人員來說都是全新的。 如果您的小組不知所措或不確定接下來要做什麼,您應該考慮從外部組織或專業服務引進專業知識。
擷取學到的課程
建置並持續改善 SecOps 的角色特定手冊,即使這是您的第一個事件,也不需要任何書面程式。
如果不是練習或預期,事件回應的執行和董事會層級通訊可能會具有挑戰性。 請確定您有溝通計劃來管理進度報告和復原預期。
SecOps 的事件回應程式
請考慮此關於 SecOps 和員工事件回應程式的一般指引。
1. 決定並採取行動
在 Microsoft Sentinel 或 Microsoft Defender 全面偵測回應 等威脅偵測工具偵測到可能的攻擊之後,就會建立事件。 SOC 回應性的平均通知時間(MTTA)測量從安全性人員注意到攻擊的時間開始。
輪班分析師會委派或取得事件的擁有權,並執行初始分析。 時間戳是 MTTA 回應性測量的結尾,並開始進行平均補救時間(MTTR) 測量。
身為擁有事件的分析師,能夠開發足夠的信心,讓他們了解攻擊的故事和範圍,他們可以快速轉向規劃和執行清除動作。
根據攻擊的性質和範圍,您的分析師可以清除攻擊成品,因為他們去(例如電子郵件、端點和身分識別),或者他們可能會建置一份遭入侵的資源清單,以立即清除全部 (稱為 Big Bang)
當您去時清除
針對在攻擊作業早期偵測到的大部分典型事件,分析師可以在發現成品時快速清除成品。 這種做法使對手處於不利地位,並防止他們前進到下一個階段的攻擊。
準備大爆炸
這個方法適用於敵人已經定居並建立環境的備援存取機制的案例。 Microsofts 事件回應小組調查的客戶事件中經常看到這種做法。 在這種方法中,分析師應該避免在完全探索攻擊者存在之前,避免向對手傾斜,因為意外有助於完全中斷其作業。
Microsoft瞭解到,部分補救通常會提示敵人,這讓他們有機會做出反應,並迅速使事件變得更糟。 例如,攻擊者可以進一步散佈攻擊、變更其存取方法以逃避偵測、涵蓋其追蹤,以及造成數據和系統損毀,以報復。
清除網路釣魚和惡意電子郵件通常不需要提示攻擊者即可完成,但清除主機惡意代碼並回收對帳戶的控制有很高的發現機會。
這些不是容易做出的決定,也沒有替代經驗來進行這些判斷呼叫。 SOC 中的共同作業工作環境和文化特性可協助確保分析師能夠利用彼此的體驗。
特定回應步驟取決於攻擊的性質,但分析師所使用的最常見程式可能包括:
用戶端端點 (裝置)
隔離端點,並連絡使用者或IT作業/技術服務人員以起始重新安裝程式。
伺服器或應用程式
請與IT作業和應用程式擁有者合作,以安排這些資源的快速補救。
使用者帳戶
停用帳戶並重設遭入侵帳戶的密碼,以回收控制權。 當使用者使用 Windows Hello 或另一種形式的多重要素驗證 (MFA) 轉換至無密碼驗證時,這些程式可能會演變。 另一個步驟是讓具有 適用於雲端的 Microsoft Defender Apps 之帳戶的所有驗證令牌過期。
您的分析師也可以檢閱 MFA 方法電話號碼和裝置註冊,以確保它不會因為連絡用戶並視需要重設此資訊而遭到劫持。
服務帳戶
由於服務或業務影響高風險,您的分析師應與記錄的服務帳戶擁有者合作,視需要回復 IT 作業,以安排這些資源的快速補救。
電子郵件
刪除攻擊或網路釣魚電子郵件,有時清除攻擊或網路釣魚電子郵件,以防止用戶復原已刪除的電子郵件。 請一律儲存原始電子郵件的復本,以供稍後搜尋攻擊後分析,例如標頭、內容和腳本或附件。
其他
您可以根據攻擊的性質來執行自定義動作,例如撤銷應用程式令牌並重新設定伺服器和服務。
2. 事件後清除
因為在變更未來動作之前,您不會從學習到的教訓中獲益,因此請一律將從調查中學到的任何實用資訊整合回您的 SecOps。
透過相同的威脅執行者或方法判斷過去和未來事件之間的連線,並擷取這些學習,以避免在未來重複手動工作和分析延遲。
這些學習可以採用許多形式,但常見的做法包括分析:
入侵指標(IoC)。
將您的SOC威脅情報系統記錄任何適用的IoC,例如檔案哈希、惡意IP位址和電子郵件屬性。
未知或未修補的弱點。
您的分析師可以起始程式,以確保套用遺漏的安全性修補程式、修正錯誤設定,以及廠商(包括 Microsoft)收到「零日」弱點的通知,以便建立及散發安全性修補程式。
內部動作,例如啟用涵蓋雲端式和內部部署資源的資產記錄。
檢閱現有的安全性基準,並考慮新增或變更安全性控制。 例如,如需在下一個事件發生之前啟用目錄中適當層級稽核的資訊,請參閱 Microsoft Entra 安全性作業指南 。
檢閱您的回應程式,以識別並解決事件期間發現的任何差距。
事件回應資源
- 規劃 SOC
- 劇本 ,以取得響應常見攻擊方法的詳細指引
- Microsoft Defender 全面偵測回應 事件回應
- 適用於雲端的 Microsoft Defender (Azure)
- Microsoft Sentinel 事件回應
- Microsoft 事件回應小組指南會分享安全性小組和領導者的最佳做法
- Microsoft 事件回應指南可協助安全性小組分析可疑活動
金鑰 Microsoft 安全性資源
| 資源 | 描述 |
|---|---|
| 2023 Microsoft 數位防禦報告 | 報告包含來自 Microsoft 安全性專家、從業者和 Defender 的學習,讓世界各地的人員能夠抵禦網路威脅。 |
| Microsoft 網路安全性參考結構 | 一組可視化架構圖表,顯示 Microsoft 的網路安全性功能及其與 Microsoft 雲端平臺的整合,例如 Microsoft 365 和 Microsoft Azure,以及第三方雲端平臺和應用程式。 |
| 分鐘信息圖 下載 | Microsoft SecOps 小組如何執行事件回應以減輕持續攻擊的概觀。 |
| Azure 雲端採用架構 安全性作業 | 建立或現代化安全性作業功能領導者的戰略指導方針。 |
| 安全性作業的 Microsoft 安全性最佳做法 | 如何使用 SecOps 中心,比以組織為目標的攻擊者更快移動。 |
| 適用於 IT 架構師模型的 Microsoft 雲端安全性 | 適用於身分識別和裝置存取、威脅防護和資訊保護的 Microsoft 雲端服務和平台的安全性。 |
| Microsoft 安全性文件 | Microsoft 的其他安全性指引。 |