Get best of the week

事件响应平台类系统:应用程序和主要功能

朋友,在先前的出版物中,我们分析了有关信息安全风险管理的国际文档,在先前的文章中,我们研究了信息安全基础,讨论了个人数据保护关键信息基础架构领域的立法在本文中,我们将进入实际平面并讨论旨在简化和自动化响应信息安全事件的过程的IRP系统。让我们开始吧!

图片

介绍


我们知道,目前,IS事件的数量非常多,尤其是在大型公司中,当事件响应时,分数实际上是分钟。而且,并非每个人都能负担得起大量高素质的专家。

出现了一个问题:如何帮助IS分析人员(主要是L1和L2)应对事件并消除执行类似操作的例行负担?

想象一下SIEM系统显示远程银行服务的金融系统可能受到攻击的情况。攻击者可以在任何时候从公司帐户中窃取金钱,此后将很难退还金钱。看到此类事件后,SOC分析人员必须收集大量支持信息,例如被攻击服务器的名称,财务系统的名称,澄清负责人的姓名和联系方式,并从他那里获取其他信息。如果毫无疑问,此事件是“战斗”而不是误报,则分析人员需要尽快将受攻击的服务器与公司的网络隔离,阻止受到入侵的帐户,根据沟通矩阵将事件报告给经理和其他人。

如您所见,有很多任务,所有这些任务都应在标准和KPI分配的时间内完成,例如,在10分钟之内。就在那时,事件响应平台(IRP)是一种用于自动响应信息安全事件的系统,可以借助我们的分析师。 IRP系统有助于执行许多例行操作,以收集其他信息,采取紧急措施以遏制(英语包含)并消除(英语消除)威胁,恢复(英语恢复)受攻击的系统,通知相关方以及收集和构建数据信息安全事件已调查。此外,IRP允许您将IS操作员针对信息安全事件执行的相同类型的操作机器人化和自动化,在执行日常操作方面,这有助于减少员工的工作量。让我们更详细地讨论响应IRP系统执行的信息安全事件的任务。

IS事件响应流程


为了了解如何以及在何处正确应用和实施IRP系统,我们应该大致了解响应信息安全事件的过程,并考虑如何使其自动化。为此,我们转到NIST SP 800-61,《计算机安全事件处理指南》据此,对IS事件的响应包括几个相互关联的过程:

  1. 训练
  2. 检测
  3. 分析
  4. 遏制/本地化
  5. 消除
  6. 复苏
  7. 事后行动

在将IRP系统用于其自动化的情况下,请更详细地考虑这些过程。

1.准备


准备阶段是初步的,也是关键的阶段之一。在此阶段,应完成所有组织工作,以便对IS事件响应团队的行动进行记录并达成一致。响应策略,过程和说明应尽可能清晰,详细和方便,以便在发生高优先级事件时,响应团队的分析人员可以准确了解在给定情况下应采取的措施。您应该定期进行培训以制定书面文档中定义的步骤,并在事件发生期间对公司人员和响应团队进行正确的技术和组织操作方面的培训。

在准备阶段,还将创建和配置剧本或运行手册-响应脚本,响应团队和IRP系统将根据此脚本根据事件的详细信息采取预定义的操作。例如,如果按照剧本在特别关键的系统上发生高优先级的IS事件,则响应团队成员必须联系领导者和负责该系统的人员,IRP平台必须命令将该系统与公司网络隔离开以进行进一步处理。

此外,在准备阶段,您应该向事件响应小组提供所有必要的软件和硬件(即,发布笔记本电脑,智能手机,在其上安装必要的实用程序),并采取预防措施来防止事件发生(保护公司的网络和设备,建立信息安全工具,对员工进行信息安全基础培训)。目前,IRP平台已经过有效使用的调整:IT系统和安全工具已连接到该平台,它们将在响应事件时与之交互。通常,它们会为那些能够在事故背景下为专家提供更多信息的系统提供连接,例如,有关受事故影响的用户的信息(联系方式,位置,结构单位,权限)和设备(操作系统类型,安装的软件,执行的功能)。另外,连接了保护工具,作为事件响应的一部分,它将执行包含和消除威胁的任务,例如端点保护工具,防火墙和网络管理系统。

