企业如何建立网络事件应急响应团队?

简介: 建立企业网络事件应急响应团队是应对勒索软件等威胁的关键。团队的迅速、高效行动能减轻攻击影响。首先,企业需决定是外包服务还是自建团队。外包通常更经济,适合多数公司,但大型或有复杂IT环境的企业可能选择内部团队。团队包括应急响应小组和技术支持监控团队,前者专注于安全事件处理,后者负责日常IT运维和安全监控。团队应包括安全分析工程师、IT工程师、恶意软件分析师、项目经理、公关和法律顾问等角色。此外,选择合适的工具(如SIEM、SOAR、XDR),制定行动手册、合规政策,创建报告模板,并进行定期训练和演练以确保团队的有效性。外包时,理解团队构成和运作方式依然重要。

企业如何建立网络事件应急响应团队?

想象一下:您在一家成熟的公司,作为IT部门负责人。有一天,最糟糕的情况发生了:勒索软件攻击。如果攻击成功,您可能会丢失数 TB 的重要业务信息,包括个人客户数据。压力已经来临,您知道如何应对这种情况吗?

一、应急响应中每一秒都很重要

没有人愿意处于这种情况。但现实情况是,任何公司都一直面临着这样的危机。

您所做的大部分网络安全工作将集中于从一开始就防止这种情况发生。

但没有办法完全消除风险。

这就是为什么建立一个应急响应团队并制定适当的计划如此重要,以便在灾难发生时能够尽可能快速、高效地做出响应。那么我们该怎么做呢?

在本文中,我将解释构建事件响应团队的基础知识,以及定义角色、策略和行动手册。

目标是确保参与响应的每个人都能识别攻击的警告信号,并知道在发生攻击时如何响应。

这是您需要了解的内容。

二、选择外包服务还是简历自己的网络安全应急响应团队?

您必须做出的第一个决定是是否要拥有内部事件响应团队。

对于绝大多数企业来说,这应该是一个相当容易的决定,因为外包通常更简单且更具成本效益,原因如下:

  • 专业知识——事件响应团队需要高水平的网络安全专业知识。聘用此类人才可能很困难且成本高昂;
  • 可用性– 您还需要确保 24d/7h 的可用性,需要多名工作人员轮班工作。这会增加我们的部门人数;
  • 管理费用——外包应急响应团队可以降低工资、管理费用和开支等成本。

话虽如此,建立自己的团队有一些充分的理由。

像 IBM 和亚马逊这样的大公司通常会使用自己的系统和服务,因为它们的系统和服务规模庞大,使得外包不切实际。

对于一些小微科技企业或独角兽企业也是如此,它们可能规模较小,但拥有复杂、高度定制的 IT 环境。

对于企事业单位来说,他们聘请了自己的全职团队,,这几乎是一个要求。

总而言之,除非您的公司具有足够的经费预算,否则外包事件响应团队几乎肯定是您的最佳选择。

这使得事情变得更容易,因为您不必自己构建和管理团队。

话虽这么说,了解团队成员、团队如何运作以及他们在危机中将如何应对仍然很重要。

三、您的应急响应团队需要谁?

当然,事件响应中最重要的部分是人员。这将涉及两个独立但相关的群体:

1. 应急响应小组

这是抵御更复杂安全事件的主要防线。该团队的角色高度专业化且积极主动,专注于识别、评估和响应安全漏洞或威胁。

2. 技术支持和监控团队

技术支持团队分为三个响应级别,通常更具操作性和以客户为中心。

他们通常轮班工作,24d/7h 全天候待命,专注于安全事件对用户和系统的直接影响,快速恢复正常服务。

事实上,两个事件响应团队之间可能存在显着的交叉,而且他们通常会为了特定的响应而相互合作。

以下是您需要了解的关于每一项的信息:

四、应急响应小组

无论您是建立自己的事件响应团队还是外包,基本设置都是相同的。

这些是重要的角色:

1. 安全分析工程师 – 具有网络、恶意软件、界面和应用程序专业知识的安全专业人员。

他们通常能够理解最常见的攻击警告信号并执行常见的响应。与恶意软件分析师不同,成为安全分析师不需要编码技能;

2. IT 工程师 – 类似于 IT 管理员。

一般来说,他们将大部分时间花在日常 IT 任务上,例如配置 Windows 协议、管理硬件和服务器、设置用户帐户等。

他们本身不是安全专家,但他们将成为公司 IT 环境如何配置及公司业务的权威 ,因此他们在危机事件中非常宝贵;

