事件響應(yīng)不是個(gè)事情，而是個(gè)過程。

[[228524]]

事件響應(yīng)是有基準(zhǔn)的，SANS培訓(xùn)出來的安全人員都熟悉這6個(gè)階段：準(zhǔn)備、識(shí)別、限制、清除、恢復(fù)、總結(jié)經(jīng)驗(yàn)教訓(xùn)。這6個(gè)階段定義了公司企業(yè)以最少的修復(fù)時(shí)間將網(wǎng)絡(luò)攻擊破壞限制在最小范圍的基本操作。

但是，這6個(gè)階段中有些方面是公司企業(yè)老弄錯(cuò)了的。

觀察最近一系列勒索軟件攻擊的受害者，不難看出事件響應(yīng)是一個(gè)依所處情況不斷修正的動(dòng)態(tài)過程。

大多數(shù)公司要么提供SaaS平臺(tái)供員工操作，要么依賴SaaS平臺(tái)運(yùn)營(yíng)，而他們部署的很多事件響應(yīng)計(jì)劃并未真的適應(yīng)了此類動(dòng)態(tài)環(huán)境。

相反，大多數(shù)公司的事件響應(yīng)計(jì)劃的焦點(diǎn)，都集中在本世紀(jì)初甚至更早時(shí)期的靜態(tài)環(huán)境上。雖說以前的靜態(tài)環(huán)境和現(xiàn)在的動(dòng)態(tài)環(huán)境還是有很多交集，但確實(shí)有些小的方面如果不注意的話，是可以讓公司栽個(gè)大跟頭，信譽(yù)與底線雙雙受損的。

于是，這其中有哪些方面是公司企業(yè)尚未投注足夠的重視的呢?有哪些地方尚存有空白和漏洞呢?

最大的漏洞恐怕就是沒認(rèn)識(shí)到事件響應(yīng)是個(gè)過程，而不是個(gè)事情。你做的不是事件響應(yīng)，而是事件響應(yīng)中的一個(gè)階段。

另外，限制和清除這兩個(gè)階段之間的差異也少有人意識(shí)到。很多人都覺得直接跳到清除過程就好了啊，清除掉了不就限制了威脅的破壞了么?

然而，這種想法大錯(cuò)特錯(cuò)。

限制階段的存在是有原因的。通過將威脅限制在某一范圍，事件響應(yīng)團(tuán)隊(duì)就有時(shí)間對(duì)事件進(jìn)行恰當(dāng)?shù)呐挪椤＿@又走回了識(shí)別階段，有些公司就是在這里會(huì)有些迷惑與混亂。識(shí)別階段不是入侵檢測(cè)，而是確定公司所遭遇攻擊已經(jīng)嚴(yán)重到何種程度。

你得找出每一臺(tái)被感染的設(shè)備，如若不然，攻擊者就仍然會(huì)在公司網(wǎng)絡(luò)中留下?lián)c(diǎn)，即便事件響應(yīng)的所有6個(gè)階段都走完了。

換句話說，限制階段基本上就是密集監(jiān)視，對(duì)攻擊者圍追堵截，盡一切努力阻礙其達(dá)成最終目標(biāo)。

這一階段，響應(yīng)團(tuán)隊(duì)依然在勾勒對(duì)手的輪廓，了解感染的范圍和嚴(yán)重程度，但卻又好像什么都沒有干，因?yàn)槟銉H僅是在看著。而這就是大多數(shù)公司都很難進(jìn)行的部分之一，畢竟，干看著對(duì)手而不動(dòng)作的耐心不是每個(gè)人都有的。

如果有在司法部門工作的經(jīng)歷，倒是不難理解為什么會(huì)有“限制”這個(gè)階段了。這一階段可以讓你確定自己已經(jīng)完全摸清了狀況，可以在真正的壞事即將發(fā)生時(shí)加以阻斷。但如果沒能做好這一步驟就馬上切到了清除階段，那基本上相當(dāng)于做無用功，等于又重新回到了原點(diǎn)。

大多數(shù)事件響應(yīng)計(jì)劃中的第二大空白，集中在恢復(fù)和經(jīng)驗(yàn)總結(jié)上。大多數(shù)公司企業(yè)在這方面做得糟透了。

他們總是太過關(guān)注自己是怎么被攻擊的，或者發(fā)生的情況是有多么異常。

然而，事件的發(fā)生肯定不僅僅運(yùn)氣不好這個(gè)原因。這些公司卻放棄了認(rèn)識(shí)到同樣的事件極有可能再次發(fā)生的機(jī)會(huì)。

他們沒有花時(shí)間去追問可以做些什么來確保既從當(dāng)前事件中恢復(fù)，又能檢測(cè)并擊敗未來的類似事件。

而一旦公司防護(hù)脆弱的事流傳出去，被攻擊的風(fēng)險(xiǎn)就會(huì)成倍上升，因?yàn)閯e的黑客都排長(zhǎng)隊(duì)等著試手了，更別說曾經(jīng)嘗試過的那撥攻擊者了。

攻擊者第一次沒能得手最終目標(biāo)的話，他們卷土重來的概率幾乎是100%。

想要公司企業(yè)承認(rèn)自己防護(hù)失敗，承認(rèn)從長(zhǎng)遠(yuǎn)看自己必須做得更好，是需要相當(dāng)?shù)淖晕乙庾R(shí)的，這也正是為什么回復(fù)和經(jīng)驗(yàn)總結(jié)階段如此重要的原因所在。然而，想要達(dá)到這種級(jí)別的自我意識(shí)，公司文化就不得不做出一些改變。

事件發(fā)生后，大多數(shù)公司都集中在打補(bǔ)丁或增加額外的入侵檢測(cè)防護(hù)層上，卻忘了問題的根源。

但實(shí)際上，退回到最初的幾個(gè)階段來衡量某些東西才是真正應(yīng)該做的。比如，威脅入侵了多長(zhǎng)時(shí)間你才檢測(cè)出來?也就是業(yè)內(nèi)很多人說的，駐留時(shí)間有多長(zhǎng)?

如果每次事件后都不能縮短駐留時(shí)間，那只是說明公司的入侵檢測(cè)存在系統(tǒng)性問題。

但有趣的是，大多數(shù)公司企業(yè)都不討論駐留時(shí)間。你幾乎看不到有哪家公司談?wù)撟约涸谀膫€(gè)年份處理了多少事件，自己的響應(yīng)速度有多快。

事件響應(yīng)的底線就在于，這是一個(gè)循環(huán)，而你總是處在經(jīng)驗(yàn)教訓(xùn)總結(jié)這個(gè)階段。

所以，這個(gè)循環(huán)永遠(yuǎn)不會(huì)完結(jié)，你不過是又走回識(shí)別階段，在想“別的事件將要發(fā)生，我們能找出來嗎?”

事件響應(yīng)成為大多數(shù)公司日常安全運(yùn)營(yíng)而不是有事時(shí)才想起來用用的原因正在于此。

事實(shí)上，安全行業(yè)中將事件響應(yīng)作為日常任務(wù)采用的公司，也比那些求助于兩三年前就弄好放那兒積灰的發(fā)展得好。