花样游泳技巧,或协调监测和响应任务
如您所知,世界上最快的动物应该是a:它的腿最多。但是,这头可怜的动物确实因需要同步其步骤和活动而受到阻碍。类似的故事常常困扰着SOC(安全运营中心)的生命。分析人员会开发场景,皱眉,提出检测攻击的新方法,并且响应团队通常不知道如何处理这些事件(如果外部商业SOC位于第一道障碍的话,距离会越来越大)。这种情况通常会导致两种极端情况:
- SLA « , », , SOC, . , , - .
- – «» . , , . , , . - - , SOC , . , , .
还记得明智的尹富和吗?他问过正在购买安全扫描仪的学生,他将如何处理发现的漏洞?遵循他的榜样,我真的想向响应小组提出一个问题:准确地发现最重要的事件是什么,最重要的是,您将以多快的速度进行处理?
响应过程的功能使您可以根据事件的内部严重性“排列”事件列表。例如,在处理过程中的重大变化或网络攻击方面的通信可以在逻辑上切换为具有立即收集调查团队的电话的模式。要处理非关键分支机构计算机上的TeamViewer启动,解析几个小时就足够了。每天提交一次有关病毒感染统计数据的报告是完全可以接受的-每天早上喝咖啡,然后通过“地毯式”关闭问题,当正好要对病毒进行大规模处理,删除受禁止的软件,更新操作系统,关闭漏洞等时。这将有助于实质上均衡监视和响应的速度,并在整个事件管理过程中创建无缝且舒适的游戏规则。
提示1.设置优先级。由于您肯定无法一次处理所有事件,因此请确定对您的公司业务而言真正重要的事件类型,并确定解决这些问题所需的时间范围。
分析,分析,甚至更多事件分析
许多商业SOC以及脚本编写团队经常并认真地谈论误报过滤的惊人百分比,据称,误报过滤的原因不是通知客户仅是攻击事件,而是通知用户(如我所说,“非常本质”)。
定期地,这会产生惊人的过程来分析和调查事件,例如,以下内容:
- 基于对网络流量的分析,SOC记录了主机上远程管理工具(RAT)的启动。
- , . – , RAT ( ) , .
- « ». SIEM .
让我们撇开一个事实,万一遭到黑客攻击,在日志级别的事实之后再连接计算机,这是一个很谨慎的操作。攻击者可能只是擦去了所有必要的日志,并且以具有相当特权的帐户连接到新近被感染的计算机可能导致比破坏它本身更严重的后果(尤其是对于那些无所畏惧的客户,他们厌倦了试图找出复选框来提供正确的复选框权限,请为该帐户提供SIEM域管理员权限)。
最主要的是,从结果的角度来看,SOC和安全服务进行的整个复杂验证过程仅相当于拿起电话并致电特定用户,询问他是否发起RAT会话以及出于什么原因。结果,答案本身可以更快地收到很多倍,并且用于事件调查的总时间将大大减少。鉴于98%的时间在本地计算机上运行RAT是用户手册(这仅使其余2%的内容有意义),因此这种响应方法效率更高。
2. , . , , « », , , .
, –
这里不可能不涉及监视和响应过程开发中经常涉及的一个主题,即库存和资产核算问题。大多数情况下,他们在丰富信息的关键中谈论资产:为了了解事件的重要性,重要的是要了解事件的网络类型,所有者是谁,那里安装了什么软件。但是就开发剧本而言,该任务具有其他含义:对事件的响应过程将直接取决于事件是哪种节点以及它位于网络的哪个部分。
考虑一个相当基本的事件-宿主病毒感染。根据此主机的位置,它的权重和重要性完全不同:
- – , ;
- VIP-, , – ;
- .
