超赞的事件响应

<img align="right" src="https://yellow-cdn.veclightyear.com/835a84d5/2066ef20-9b92-43ad-8049-3f7bb17f367d.png" width="200" alt="Awesome Incident Response" title="Awesome Incident Response"> 欢迎来到"超赞的事件响应"，这是一个旨在简化并指导您深入了解事件响应复杂世界的终极开源仓库！无论您是经验丰富的网络安全专业人士还是有志之士，这个全面的资源和教程集合都将为您提供有效处理和缓解安全事件所需的知识和技能。这些策略是基于数十年的事件响应经验而开发的，应该能很好地指导您应对任何类型的网络安全事件，并从多个将被引用的来源中提取文本和图像。 <br /><br />

如何使用本指南：

主页（本页）应被视为"超赞的事件响应"指南的综合版，即"傻瓜版"。每个阶段都有描述，并为您提供高效有效响应所需的最佳实践。但如果您想要更多细节或需要额外指导，每个部分都会有一个[阅读更多]链接，提供更深入的内容。

这个精心策划的工具和资源列表旨在帮助安全领导者、分析师和DFIR团队，并且一直在不断完善。希望您觉得它有价值，一如既往，欢迎并感谢提出拉取请求！

-Bill (hevnsnt)

资金支持：

如果您认为一个社区驱动、开源且经过验证的"超赞事件响应"资源对互联网参考有价值，请考虑支持这个项目。您可以在右侧边栏或点击下方的赞助按钮找到更多关于支持项目的信息。任何贡献都将不胜感激，100%用于支持这个项目！

准备

准备阶段，是所有步骤中最可能被跳过的，只有在公司遭受重大损失并不得不聘请外部顾问后才会受到关注。

不要跳过这个步骤

请现在就做。当你不需要雇佣我来帮助你应对事件时，你会感谢我的。

超赞的事件响应发生在事件发生之前。准备工作既简单又有趣。通过在危机发生前做好准备，你可以将影响降到最低，并确保在面对攻击时能快速响应。而且，你会看起来像个超级英雄！

事件管理的基本前提是以结构化的方式响应事件。大规模事件可能会造成混乱；团队事先达成一致的结构可以减少混乱。在灾难发生前制定沟通和协调努力的规则，可以让你的团队在事件发生时专注于解决问题。如果你的团队已经练习并熟悉了沟通和协调，他们在事件发生时就不需要担心这些因素。

-- Google, 事件响应

超赞的事件响应需要多个团队之间的协作，这不仅仅是IT和安全部门的事（惊喜！）。任何重大网络事件都是全公司范围的危机，需要高管、法务、通讯、人力资源、灾难恢复、IT运营、开发和安全部门的支持。确保这些人了解他们在事件期间的角色，并有权采取行动。本节描述如何确保你拥有合适的人员、能力、权限和流程，以便有效应对危机。然后我们将讨论如何测试你的IR能力，以验证一切是否按预期运行。

现在就做这7件事，大大提升你应对任何网络危机的能力：

1. 制定事件响应计划并演练：

你的公司应该有一个全面的计划，概述在网络攻击或泄露事件中应采取的步骤。一个超赞的事件响应计划（IRP）应该涵盖几个关键组成部分，以确保对网络事件的有效和协调响应。准备章节的事件响应计划部分详细介绍了超赞事件响应计划（IRP）中应包含的内容。

制定计划后，要进行演练！有句话说"像战斗一样训练，像训练一样战斗"（或类似的话）。进行桌面演练，验证你制定的控制措施是否按预期工作！相信我，你会发现一些需要调整的地方。需要一个TTX想法的起点吗？去看看@badthingsdaily，选择一些可能发生在你身上的事情！

2. 确保记录正确的事件：

我处理过数千起事件，从未见过一个组织记录了所有对检测和/或响应极其有用的数据源。通常这是因为他们simply不知道该记录什么，或者日志解决方案是他们尚未解决（或获得费用批准）的问题。有一个日志计划是必不可少的，作为安全领导者，你不能在新的应用、服务、网络或资产引入到你的环境时不断回去获取更多预算。这些成本需要在项目实施前就纳入考虑，现在就要在高管层面建立这种理解。最基本的是，你需要记录环境中最关键区域的日志，这些日志应该位于单独的系统上，并保留至少90天。关于日志记录的深入讨论，请参见准备章节的日志记录部分。

3. 定期更新软件和系统：

保持所有软件和系统使用最新的安全补丁和升级是至关重要的。这不仅包括操作系统，还包括连接到网络的任何应用程序和设备。应该有一个文件化的政策，说明关键、高、中、低严重性软件补丁的时间表，并有一个文件化的例外处理流程。利用资产跟踪系统和定期安全评估来验证这个过程是否按预期运行。虽然我在本指南中不会详细介绍，但建立一个识别漏洞、部署软件更新和定期测试的流程将大大减少你需要使用事件响应计划的机会。

