想象一下：您在一家成熟的公司,作为IT部门负责人。有一天，最糟糕的情况发生了：勒索软件攻击。如果攻击成功，您可能会丢失数 TB 的重要业务信息，包括个人客户数据。压力已经来临，您知道如何应对这种情况吗？

一、应急响应中每一秒都很重要

没有人愿意处于这种情况。但现实情况是，任何公司都一直面临着这样的危机。

您所做的大部分网络安全工作将集中于从一开始就防止这种情况发生。

但没有办法完全消除风险。

这就是为什么建立一个应急响应团队并制定适当的计划如此重要，以便在灾难发生时能够尽可能快速、高效地做出响应。那么我们该怎么做呢？

在本文中，我将解释构建事件响应团队的基础知识，以及定义角色、策略和行动手册。

目标是确保参与响应的每个人都能识别攻击的警告信号，并知道在发生攻击时如何响应。

这是您需要了解的内容。

二、选择外包服务还是建立自己的网络安全应急响应团队？

您必须做出的第一个决定是是否要拥有内部事件响应团队。

对于绝大多数企业来说，这应该是一个相当容易的决定，因为外包通常更简单且更具成本效益，原因如下：

• **专业知识——**事件响应团队需要高水平的网络安全专业知识。聘用此类人才可能很困难且成本高昂；
• 可用性– 您还需要确保 24h/7d 的可用性，需要多名工作人员轮班工作。这会增加我们的部门人数；
• 管理费用——外包应急响应团队可以降低工资、管理费用和开支等成本。