3. 恶意软件分析师 – 他们是应急响应的根本。

他们几乎是拥有较高编码技能并且对恶意软件分析有深入的了解。恶意软件分析师是二进制方面的专家,接受过CTF、攻防演练的洗礼。

本质他们上是以与黑客相同的方式分析和渗透 IT 环境。他们也可以被称为白帽子;

4. 项目经理 – 全方位能力具备者。

项目经理通常具有与安全分析师相同的技能,但也可以管理人员和项目。这使他们成为协调团队和整体响应的最佳选择;

5. 外宣?公关? – 成功的攻击将对您的品牌声誉产生重大影响。

他们负责在必要时与客户和供应商进行沟通。他们传达相关信息,并在可能的情况下限制成功攻击造成的声誉损害;

6. 法律顾问 – 确保响应遵循法律准则。

这一点非常重要,因为不同的行业会有不同的规则,例如允许第三方远程访问 IT 系统、响应勒索软件威胁以及记录成功安全事件的证据。

这是大多数组织将使用的角色。一些组织可能会根据需要添加其他角色,具体取决于其特定需求和 IT 环境。

五、监控和支持团队

除了应急响应团队之外,您还需要确保有一个永久的 24h/7d 技术支持团队。该团队的工作是实施预防性控制并发现潜在攻击的警告信号。

一般来说,企业应该致力于获得三个级别的监控支持,每个级别都有不同的职责和专业水平。

无论团队是内部团队还是外包团队,这种结构通常都是相同的:

1 级:涉及一线支持人员或服务台人员。

他们不是安全专家,会花费大量时间实施预防性工具和控制措施,例如防病毒软件、配置安全网络访问以及实施最小权限原则。

他们所做的大部分工作是按照公司框架和行动手册操作的;

2 级:由更有经验和专业的安全专家组成。

他们将使用 SIEM、SOAR 或 XDR 等工具进行大量持续监控并使得损失最小化。

他们负责在恢复运营之前快速检测和遏制违规行为;

3 级:这些是最专业的专家,通常涉及恶意软件和逆向工程专家。

他们进行深入的事件分析并制定预防未来攻击的策略。

在 2 级专家实施隔离或关闭机器等基本响应后,高度异常或严重的攻击通常会升级到第三级。

值得指出的是,应急响应团队的特定成员也可能参与持续支持工作。区别不在于他们是谁,而在于他们所扮演的角色。

至关重要的是,技术支持团队始终在线,而事件响应团队将在检测到安全事件后立即组建。

安全分析师和项目经理在支持团队的 2 级和 3 级工作是很常见的。

在定义这些团队时,制定明确的政策来确定何时、如何以及向谁汇报升级事件也很重要。

例如,1 TB 的数据丢失应直接上报给应急响应团队(当然不要忘记自己的老板们)。

但不确定的网络钓鱼攻击可能不太严重——在这种情况下,1 级或 2 级支持人员可以按照既定流程隔离机器或重新启动密码。

六、如何建立成功的应急响应团队

为应急响应团队选择合适的人员很重要,但过程并不止于此。确保团队中的每个人都了解自己的角色以及发生事件时如何应对也很重要。

要做到这一点,需要三个主要步骤:

1.选择合适的工具

当发生可疑攻击时,速度就是一切。正确的工具可以让您的响应更快、更灵敏、更有效。

这就是为什么了解哪些工具可用以及如何最好地使用它是如此重要。 一般来说,常见的事件响应工具有以下三类:

A. SIEM(安全信息和事件管理)——这对于实时数据分析和日志管理很有用。一般来说,它们用于可见性、实时监控和警报。这是使用者从新位置登录等信息来检测潜在安全事件的第一个监测点。选择此项以获得 全面的网络可见性;

B. SOAR(自动化响应)——非常适合自动响应常见威胁和编排复杂的工作流程。 SOAR 用于自动响应常见安全信号 - 例如您可能在策略中定义或在 SIEM 中识别的信息。选择此选项可以 自动化并简化检测和响应;

C. XDR(扩展检测和响应)——一种较新的工具,正在成为提高安全响应能力的越来越流行的方法。其扩展功能结合了来自各种安全产品的数据,以提供环境中数据和风险的更多集成和更详细的视图。选择此选项的目的是:通过高级威胁检测、调查和响应,对安全事件做出更统一、更明智的响应。

