如何有效開展網絡安全事件調查工作
責編:gltian |2023-08-07 15:56:09網絡安全事件調查是現代企業網絡安全體系建設的關鍵組成部分。為了防止網絡攻擊,僅僅關注于安全工具的應用效果遠遠不夠,因為安全事件一直都在發生。安全團隊只有充分了解攻擊者的行蹤和攻擊路徑,才能更好地防范更多攻擊時間的發生。
做好網絡安全事件調查看上去并不復雜,只要收集有關企業IT系統的運行數據,然后分析其中的異常情況即可。然而,這項看似簡單的工作背后隱藏著諸多不確定因素。在網絡安全事件調查中,需要采取合法合規的調查手段,使用合適的技術和工具,此外還需要配置一些非專業性技能,例如分析能力、溝通能力和團隊協作能力等,才能保證調查結果的有效性和合規性。
網絡安全事件調查的意義
隨著企業的數字化發展,會遇到各種類型的網絡安全事件,并不是對所有的事件都需要開展全面調查,例如,對今天的DDoS攻擊通常不需要深入調查,而是只要做好攻擊發生時的應急響應準備即可。網絡安全事件調查的主要應用場景是網絡攻防對抗,在高強度對抗中所產生的安全事件才需要企業安全調查人員去深入調查分析,其調查難度也是傳統網絡病毒攻擊事件難以相提并論的。
安全事件調查與傳統的威脅檢測都需要依賴強大的威脅情報庫和發現規則,但最大的區別在于,威脅檢測是為了及時發現異常情況并發出警報,而事件調查則是對所發現的異常行為進行全面的調查分析,并進行相應的抑制和修復。
以勒索軟件攻擊事件調查為例,這已經成為企業組織普遍面臨的安全風險。然而,很多企業在開展勒索攻擊事件調查時,會將工作的重點放在了如何解密和恢復數據,這是非常錯誤的。企業應該充分了解系統是如何被勒索軟件入侵,全面調查包括網絡釣魚、軟件漏洞、弱密碼和惡意內部人員等各種威脅產生的路徑,這樣才可能徹底清除勒索攻擊者對自身業務系統的非法控制,并從根本上防止此類事件的再次發生。
許多客戶不太關心攻擊的具體細節,比如來源或幕后的黑客組織。他們主要關注恢復業務流程,并確保此類惡意行為不再發生。與此同時,調查人員可以對惡意軟件代碼進行逆向工程,以收集能表明黑客來源的寶貴數據。在典型的事件調查場景中,可以用數據收集和分析周期來表示調查工作的進展情況,每次新的迭代后,企業就會對下一步的網絡安全建設有更準確的理解。
為事件調查做好準備
網絡安全事件調查通常分為收集線索、數據分析和報告總結等階段,其中,收集線索是非常關鍵的準備工作。只有獲取到足夠的攻擊證據,才能更準確地分析攻擊者的行蹤和攻擊路徑。
當嚴重的網絡安全事件發生后,調查人員應該首先根據資產的損害狀況和攻擊手法特點,設置好處置任務的優先級,這樣才能在需要時迅速做出決策,并在必要時通過使用排除法來發現被攻擊的真相。
當安全事件調查流程啟動后,安全分析師要盡可能全面了解事件相關信息,這需要他們在日常工作中充分熟悉自身的角色和職責。快速變化的IT環境經常需要分析師實時同步更新自己的技能組合,比如了解云計算、大數據等。在安全事件調查時,分析師應能夠迅速識別其負責的所有資產運行狀態,并積極參與到漏洞管理和掃描發現過程。
所收集的安全事件信息數量和質量將決定事件調查的結果,幫助分析師準確了解他們面臨威脅的程度與可能后果。需要指出的是,由于很多攻擊團伙開始使用“攻擊即服務”的Saas化商業模式,要準確了解這些攻擊技術并不困難。但是在一些比較敏感的場景(比如能源等關鍵基礎設施部門受到攻擊)中,安全分析師需要留意是否存在更多的非常規性攻擊方法。
在許多情況下,分析師可能會面臨信息不全、時間不足以及缺少權限等不利因素,并讓調查工作陷入混亂、恐慌的狀態中。在這種情況下,訓練有素的事件調查團隊必須清楚地表述其專業知識,獲取業務部門的理解和支持,并推動事件調查工作開展下去。
調查人員的責任
網絡安全事件調查人員可以接觸到大量的事件信息,如何做好保密是極其敏感的問題,調查人員應該充分意識到這一點。他們需要明白,如果企業遭遇了數據泄露,可能會導致業務崩潰和法律后果。因此,調查人員絕不應該有意地造成這樣的危害。
對于參與事件調查的人員,只應該關注并收集完成自己所負責調查任務所必需的數據,通常包括已登錄的用戶賬戶、已啟動的程序以及程序啟動時間。除非特別需要,調查人員不應該收集涉及客戶擔心被泄露的敏感信息。值得一提的是,調查期間收集的所有信息都按照嚴格的安全規程妥善存儲。在一段指定的時間后,數據被刪除。
還有人擔心調查人員可能會與別人分享事件信息。事實上,調查團隊的所有人員都沒有義務向第三方(包括警方)提供有關被調查事件的信息,因為是否報告這類事件需要由受害企業的管理者和實際受害者來決定。
此外,調查人員的工作和行動不是為了破壞和處罰信息安全部門。在事件發生后解雇可能存在失職行為的安全人員并不一定總是合適的。雖然有時會發生這種情況,但沒有一個安全系統是完美無缺的,難免會有漏洞。對安全事件進行問責與安全事件調查并沒有關系,這是企業的管理層需要做出的決定。
在調查人員給出的事件調查報告中,應該包含事件過程的完整信息。如果事件因未解決的、原有的和眾所周知的漏洞而發生,必須將所發現的漏洞情況完整附在報告中。調查人員不得隱瞞此類信息。
法律方面的挑戰
由于網絡安全已經成為國家安全的一部分,因此很多網絡攻擊事件,并不能僅依靠企業自身就可以有效解決。在很多時候,企業需要選擇與司法部門合作,甚至把事件的最后處置交由法院來判決。
由于司法信息是公開的,這么做可能會使安全事件公之于眾,這可能給企業帶來商譽方面風險。因此,一些企業由于對商譽的擔心而故意隱瞞了對網絡安全事件的調查,從而延誤了事情的處理,結果帶來了更大的安全危害。
因此,如果需要通過司法流程來解決某些安全事件,企業管理層應該盡快做出決定,這需要進行全面的風險評估。在這種情況下,企業最好不要擅自對網絡基礎設施進行任何改變,而是立即向律師事務所尋求建議。專業律師會提供咨詢服務,并建議適當的行動方案。
網絡安全事件調查中的另一個法律風險挑戰是如何確保對復制、刪除或覆蓋數據的過程進行適當的控制和記錄。如果證據收集未正確進行或違反了法律要求,法院可能在訴訟中質疑數據的有效性,并拒絕使用該數據。這可能會對案件的最終處理結果產生重大影響。
來源:安全牛