话虽如此，建立自己的团队有一些充分的理由。

像 IBM 和亚马逊这样的大公司通常会使用自己的系统和服务，因为它们的系统和服务规模庞大，使得外包不切实际。

对于一些小微科技企业或独角兽企业也是如此，它们可能规模较小，但拥有复杂、高度定制的 IT 环境。

对于企事业单位来说，他们聘请了自己的全职团队，，这几乎是一个要求。

总而言之，除非您的公司具有足够的经费预算，否则外包事件响应团队几乎肯定是您的最佳选择。

这使得事情变得更容易，因为您不必自己构建和管理团队。

话虽这么说，了解团队成员、团队如何运作以及他们在危机中将如何应对仍然很重要。

三、您的应急响应团队需要谁？

当然，事件响应中最重要的部分是人员。这将涉及两个独立但相关的群体：

1. 应急响应小组

这是抵御更复杂安全事件的主要防线。该团队的角色高度专业化且积极主动，专注于识别、评估和响应安全漏洞或威胁。

2. 技术支持和监控团队

技术支持团队分为三个响应级别，通常更具操作性和以客户为中心。

他们通常轮班工作，24h/7d 全天候待命，专注于安全事件对用户和系统的直接影响，快速恢复正常服务。

事实上，两个事件响应团队之间可能存在显着的交叉，而且他们通常会为了特定的响应而相互合作。

以下是您需要了解的关于每一项的信息：

四、应急响应小组

无论您是建立自己的事件响应团队还是外包，基本设置都是相同的。

这些是重要的角色：

1. 安全分析工程师 – 具有网络、恶意软件、界面和应用程序专业知识的安全专业人员。

他们通常能够理解最常见的攻击警告信号并执行常见的响应。与恶意软件分析师不同，成为安全分析师不需要编码技能；

2. IT 工程师 – 类似于 IT 管理员。

一般来说，他们将大部分时间花在日常 IT 任务上，例如配置 Windows 协议、管理硬件和服务器、设置用户帐户等。

他们本身不是安全专家，但他们将成为公司 IT 环境如何配置及公司业务的权威 ，因此他们在危机事件中非常宝贵；

3. 恶意软件分析师 – 他们是应急响应的根本。

他们几乎是拥有较高编码技能并且对恶意软件分析有深入的了解。恶意软件分析师是二进制方面的专家，接受过CTF、攻防演练的洗礼。

本质他们上是以与黑客相同的方式分析和渗透 IT 环境。他们也可以被称为白帽子；

4. 项目经理 – 全方位能力具备者。

项目经理通常具有与安全分析师相同的技能，但也可以管理人员和项目。这使他们成为协调团队和整体响应的最佳选择；

5. 外宣？公关？– 成功的攻击将对您的品牌声誉产生重大影响。

他们负责在必要时与客户和供应商进行沟通。他们传达相关信息，并在可能的情况下限制成功攻击造成的声誉损害；

6. 法律顾问 – 确保响应遵循法律准则。

这一点非常重要，因为不同的行业会有不同的规则，例如允许第三方远程访问 IT 系统、响应勒索软件威胁以及记录成功安全事件的证据。

这是大多数组织将使用的角色。一些组织可能会根据需要添加其他角色，具体取决于其特定需求和 IT 环境。

五、监控和支持团队

除了应急响应团队之外，您还需要确保有一个永久的 24h/7d 技术支持团队。该团队的工作是实施预防性控制并发现潜在攻击的警告信号。

一般来说，企业应该致力于获得三个级别的监控支持，每个级别都有不同的职责和专业水平。

无论团队是内部团队还是外包团队，这种结构通常都是相同的：

1 级：涉及一线支持人员或服务台人员。

他们不是安全专家，会花费大量时间实施预防性工具和控制措施，例如防病毒软件、配置安全网络访问以及实施最小权限原则。

他们所做的大部分工作是按照公司框架和行动手册操作的；

2 级：由更有经验和专业的安全专家组成。

他们将使用 SIEM、SOAR 或 XDR 等工具进行大量持续监控并使得损失最小化。

他们负责在恢复运营之前快速检测和遏制违规行为；

3 级：这些是最专业的专家，通常涉及恶意软件和逆向工程专家。

他们进行深入的事件分析并制定预防未来攻击的策略。

在 2 级专家实施隔离或关闭机器等基本响应后，高度异常或严重的攻击通常会升级到第三级。

值得指出的是，应急响应团队的特定成员也可能参与持续支持工作。区别不在于他们是谁，而在于他们所扮演的角色。

至关重要的是，技术支持团队始终在线，而事件响应团队将在检测到安全事件后立即组建。

安全分析师和项目经理在支持团队的 2 级和 3 级工作是很常见的。

在定义这些团队时，制定明确的政策来确定何时、如何以及向谁汇报升级事件也很重要。

例如，1 TB 的数据丢失应直接上报给应急响应团队（当然不要忘记自己的老板们）。

但不确定的网络钓鱼攻击可能不太严重——在这种情况下，1 级或 2 级支持人员可以按照既定流程隔离机器或重新启动密码。

六、如何建立成功的应急响应团队

为应急响应团队选择合适的人员很重要，但过程并不止于此。确保团队中的每个人都了解自己的角色以及发生事件时如何应对也很重要。

要做到这一点，需要三个主要步骤：

1.选择合适的工具

当发生可疑攻击时，速度就是一切。正确的工具可以让您的响应更快、更灵敏、更有效。

这就是为什么了解哪些工具可用以及如何最好地使用它是如此重要。 一般来说，常见的事件响应工具有以下三类：

A. SIEM（安全信息和事件管理）——这对于实时数据分析和日志管理很有用。一般来说，它们用于可见性、实时监控和警报。这是使用者从新位置登录等信息来检测潜在安全事件的第一个监测点。选择此项以获得 全面的网络可见性；

B. SOAR（自动化响应）——非常适合自动响应常见威胁和编排复杂的工作流程。 SOAR 用于自动响应常见安全信号 - 例如您可能在策略中定义或在 SIEM 中识别的信息。选择此选项可以 自动化并简化检测和响应；

C. XDR（扩展检测和响应）——一种较新的工具，正在成为提高安全响应能力的越来越流行的方法。其扩展功能结合了来自各种安全产品的数据，以提供环境中数据和风险的更多集成和更详细的视图。选择此选项的目的是：通过高级威胁检测、调查和响应，对安全事件做出更统一、更明智的响应。

