隨著《復仇者聯盟4》電影在影院中播出,除了感慨漫威宇宙中失去鋼鐵俠、美隊等我們熱愛的角色野外,我們可以從“殘局”的角度學到事件響應工具和技術。相比之下,幸運的是,對於我們來說,我們不必擔心在事件中間失去一半我們的團隊,但是當所有其他防禦失敗時,我們確實有同樣的使命來解決各種攻擊殘局。
復仇者聯盟
響應團隊成員的召集
那麼,讓我們從這個主題的核心,團隊開始,包括員工和技術。我們都知道那裡沒有單一的個人來應對各種事件,每個個體都不是超級英雄,他們仍然需要睡覺、休息!因此,我們必須建立一支具有彈性,能夠應對事故並具有多樣化技能和工具的團隊。
另外,團隊成員要擁有多種技能來有效解決事件,我們要更多地關注成為一個有效團隊所需的工具集,而不是開源工具與供應商的優點,因為我們必須充分利用我們作為一個團隊可用的每一個工具。
也就是說,這些天我們非常幸運,支持事件響應團隊的項目數量,例如TheHive Project,Cuckoo Sandbox和MISP等等。
團隊核心在於技術與合作
在十年前,通過一些簡單的操作就可以實現防火牆到位,並在客戶的網關上卸下一些IDS / IPS,從那時起,這種方法發生了根本性的變化。
SIEM已經佔據了我們所需的可見性的一部分,這些與網絡傳感器(完整的數據包捕獲等)相結合,並且編排為組織提供了“眼睛盯著”安全監控功能,但這仍然不足以應對事件。
響應者確實需要訪問所有這些信息,但是隻要知道事件已經發生就能夠對其做出某些事情,就能夠向前發展,這就是事件響應團隊獲得保留的地方。
事件響應團隊的核心是他們的專業工具和使用它們的技能。通常情況下,這些是為了讓我們瞭解一個問題,這些問題反過來分析我們的妥協指標,並構建我們的威脅圖片/活動知識,可以說這種知識是我們調查中最重要的工具/組成部分。然後,這將導致如何最好地利用這些信息作為調查的一部分,在大多數情況下,您將需要多個工具協調工作。
安全響應團隊需要做什麼
擁有一個非常熟練的團隊成員,他們或他們的工具都不應該對組織或團隊至關重要。一個團隊就是這樣,我們分散和傳播我們的知識,並使用我們用於事件的工具。
所以我們必須擺脫使用單一或有限工具集的想法。讓我們確保作為事件響應者,我們可以使用正確的工具來確保工作,並確保我們對員工進行交叉培訓,以避免任何失敗的風險。所以,定義自己的職責很重要。
- 您的使命是什麼(業務要求)
- 你的團隊是誰
- 您的工具將是什麼 - 並確保它們滿足您的所有IR要求
- 通過他們的工具和程序培訓您的團隊
- 在真實場景中測試它們 - 真實地玩!
我並不是說點擊一下手指就能解決你所有的問題,因為需要付出很多努力,但是從工具的角度來看,努力擴展團隊知識將會獎勵你到你的最後階段。
閱讀更多 大米粒說安全 的文章
