什么是事件响应？

事件响应（有时称为网络安全事件响应）是指组织用于检测和响应网络威胁、安全违规或网络攻击的流程和技术。事件响应的目标是防患于未然，以及最大程度减少任何网络攻击造成的成本和业务中断。

理想情况下，组织以正式的事件响应计划 (IRP) 的形式定义事件响应流程和技术，该计划明确规定如何发现、遏制和解决不同类型的网络攻击。有效的事件响应计划可以帮助网络安全团队更快地检测和遏制网络威胁并恢复受影响的系统，减少收入损失、监管罚款以及与这些威胁有关的其他成本。 IBM 的《2022 年数据泄露成本》报告发现，与没有事件响应团队和 IRP 的组织相比，具有事件响应团队并定期检验事件响应计划的组织的平均数据泄露成本要低 266 万美元。

什么是安全事件？

安全事件是指威胁到保密性、完整性或可用性或者组织的信息系统或敏感数据的任何数字或物理安全违规情况。安全事件的范围非常广泛，例如黑客或未经授权用户有意实施的网络攻击，以及合法授权用户无意违反安全策略的情况。

一些最常见的安全事件包括：

勒索软件 勒索软件是一种恶意软件，它会锁定受害者的数据或计算设备，并且威胁要一直将其锁定，甚至出现更糟的结果 — 除非受害者向攻击者支付赎金。根据 IBM 的《2022 年数据泄露成本》报告，从 2021 年到 2022 年，勒索软件攻击次数增加了 41%。

了解有关勒索软件的更多信息。

网络钓鱼和社会工程。 网络钓鱼攻击是试图操纵接收者分享敏感信息、下载恶意软件、向错误的人转移金钱或资产，或采取其他破坏性行动的数字或语音消息。诈骗者精心设计网络钓鱼消息，使其看起来或听上去就像来自受信任或可信的组织或个人 — 有时甚至是收件人本人认识的个人。

根据 IBM 的《2022 年数据泄露成本》报告，网络钓鱼是造成的损失最大，同时是第二常见的数据泄露原因。这也是社会工程攻击的最常见形式 — 此类攻击直击人性，而不是攻击数字安全漏洞，旨在未经授权地访问敏感的个人或企业数据或资产。

了解有关社会工程的更多信息。

DDoS 攻击 在分布式拒绝服务 (DDoS) 攻击中，黑客获得大量计算机的远程控制权，使用巨大的流量压垮目标组织的网络或服务器，使这些资源无法为合法用户提供服务。

了解有关 DDoS 攻击的更多信息。

供应链攻击。 供应链攻击是指通过攻击目标组织的供应商，例如通过盗窃供应商系统中的敏感数据，或者使用供应商的服务传播恶意软件，从而渗透目标组织的网络攻击。在 2021 年 7 月，网络犯罪分子利用 Kaseya 的 VSA 平台的一个缺陷（链接位于 ibm.com 外部），以合法软件更新的幌子向客户传播勒索软件。根据 IBM 的《2021 年网络弹性组织调研》，尽管供应链攻击日益频繁，但只有 32% 的组织制定了事件响应计划以应对这种特殊的网络威胁。

了解有关供应链安全性的更多信息。

内部威胁 有两种类型的内部威胁。 恶意的内部人员是指故意破坏组织的信息安全的员工、合作伙伴或其他授权用户。 疏忽的内部人员是指由于未遵守安全最佳实践，例如使用弱密码或在不安全的地方存储敏感数据，而无意破坏安全性的授权用户。

了解有关内部威胁的更多信息。

事件响应如何发挥作用

事件响应规划

如上所述，事件响应计划用于指导组织的事件响应工作。通常，这些计划由计算机安全事件响应团队 (CSIRT) 负责制定和执行，该团队由来自整个组织的各种利益相关方构成，包括首席信息安全官 (CISO)、安全运营中心 (SOC) 和 IT 人员，还包括最高管理层、法务、人力资源、法规合规性和风险管理等职能领域的代表。

事件响应计划通常包括

CSIRT 的每个成员的作用和职责；
要在整个企业中安装的安全解决方案 — 软件、硬件和其他技术。
业务连续性计划，概括介绍在发生中断事件时尽快恢复受影响的关键系统和数据的程序；
详细的事件响应方法，列出在事件响应流程（如下所示）的每个阶段要采取的具体步骤和执行人员；
沟通计划，用于向公司领导、员工、客户甚至执法机构通报有关事件的情况；
有关文档记录的指示信息，用于收集信息和记录事件，以供事后审查（如有必要）和法律诉讼之用。

CSIRT 针对各种不同类型的事件起草不同的事件响应计划的情况并不少见，因为每种类型都可能需要独特的响应方式。根据 IBM 的《2021 年网络弹性组织调研》，大多数组织都制定了针对 DDoS 攻击、恶意软件和勒索软件攻击以及网络钓鱼攻击的具体事件响应计划，近一半的组织制定了针对内部威胁的计划。

一些组织采用外部合作伙伴来提供事件响应服务，以补充内部 CSIRT 的不足。这些合作伙伴通常以收取定金的形式提供服务，协助执行事件管理流程的各个方面，包括准备和执行 IRP。

事件响应流程

大多数 IRP 还遵循相同的通用事件响应框架，该框架基于 SANS 研究所、美国国家标准与技术研究院 (NIST) 以及美国网络安全和基础设施安全局 (CISA) 开发的事件响应模型。