4. 定期进行安全评估和第三方风险审查：

定期的安全评估可以帮助在系统漏洞被利用之前识别它们。这可以包括定期的渗透测试、漏洞扫描和安全审计。至少，漏洞扫描应该每月进行一次，网络上的每个资产至少每季度扫描一次。渗透测试应至少每年进行一次。

这不是超赞的漏洞管理计划，所以我就不赘述细节了。但如果你想减少事件响应（被动）并寻求主动解决方案，那么请修补你的系统，并经常测试。

在过去几年里，我处理的大部分事件都是因为第三方在"他们的"系统上失去了对"我们的"数据的控制。你可以构建最安全的环境，但仍然可能因为你的供应商......没有做到这一点而进行事件响应。了解谁拥有什么数据和访问权限可以大大减少识别安全事件起源的时间。如果你有极其关键（或秘密）的数据存放在第三方那里，确保他们的标准符合你的标准。当然，云提供商符合这个标准，但要扩展你的思考范围，包括律师事务所、会计、建筑管理等。（天哪）

5. 培训员工并设置安全通信渠道：

就超赞的事件响应而言，你需要培训你的员工如何报告安全事件，并培训那些有事件响应责任的人员（上面列出的）他们的具体角色。我试图让这个指南专注于IR，但对所有员工进行定期的网络安全最佳实践和数据隐私重要性的培训是至关重要的。这不仅会提高对潜在风险的认识，还能帮助预防事件的发生。

现在是确定安全消息渠道的好时机，我建议在事件初始阶段不要使用任何企业消息解决方案。我推荐使用Signal。让每个被确定为事件响应团队成员的人确保安装并测试它。当你遇到事件时，创建一个与事件相关的代号的新群聊，并让消息在1周后删除。通常在事件启动时，你对事件的全部范围还不确定，并且会犯错误。采取这些行动将防止威胁者获得内部信息和法律发现活动，但在你这样做之前请与你的法律团队确认。

6. 建立合作伙伴关系：

与外部专家建立合作关系，如网络安全公司或事件响应团队，可以在危机发生时提供额外的支持和专业知识。在事件发生前就建立这些关系可以确保快速有效的响应。现在是与IR公司签订事件响应保留协议的好时机。在事件发生时寻求帮助可能非常困难（有时可能需要几个月才能获得合适的资源），所以越早完成越好。但在此之前，请确保您了解网络保险的覆盖范围（以及不覆盖的内容）。

7. 了解您的网络保险覆盖范围（以及不覆盖的内容）：

大多数事件响应人员都是技术人员，优秀的事件响应人员明白网络事件是公司风险。因此，了解网络保险的覆盖范围有助于相应地调整事件响应计划。它让您了解通过保单可获得的资源和服务，如访问事件响应团队、取证调查、法律支持和公关协助。我参与过几次事件，现场团队不得不停止所有事件响应行动，因为网络保险要求他们的IR团队执行所有操作。事先了解这一点会有很大帮助，减少重复工作，缩短缓解时间。这种理解确保您的事件响应计划考虑到可用的保险范围，并有效利用保险提供的资源。准备章节对了解您的网络保险提供商有更详细的介绍。

识别

在我们宣布事件之前，我们需要识别安全事件的严重程度和影响。本节描述了构建有效网络防御团队的最佳实践，以确保您正确监控环境中的正确内容，以便快速检测环境中发生的事件。话虽如此，识别不仅仅是监控，我喜欢将其视为识别与当前事件相关的所有"妥协指标"。

为了充分理解安全事件的范围，我们需要证据来审查。这是什么时候发生的？多久以前？有多少系统受影响？是否有任何数据被窃取/销毁？谁做的？所有这些问题都可以通过优秀的日志策略来回答。准备章节的日志部分是应该记录的系统的良好起点。

在识别章节阅读更多内容

遏制

事件响应的"遏制"阶段是指主要目标是限制安全事件或漏洞影响和范围的阶段。在此阶段，事件响应团队迅速工作以防止进一步损害，隔离受影响的系统或区域，并减轻与事件相关的即时风险。遏制阶段对于最小化事件可能造成的潜在危害和为随后的恢复和补救工作奠定基础至关重要。

在遏制章节阅读更多内容

根除

事件响应的"根除"阶段是事件响应团队专注于从受影响的系统和基础设施中完全清除安全事件或漏洞原因的阶段。目标是消除攻击者存在的任何残余，并确保环境安全，没有可能在未来被利用的漏洞。根除阶段通常在遏制阶段之后，在恢复和经验教训阶段之前。

在根除章节阅读更多内容

恢复

事件响应的"恢复"阶段是指重点转向恢复正常业务运营，并将受影响的系统、网络和数据恢复到完全功能和安全状态的阶段。恢复阶段在遏制和根除阶段之后，涉及旨在从事件影响中恢复并最大限度地减少对组织造成的任何中断的活动。公司经常在遏制和根除完成之前就转向恢复阶段，导致事件响应效果不佳，延迟恢复正常运营状态。不要犯这个错误。

在恢复章节阅读更多内容