正如您所知,这些工具中的每一个都是为不同的角色而设计的,因此不一定要选择最好的工具。相反,组织通常会使用工具组合来创建分层响应。

一种常见的组合是使用 SIEM 进行可见性和检测,同时使用 SOAR 进行自动响应,这些工具通常会用于集成使用。

XDR 还可以用作独立产品或扩展现有 SIEM 或 SOAR 的功能。当然最终选择完全取决于您组织的具体需求和技术。

2. 制定行动手册和合规政策

团队人员到位后,下一步就是制定策略和行动手册。这里的目标是确保 IRT 和支持团队中的每个人都能有效识别攻击的警告信号以及他们需要如何应对。

这些手册应明确列出常见攻击所需的补救或缓解步骤,以及何时升级以及向谁升级。这对于第一级和第二级支持特别有用,因为他们将处理更可预测和定期的攻击。

这里的挑战是几乎不可能为每种可能的事件设计有效的策略。有超过 20 种不同类型的勒索软件攻击,仅作为初学者。

此时,您需要注意不要让建议过于详细或规定性;您包含的详细信息越多,该详细信息与所面临的特定攻击无关的可能性就越大。与公司业务处理流程一样,应急响应解决方案是一种微妙的平衡行为。

以下是您的策略可能涉及的示例,例如可疑的勒索软件攻击:

  • 分析相关.log文件;
  • 关闭计算机,隔离机器,并将其从网络上撤离;
  • 升级到第三级,勒索软件可能在安全环境中重新启动并进行。

这是一个相当标准的勒索软件手册,大致是您在这个阶段应该了解的详细程度。

3. 制定合规政策

除了您的行动手册之外,您还应该制定合规政策。这应该明确规定:

  • 如何以及何时报警;
  • 任何事件后书面文件和报告义务;
  • 为勒索软件付费(或更可能是不付费);
  • 安全团队是否(以及何时)可以远程控制第三方机器。

有许多令人困惑和重叠的法律标准需要注意,并且根据您所在的特定司法管辖区会有不同的法规。

例如,在丹麦,所有数据泄露都必须向网络安全中心报告。在欧盟,支付勒索软件也是违法的,但在美国,这更像是一个灰色地带。当然,在我国我们可以放心的联系警察叔叔。

这些可能是令人困惑和棘手的问题,这就是为什么在设计策略时与法律专业人士讨论这一问题如此重要 。务必在攻击之前尽早进行。这样,正确的响应就不会有任何歧义。

4. 创建应急报告和文档模板

最后一个阶段是撰写网络攻击应急响应的文档模板。攻击发生后,您通常必须与客户、利益相关者、执法机构和更广泛的网络安全社区共享特定信息。

它有助于确保事件得到解决或缓解后可以快速收集文档。一般来说,安全分析师会有清晰的报告文档和模板可供使用。这确保了信息的记录和呈现方式能够清楚地证明合规性,同时向相关利益相关者提供正确的信息。

该文档通常由 2 级支持人员填写,有时涉及 3 级恶意软件专家向他们提供的信息。它应该包括:

  • 概括;
  • 事件概述;
  • 发现;
  • 时间线;
  • 攻击类型。

您还需要将事件与特定的Mitre Att&ck代码关联起来,该代码是全球公认的安全事件中使用的策略和技术的存储库。这是世界各地安全专家的共同语言。

事实上,每种类型的攻击都有自己的Mitre Att&ck代码,以及常见缓解策略的描述和建议。例如,网络钓鱼的代码是T1566。您可以在 Mitre Att&ck 主页上查看已确定策略的完整列表。

七、常见问题解答:建立网络攻击响应团队

1、什么是网络事件响应团队?

事件响应团队是一个专门小组,负责准备、检测和响应网络安全事件。他们评估威胁、减轻损失并帮助恢复,确保组织抵御网络攻击的能力。他们的重点是维护安全并最大限度地减少网络攻击的影响。

2、响应团队涉及哪些人?

该团队通常包括安全分析师、IT 专家、恶意软件分析师、项目经理和法律顾问。每个成员都扮演着独特的角色,包括监控和响应威胁、管理 IT 基础设施、分析恶意软件、协调响应工作以及确保安全事件期间和之后的法律合规性。

3、内部和外包应急响应团队之间的主要区别是什么?