正如您所知，这些工具中的每一个都是为不同的角色而设计的，因此不一定要选择最好的工具。相反，组织通常会使用工具组合来创建分层响应。

一种常见的组合是使用 SIEM 进行可见性和检测，同时使用 SOAR 进行自动响应，这些工具通常会用于集成使用。

XDR 还可以用作独立产品或扩展现有 SIEM 或 SOAR 的功能。当然最终选择完全取决于您组织的具体需求和技术。

2. 制定行动手册和合规政策

团队人员到位后，下一步就是制定策略和行动手册。这里的目标是确保 IRT 和支持团队中的每个人都能有效识别攻击的警告信号以及他们需要如何应对。

这些手册应明确列出常见攻击所需的补救或缓解步骤，以及何时升级以及向谁升级。这对于第一级和第二级支持特别有用，因为他们将处理更可预测和定期的攻击。

这里的挑战是几乎不可能为每种可能的事件设计有效的策略。有超过 20 种不同类型的勒索软件攻击，仅作为初学者。

此时，您需要注意不要让建议过于详细或规定性；您包含的详细信息越多，该详细信息与所面临的特定攻击无关的可能性就越大。与公司业务处理流程一样，应急响应解决方案是一种微妙的平衡行为。

以下是您的策略可能涉及的示例，例如可疑的勒索软件攻击：

• 分析相关.log文件；
• 关闭计算机，隔离机器，并将其从网络上撤离；
• 升级到第三级，勒索软件可能在安全环境中重新启动并进行。

这是一个相当标准的勒索软件手册，大致是您在这个阶段应该了解的详细程度。

3. 制定合规政策

除了您的行动手册之外，您还应该制定合规政策。这应该明确规定：

• 如何以及何时报警；
• 任何事件后书面文件和报告义务；
• 为勒索软件付费（或更可能是不付费）；
• 安全团队是否（以及何时）可以远程控制第三方机器。

有许多令人困惑和重叠的法律标准需要注意，并且根据您所在的特定司法管辖区会有不同的法规。

例如，在丹麦，所有数据泄露都必须向网络安全中心报告。在欧盟，支付勒索软件也是违法的，但在美国，这更像是一个灰色地带。当然，在我国我们可以放心的联系警察叔叔。

这些可能是令人困惑和棘手的问题，这就是为什么在设计策略时与法律专业人士讨论这一问题如此重要 。务必在攻击之前尽早进行。这样，正确的响应就不会有任何歧义。

4. 创建应急报告和文档模板

最后一个阶段是撰写网络攻击应急响应的文档模板。攻击发生后，您通常必须与客户、利益相关者、执法机构和更广泛的网络安全社区共享特定信息。

它有助于确保事件得到解决或缓解后可以快速收集文档。一般来说，安全分析师会有清晰的报告文档和模板可供使用。这确保了信息的记录和呈现方式能够清楚地证明合规性，同时向相关利益相关者提供正确的信息。

该文档通常由 2 级支持人员填写，有时涉及 3 级恶意软件专家向他们提供的信息。它应该包括：

• 概括;
• 事件概述；
• 发现;
• 时间线;
• 攻击类型。

您还需要将事件与特定的Mitre Att&ck代码关联起来，该代码是全球公认的安全事件中使用的策略和技术的存储库。这是世界各地安全专家的共同语言。

事实上，每种类型的攻击都有自己的Mitre Att&ck代码，以及常见缓解策略的描述和建议。例如，网络钓鱼的代码是T1566。您可以在 Mitre Att&ck 主页上查看已确定策略的完整列表。

七、常见问题解答：建立网络攻击响应团队

1、什么是网络事件响应团队？

事件响应团队是一个专门小组，负责准备、检测和响应网络安全事件。他们评估威胁、减轻损失并帮助恢复，确保组织抵御网络攻击的能力。他们的重点是维护安全并最大限度地减少网络攻击的影响。

2、响应团队涉及哪些人？

该团队通常包括安全分析师、IT 专家、恶意软件分析师、项目经理和法律顾问。每个成员都扮演着独特的角色，包括监控和响应威胁、管理 IT 基础设施、分析恶意软件、协调响应工作以及确保安全事件期间和之后的法律合规性。

3、内部和外包应急响应团队之间的主要区别是什么？

内部团队通常存在于具有特定安全需求的大公司中，提供直接控制和专用资源。大多数公司会发现外包更简单、更具成本效益，因为可以减少管理费用和建立团队的复杂性。

以上就是本文的全部内容，欢迎各位同行前辈老师指正。