准备。 事件响应的第一个阶段也是一个持续的过程，旨在确保 CSIRT 始终具有已实施的最佳程序和工具，尽快控制事件并从中恢复，最大程度减少业务中断。

通过定期的风险评估，CSIRT 确定网络漏洞，定义对网络构成风险的各种网络事件，并根据其对组织的潜在影响确定每种类型的优先级。根据这种风险评估，CSIRT 可能会更新现有事件响应计划或起草新的计划。

检测和分析。 在此阶段，安全团队成员监控网络以发现可疑活动和潜在威胁。他们分析从设备日志和通过安装在网络上的各种安全工具（反病毒软件、防火墙等）收集的数据、通知和警报，过滤掉假警报，按照严重性对实际警报进行分类。

目前，大多数组织都使用一个或多个安全解决方案，例如 SIEM（安全信息和事件管理）以及 EDR（终端检测和响应），帮助安全团队实时监控和分析安全事件，自动执行事件检测和响应流程。（有关更多信息，请参阅下面的“事件响应技术”。）

沟通计划也在这个阶段发挥作用。一旦 CSIRT 确定自己正在处理的威胁或违规的类型，他们将在进入事件响应流程的下个阶段之前，通知相应的人员。

遏制。 事件响应团队采取措施，防止违规对网络造成进一步的危害。遏制活动可分为两类：

短期遏制措施的重点是通过隔离受影响的系统，例如让被感染的设备下线，防止当前威胁进一步扩散。
长期遏制措施的重点是通过对未受影响的系统实施更强有力的安全控制，例如将敏感数据库与网络的其他部分分开，保护这些未受影响的系统。

在此阶段，CSIRT 还可创建受影响和未受影响的系统的备份，以防止更多数据丢失，并捕捉事件的取证证据以供进一步研究。

根除。 威胁得到遏制之后，团队就开始执行完整的补救措施，彻底将威胁从系统中移除。这包括积极根除威胁本身，例如摧毁恶意软件，从网络中移除未经授权的用户或流氓用户；还包括检查受影响和未受影响的系统，以确保彻底消除违规。

恢复。 当事件响应团队确信威胁已完全根除之后，他们负责将受影响的系统恢复至正常运行状态。这可能涉及部署补丁、根据备份重建系统，以及让修复后的系统和设备重新上线。

事后审查。 在事件响应流程的每个阶段，CSIRT 收集违规的证据，记录用于遏制威胁所采取的步骤。在此阶段，CSIRT 审查这些信息以更好地了解事件。 CSIRT 努力确定攻击的根本原因，确定威胁是如何成功攻破网络的，并解决漏洞，确保将来不再发生此类事件。

CSIRT 还会审查行之有效的方面，寻找改进系统、工具和流程的机会，以加强事件响应计划，有效应对未来攻击。根据违规情况，执法机构也可能参与到事后调查。

事件响应技术

如上所述，除了描述 CSIRT 在发生安全事件时应采取的步骤外，事件响应计划通常还会列出事件响应团队应实施的安全解决方案，用于人工或自动执行主要的事件响应工作流程，例如收集和关联安全数据，实时检测事件，以及响应正在进行的攻击。

一些最常用的事件响应技术包括：

SIEM（安全信息和事件管理）： SIEM 汇总和关联来自不同内部安全工具（例如防火墙、漏洞扫描器、威胁情报订阅源）以及网络中设备的安全事件数据。 SIEM 通过从这些工具生成的海量通知中确定真正威胁的指示信号，帮助事件响应团队对抗“警报疲劳”。
SOAR（安全统筹、自动化和响应）：SOAR 帮助安全团队制定行动手册（也就是用于协调各种不同的安全运营和工具以应对安全事件的正式工作流程），并且如有可能，自动执行这些工作流程的某些部分。
EDR（终端检测和响应）：EDR 是一种软件，旨在自动保护组织的最终用户、终端设备和 IT 资产免受那些突破反病毒软件和其他传统终端安全工具安全防线的网络威胁。 EDR 从网络上的所有终端持续收集数据；它实时分析这些数据，以捕捉已知或可疑的网络威胁的证据，并能自动响应以防止或最大程度减轻所发现的威胁造成的损失。
XDR（扩展检测和响应）：XDR 是一种网络安全技术，用于统一混合 IT 环境（终端、网络、私有云和公有云）中的各种安全工具、控制点、数据和遥测源以及分析功能，从而创建单一而集中的威胁预防、检测和响应企业系统。 XDR 仍是一种新兴技术，有潜力帮助过度扩展的安全团队和安保运营中心 (SOC) 通过消除安全工具“孤岛”，自动响应整个网络威胁杀伤链，从而做到事半功倍。
UEBA（用户和实体行为分析）：UEBA 使用行为分析、机器学习算法和自动化技术，发现异常和可能危险的用户和设备行为。 UEBA 在发现内部威胁方面特别有效，它可以发现使用被盗的内部人员凭证的恶意内部人员或黑客，这些行为由于模仿获得授权的网络流程，因此能够逃避其他安全工具的检测。 UEBA 功能通常包括 SIEM、EDR 和 XDR 解决方案。
ASM（攻击面管理）： ASM 解决方案可自动持续发现、分析、补救和监控组织的攻击面中所有资产的漏洞和潜在攻击方向。 ASM 可发现以前不受监控的网络资产，并对应资产之间的关系。