内部团队通常存在于具有特定安全需求的大公司中,提供直接控制和专用资源。大多数公司会发现外包更简单、更具成本效益,因为可以减少管理费用和建立团队的复杂性。

以上就是本文的全部内容,欢迎各位同行前辈老师指正。

相关文章
|
1月前
|
安全 虚拟化
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力
在数字化时代,网络项目的重要性日益凸显。本文从前期准备、方案内容和注意事项三个方面,详细解析了如何撰写一个优质高效的网络项目实施方案,帮助企业和用户实现更好的体验和竞争力。通过具体案例,展示了方案的制定和实施过程,强调了目标明确、技术先进、计划周密、风险可控和预算合理的重要性。
42 5
|
2月前
|
机器学习/深度学习 人工智能 运维
企业内训|LLM大模型在服务器和IT网络运维中的应用-某日企IT运维部门
本课程是为某在华日资企业集团的IT运维部门专门定制开发的企业培训课程,本课程旨在深入探讨大型语言模型(LLM)在服务器及IT网络运维中的应用,结合当前技术趋势与行业需求,帮助学员掌握LLM如何为运维工作赋能。通过系统的理论讲解与实践操作,学员将了解LLM的基本知识、模型架构及其在实际运维场景中的应用,如日志分析、故障诊断、网络安全与性能优化等。
92 2
|
27天前
|
弹性计算 监控 数据库
制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程
本文通过一个制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程,展示了企业级应用上云的实践方法与显著优势,包括弹性计算资源、高可靠性、数据安全及降低维护成本等,为企业数字化转型提供参考。
52 5
|
2月前
|
运维 供应链 安全
SD-WAN分布式组网:构建高效、灵活的企业网络架构
本文介绍了SD-WAN(软件定义广域网)在企业分布式组网中的应用,强调其智能化流量管理、简化的网络部署、弹性扩展能力和增强的安全性等核心优势,以及在跨国企业、多云环境、零售连锁和制造业中的典型应用场景。通过合理设计网络架构、选择合适的网络连接类型、优化应用流量优先级和定期评估网络性能等最佳实践,SD-WAN助力企业实现高效、稳定的业务连接,加速数字化转型。
SD-WAN分布式组网:构建高效、灵活的企业网络架构
|
1月前
|
机器学习/深度学习 监控 数据可视化
企业上网监控:Kibana 在网络监控数据可视化
在网络监控中,Kibana 作为一款强大的数据可视化工具,与 Elasticsearch 配合使用,可处理大量日志数据,提供丰富的可视化组件,帮助企业高效管理网络活动,保障信息安全。通过索引模式和数据映射,Kibana 能够组织和分类原始数据,支持深入分析和异常检测,助力企业识别潜在安全威胁。
56 5
|
1月前
|
监控 安全 网络安全
企业网络安全:构建高效的信息安全管理体系
企业网络安全:构建高效的信息安全管理体系
81 5
|
2月前
|
安全 物联网 网络安全
中小企业提高网络安全的五种方式
【10月更文挑战第18天】中小企业提高网络安全的五种方式:1. 小企业并非免疫;2. 定期更新软件和硬件;3. 持续教育员工;4. 启用并维护安全功能;5. 制定全面的网络安全策略。天下数据IDC提供专业的服务器解决方案及数据中心安全服务,保障企业信息安全。
43 1
|
2月前
|
监控 安全 Linux
网络安全事件应急响应
应急响应是针对网络安全事件的快速处理流程,包括信息收集、事件判断、深入分析、清理处置、报告产出等环节。具体步骤涵盖准备、检测、抑制、根除、恢复和总结。
|
2月前
|
人工智能 关系型数据库 数据中心
2024 OCP全球峰会:阿里云为代表的中国企业,引领全球AI网络合作和技术创新
今年的OCP(Open Compute Project)峰会于2024年10月14日至17日在美国加州圣何塞举行,在这场全球瞩目的盛会上,以阿里云为代表的中国企业,展示了他们在AI网络架构、液冷技术、SRv6和广域网等前沿领域的强大创新能力,持续引领全球合作与技术创新。
|
2月前
|
运维 监控 安全
SD-WAN异地组网加速:提升企业网络性能的关键
随着企业全球化扩展,异地组网成为重要需求。传统广域网(WAN)存在延迟高、带宽不足等问题,而SD-WAN通过智能流量调度、降低成本、提升安全性和快速部署等优势,成为理想解决方案。本文详细解析SD-WAN在异地组网中的优势、应用场景及最佳实践,帮助企业实现高效跨地域网络连接。