因此,在发生信息安全事件时,公司应已全副武装:应对专家和IRP系统应处于充分的战斗准备状态。这保证了即使发生事件,也可以将其快速定位,并且其后果不会造成过度破坏。

2.检测


在发现阶段,应该确定可能发生的IS事件类型的列表,并制定可能事件迹象的列表。标志可以分为信息安全事件的先兆和指示符:

  • 前兆是将来可能发生信息安全事件的迹象;
  • 指示符表示事件已经发生或正在发生。

信息安全事件先兆的示例可以是对公司开放的Web服务器端口的固定Internet扫描或某些IT系统中的漏洞检测。信息安全事件指示器的示例可以包括来自保护工具(防病毒,防火墙等)的消息的出现,这些消息涉及可能的攻击,未经授权的数据删除或修改,出现的错误以及IT系统运行中的故障。应注意网络流量异常:某些类型的流量(例如DNS)的意外突发可能表示恶意活动。还应分析这种非典型的用户行为:几个小时后从不寻常的位置进行远程连接可能表明帐户遭到入侵。对于,为了在检测阶段最大程度地利用IRP系统,您应该将IRP平台与SIEM系统集成:此捆绑包将提供从IT系统和公司安全设备通过SIEM直接到IRP系统的“无缝”前体和事件指示符的转移。快速发现事件并采取适当措施以在将来对它们进行响应。

3.分析


在事件分析阶段,主要的负担在于分析人员的经验和专业知识-他将不得不决定记录的事件是“战斗”还是误报。识别和初步处理应进行(分类):确定事件的类型并将其分类。接下来,确定危害指标(IoC),分析事件的可能规模和受影响的基础架构的组成部分,进行有限的法证调查以阐明事件的类型和可能的进一步响应步骤。

在此阶段,IRP平台将提供宝贵的帮助,因为它可以提供与事件相关的重要上下文信息。这是一个示例:SIEM系统报告该公司的Web服务器受到攻击,并且所使用的漏洞仅适用于Windows。分析人员查看IRP控制台后,将立即看到被攻击的Web服务器正在Linux上运行,因此,攻击不会成功。另一个示例:一台笔记本电脑上的防病毒系统报告了病毒感染以及随后对某些IP地址的访问。分析师使用IRP系统的数据,将看到在公司网络中的其他几台设备上也观察到类似的网络活动,这并不意味着单一病毒,而是大规模感染。该事件将被赋予较高的优先级,并将根据升级矩阵进行升级,并为解决该问题提供更多资源。 IRP平台将有助于记录作为响应一部分而执行的所有操作,以及使事件的通信和升级自动化。

4.遏制/本地化


在事件的遏制(或本地化)阶段,主要任务是快速最小化IS事件的潜在损害,并为决策消除威胁提供时间窗。例如,可以通过在防火墙上为受感染设备快速启用更严格的禁止规则,将受感染主机与公司的本地网络隔离,断开某些服务和功能,或者最终完全关闭受感染设备来实现此目的。

