随着《复仇者联盟4》电影在影院中播出,除了感慨漫威宇宙中失去钢铁侠、美队等我们热爱的角色野外,我们可以从“残局”的角度学到事件响应工具和技术。相比之下,幸运的是,对于我们来说,我们不必担心在事件中间失去一半我们的团队,但是当所有其他防御失败时,我们确实有同样的使命来解决各种攻击残局。
复仇者联盟
响应团队成员的召集
那么,让我们从这个主题的核心,团队开始,包括员工和技术。我们都知道那里没有单一的个人来应对各种事件,每个个体都不是超级英雄,他们仍然需要睡觉、休息!因此,我们必须建立一支具有弹性,能够应对事故并具有多样化技能和工具的团队。
另外,团队成员要拥有多种技能来有效解决事件,我们要更多地关注成为一个有效团队所需的工具集,而不是开源工具与供应商的优点,因为我们必须充分利用我们作为一个团队可用的每一个工具。
也就是说,这些天我们非常幸运,支持事件响应团队的项目数量,例如TheHive Project,Cuckoo Sandbox和MISP等等。
团队核心在于技术与合作
在十年前,通过一些简单的操作就可以实现防火墙到位,并在客户的网关上卸下一些IDS / IPS,从那时起,这种方法发生了根本性的变化。
SIEM已经占据了我们所需的可见性的一部分,这些与网络传感器(完整的数据包捕获等)相结合,并且编排为组织提供了“眼睛盯着”安全监控功能,但这仍然不足以应对事件。
响应者确实需要访问所有这些信息,但是只要知道事件已经发生就能够对其做出某些事情,就能够向前发展,这就是事件响应团队获得保留的地方。
事件响应团队的核心是他们的专业工具和使用它们的技能。通常情况下,这些是为了让我们了解一个问题,这些问题反过来分析我们的妥协指标,并构建我们的威胁图片/活动知识,可以说这种知识是我们调查中最重要的工具/组成部分。然后,这将导致如何最好地利用这些信息作为调查的一部分,在大多数情况下,您将需要多个工具协调工作。
安全响应团队需要做什么
拥有一个非常熟练的团队成员,他们或他们的工具都不应该对组织或团队至关重要。一个团队就是这样,我们分散和传播我们的知识,并使用我们用于事件的工具。
所以我们必须摆脱使用单一或有限工具集的想法。让我们确保作为事件响应者,我们可以使用正确的工具来确保工作,并确保我们对员工进行交叉培训,以避免任何失败的风险。所以,定义自己的职责很重要。
- 您的使命是什么(业务要求)
- 你的团队是谁
- 您的工具将是什么 - 并确保它们满足您的所有IR要求
- 通过他们的工具和程序培训您的团队
- 在真实场景中测试它们 - 真实地玩!
我并不是说点击一下手指就能解决你所有的问题,因为需要付出很多努力,但是从工具的角度来看,努力扩展团队知识将会奖励你到你的最后阶段。
閱讀更多 大米粒說安全 的文章