工业公司的响应过程需要更多的关注。如果启动这样的实用程序(根据逻辑,例如在技术过程操作员的工作站上不能出现),则在机器上启动RAT时发生的同一事件将获得完全不同的重音和重要性。在这种情况下,默认的响应措施是关闭并隔离主机,然后找出启动该实用程序的原因,并可能对主机进行详细分析,以查找外部攻击者可能危害的迹象。
提示3.进行资产清点。在网络段上叠加不同类别的事件。因此,您将不再获得线性模型,在该模型中,事件的严重程度仅由事件的类型决定,而是为组织定制的基本矩阵,可以随着时间的流逝对其进行改进和完善。
真实回应与完美回应
上述情况突出了一个关键问题:内部团队准备采取多深的反应以确保消除事件的后果和原因?回到带有恶意软件感染的示例-响应过程如下所示:
- 分析恶意软件渗透渠道(邮件/ Web /闪存驱动器)
- 获取有关恶意软件本身的信息-哪个家族,潜在后果,相关实用程序的存在
- 识别给定恶意软件典型的危害指标,在相邻计算机上搜索指标(这在没有完全覆盖具有防病毒保护功能的工作站和服务器且恶意软件可以成功渗透其中一个主机的情况下尤其重要)
- 搜索基础结构和修复中的所有相关实用程序
但是,如果将这种方法应用于基础设施中的每个病毒体以及每种感染,将导致非常高的人工成本。因此,这里需要一种平衡的响应方法,具体取决于各种外部参数:
- 已经提到的资产模型及其重要性
- 恶意软件家族的行为-蠕虫,尤其是那些具有潜在破坏性负载的蠕虫,需要引起更多关注
- 病毒的“老龄化”及其对反病毒实验室的认识
- 它属于与公司或行业相关的分组工具包
根据所有这些参数,可以做出决定-从从普通汽车中基本清除恶意软件或将关键主机重新加载到涉及专家的更为复杂的响应过程。
提示4.不要偷懒“砍斧头”。附加条件使得可以在响应事件的过程中阐明优先级和动作算法。它们不仅可以更充分地执行所有必要的工作以定位事件并抵抗攻击,而且还可以避免在更简单的情况下不必要的移动。
告诉我谁是你的朋友,我会告诉你怎么做
好吧,响应团队的专业知识深度在剧本的开发中当然很重要。在开始作为商业SOC的工作之初,我们的所有通信都是通过客户信息安全服务中的专职人员建立的。在这种情况下,我们谈到了一个受过专门教育的员工,甚至是一个年轻的学生,他不时应对各种事件,积累了自己的专业知识,并且越来越有效地完成工作。
我们可以有条件地将剧本分为技术和业务两类。第一个描述了处理事件时的流程,它是为信誉良好的客户的响应团队创建的。其次是对事件中涉及的部门链的描述,它的使用者是生产线管理人员。因此,“了解您的听众”非常重要,否则将存在与理解和解释相关的“翻译困难”。
最近,客户越来越多地将IT部门,业务部门,技术人员甚至服务台直接纳入响应流程。这通常会导致事故。在大流行开始时,意外地迫使几个客户(像整个国家一样)将其用户大规模转移到远程访问。由于不能快速实施身份验证的第二个因素,因此同意以下作为一种临时方案:服务台通过电话验证了每个远程特权连接。在没有反馈的情况下,问题被上报给系统的业务所有者,业务所有者可以决定继续工作或阻止帐户,直到情况明确为止(如果怀疑活动不一致)。在服务台的手册中,我们尽可能详细地详细了呼叫和搜索业务所有者的联系人的过程。但是,当服务台员工收到锁定帐户的命令(并且该服务具有此类权限)时,他们没有写该做什么。事件的第一个测试运行表明,在收到一封带有“非法,阻止”消息的信件之后,服务台专家只是简单地关闭了应用程序,没有执行任何阻止。
提示5.保持简单。考虑到响应团队中资历的具体要求和资源的“流动性”,并将剧本从具有专家自由度的基本指令分解为针对外部服务的逐步“字母”,这一点极为重要。对于每个公司而言,制定响应流程都是一件非常有创意的事情。但是,同时考虑您自己和他人的经验非常有用。也许NIST与您同在。