在此阶段,将使用在分析阶段获得的有关事件的信息,以及有关受事件影响的IT资产执行的功能的信息,因为例如,关闭关键服务器可能给公司带来比直接重启非关键事件更为严重的负面后果。服务就可以了。在这种情况下,IRP平台会再次告诉您服务器执行什么功能,如何以及何时关闭或隔离服务器(前提是该信息是在准备阶段输入到IRP中的)。此外,在IRP系统的手册中,在准备阶段还应包括适用于每种特定事件类型的遏制方案。例如,在DDoS攻击的情况下,关闭被攻击的服务器可能没有意义,并且在一个网段内感染病毒的情况下,您将无法隔离另一网段中的设备。在遏制阶段,还对攻击细节进行了分析:首先攻击哪个系统,攻击者使用了哪些策略,技巧和过程,此攻击中使用了哪些团队服务器等。指示的信息将由IRP系统收集:与网络情报源(例如威胁情报源)和专门的搜索引擎(例如,与网络情报来源(例如威胁情报摘要)和专门的搜索引擎(例如与网络情报来源(例如威胁情报摘要)和专门的搜索引擎(例如VirusTotalShodanCensys等)将为该事件提供更清晰,更丰富的信息,这将有助于更有效地进行处理。在某些情况下,可能有必要为随后的计算机取证获取取证数据,并且IRP平台将帮助从受攻击的设备中收集此类信息。

5.补救措施


在消除事件的阶段,已经采取了积极的措施来消除网络中的威胁并防止再次攻击:删除了恶意软件,更改了被黑客入侵的帐户(可以暂时阻止它们,可以更改密码,例如重命名),安装了漏洞利用更新和补丁,并进行了更改。安全设置(例如,阻止饼干的IP地址)。对受事件影响的所有实体(包括设备,帐户和程序)执行指示的操作。

谨慎地消除网络犯罪分子使用的漏洞是非常重要的,因为通常,在成功闯入公司后,黑客会返回以期希望利用其保护的同样缺点。在此过程中,IRP平台将向保护手段提供必要的命令,并收集有关受事件影响的所有设备的丢失数据。因此,使用IRP系统时,就消除威胁本身而言,对信息安全事件的响应速度显着提高,这对于信息安全分析师而言将是一个极好的工具。

6.恢复


在恢复阶段,您应该检查所采取保护措施的可靠性,使系统恢复正常运行(照常营业),可能从备份中还原某些系统,或者安装并重新配置它们。在此阶段,IRP系统将帮助记住事件中涉及的所有设备以及事件的时间顺序,因为在整个事件调查周期中,此数据都存储并累积在IRP中。

7.事后活动


在事后活动阶段(根本原因分析),应该分析根本原因分析,以最大程度地减少将来再次发生类似事件的可能性,并评估人员和防护设备行动的正确性和及时性,并可能优化一些响应程序和IS政策。万一发生严重事件,应对基础设施进行一次非常规扫描以检查漏洞,笔测试和/或计划外的信息安全审核。

使用汇总的知识库来维护累积的响应体验将是合乎逻辑的,这也可以在IRP平台中完成,该平台已经存储了有关信息安全事件和已采取的响应措施的详细信息。在某些情况下,需要提供正式的事件报告,尤其是当它是严重的或受影响的重要数据时:例如,关键信息基础结构中有关计算机事件的信息应发送到SSSOPKA的状态系统。为此,一些家用IRP系统既具有用于与State SOPKA一起使用的API,又具有基于预先创建的模板自动生成事件报告的功能。如你看到的IRP还是关于信息安全事件的通用信息存储库,具有使信息安全专家的例程自动化的能力。


总结。 IRP系统是自动化的信息安全事件响应工具,可根据预定义的响应方案实施对策来应对信息安全威胁。响应方案称为剧本或运行手册,是一组自动化任务,用于检测受保护基础结构中的威胁和异常情况,实时响应和威胁遏制。响应方案根据可自定义的规则和事件类型进行操作,并根据来自安全设备或信息系统的传入数据执行某些操作。 IRP平台可帮助您根据规则和策略对信息安全事件进行结构化和日志化的响应。在事件响应完成后,IRP平台将帮助创建有关事件以及为消除该事件而采取的措施的报告。

综上所述,我们可以得出结论,IRP系统是一个网络安全事件响应平台,旨在通过对信息安全事件的数据进行系统化并使信息安全分析师的行为机器人化来保护信息。借助IRP平台,信息安全事件响应团队可以大大节省调查信息安全事件的时间和精力,从而直接提高了信息安全部门和SOC中心的运营效率。

More articles:


All Articles