CSIRT 是现代网络安全的重要组成部分,它负责对数据泄露和勒索软件攻击等事件做出快速响应。CSIRT 不仅可以减轻损失,还专注于风险防范工作。随着网络威胁的发展变化,CSIRT 仍然至关重要,它能够适应新技术和企业需求,以防范潜在的服务中断并避免产生财务损失。
本文将探讨计算机安全事件响应团队 (CSIRT) 的组成和目的。CSIRT 由一群具有不同 IT 和网络安全背景的专业人员组成。它们的目的是快速、高效地应对网络安全事件,同时也致力于从根本上防止此类事件的发生。
CSIRT 是一个由一组相关人员组成的正式组织单位,其既定使命是针对数据泄露或勒索软件攻击等网络安全事件提供快速且以结果为导向的响应。风险缓解通常也是 CSIRT 的工作重点,因为预防攻击比与被动应对攻击更受青睐。为此,CSIRT 提供评估和管理风险的服务,并且目的是防范网络紧急事件。基本假设是,任何依赖计算机的企业都需要具备正式的事件响应能力,并由一个专门的团队来执行。
CSIRT 可能并不会执行每个事件响应过程。该团队并不会包揽一切,而是依据他们制定的计划和协议,通过协调其他团队的行动来辅助自身的工作。特别是,CSIRT 会尝试遏制威胁或攻击、消除威胁,然后监督恢复工作。例如,如果恶意软件接管了某个服务器,则安全团队将遵循 CSIRT 的现有协议并隔离该服务器,使恶意软件无法在网络中传播。随后,CSIRT 将协调执行一个流程,以清除恶意软件并将服务器恢复到正常运行状态。
CSIRT 通常会进行事件后调查,并执行或指示其他人负责后续任务,例如为操作系统安装补丁、重置防火墙,或确保入侵检测系统 (IDS) 等防御技术配置为捕获任何进入服务器的任何恶意软件。在此过程中,CSIRT 可能会更新其响应计划。此外,CSIRT 也可能会参与安全策略的审核及修订。它还可能会管理审计工作。
CSIRT 的主要工作是事件响应。能否达到预期效果,关键在于响应过程的及时性与准确性。每个 CSIRT 的工作方式有所不同,但目标始终是相同的:最大限度地减少对系统和数据的损害、消除威胁,并快速将系统恢复到正常运行状态。
准备工作是取得成功的关键因素之一。这并不是一份光鲜亮丽的工作,并且在未发生紧急事件的时候,CSIRT 似乎“无所事事”。但事实是,CSIRT 在此期间一直不断完善其策略和流程,并与企业内的合作伙伴团队保持密切沟通。例如,CSIRT 会定期更新安全运营中心 (SOC) 的安全编排、自动化和响应 (SOAR) 系统及其事件行动手册。与此相关的是,CSIRT 始终在研究最新的威胁数据,并可能与信息共享和分析中心 (ISAC) 保持同步。
当事件发生时,CSIRT 会立即采取行动。该团队致力于在遏制威胁的同时,通知所有必要的利益相关方,例如 IT 部门、业务经理、法务部门、公关团队等。在遏制并隔离了威胁后,CSIRT 便会着手对其进行修复,具体措施可能包括应用系统补丁并要求 IT 部门为所有类似的系统安装补丁。随后,CSIRT 会为相关的利益相关方准备事件报告,并据此更新其策略和流程,以避免将来再次发生类似事件。
多年来,CSIRT 一直是信息安全领域中一个公认的组成部分,这一点在其名称中便有所体现——这让人回想起那个由少数几台大型计算机主导所谓的管理信息系统 (MIS) 部门的时代。如今,没有人会说:“我们发生了一起计算机事件。”但在当时,如果“计算机”(也可能是“玻璃机房”中的一台大型主机)出现了安全问题,CSIRT 便会在现场采取应对措施。在随后的几十年里,网络安全问题变得更加严峻和复杂,但对 CSIRT 的需求依然存在。不仅如此,企业比以往任何时候都更需要 CSIRT。
CSIRT 必不可少,因为在当今严峻的威胁形势下,安全事件的利害关系极为重大。公司和公共部门组织都必须能够抵御执着而老练的攻击者。在某些情况下,攻击由国家支持的犯罪团伙发起。一次恶性网络安全事件可能会对企业的运营、财务和声誉造成重大损害。采取计划周密、行动迅速的应对措施势在必行。而这正是 CSIRT 的价值所在。
如今,CSIRT 的职责正与 IT 和安全的多个不同领域相融合。例如,如果一家公司设有 SOC,则运营 SOC 的团队会与 CSIRT 协作,并且可能会在工作中遵循后者的标准流程。在某些情况下,技术本身已取代了 CSIRT 的部分传统职责。例如,SOAR 平台可能已将 CSIRT 策略融入到其工作流和威胁抵御“行动手册”中。
多年来,CSIRT 一直是信息安全领域中一个公认的组成部分,这一点在其名称中便有所体现——这让人回想起那个由少数几台大型计算机主导所谓的管理信息系统 (MIS) 部门的时代。如今,没有人会说:“我们发生了一起计算机事件。”但在当时,如果“计算机”(也可能是“玻璃机房”中的一台大型主机)出现了安全问题,CSIRT 便会在现场采取应对措施。在随后的几十年里,网络安全问题变得更加严峻和复杂,但对 CSIRT 的需求依然存在。不仅如此,企业比以往任何时候都更需要 CSIRT。
CSIRT 必不可少,因为在当今严峻的威胁形势下,安全事件的利害关系极为重大。公司和公共部门组织都必须能够抵御执着而老练的攻击者。在某些情况下,攻击由国家支持的犯罪团伙发起。一次恶性网络安全事件可能会对企业的运营、财务和声誉造成重大损害。采取计划周密、行动迅速的应对措施势在必行。而这正是 CSIRT 的价值所在。
如今,CSIRT 的职责正与 IT 和安全的多个不同领域相融合。例如,如果一家公司设有 SOC,则运营 SOC 的团队会与 CSIRT 协作,并且可能会在工作中遵循后者的标准流程。在某些情况下,技术本身已取代了 CSIRT 的部分传统职责。例如,SOAR 平台可能已将 CSIRT 策略融入到其工作流和威胁抵御“行动手册”中。
每个 CSIRT 都有其独特的构成。但是,大多数 CSIRT 在整合人员和策略时,所采用的方式都能够清晰界定其使命。在人员配置方面,CSIRT 通常有一个由专职成员组成的核心小组,并由根据需要与 CSIRT 合作的专家予以补充完善。该团队的成员几乎无一例外地拥有不同的背景和技能组合。例如,有些人是保护 Windows 系统的专家,其他人则了解 Linux。核心团队可能会被安排全职参与 CSIRT 的工作,但这种情况主要发生在规模庞大的企业中。在大多数情况下,CSIRT 团队的成员在 IT 和网络安全部门都有各自的“本职工作”。
在政策方面,除了 CSIRT 的使命声明和相关利益群体的书面定义之外,CSIRT 还会编制和维护一套用于确定 CSIRT 运作方式的文档。例如,一个 CSIRT 通常有一份核心的事件响应计划,该计划以书面形式明确规定了该团队如何处理现场事件响应流程,以及如何通过电话处理事件响应。该计划明确了 CSIRT 如何通过向多个相关小组之间分配团队资源来协调事件响应。
作为这项工作的一部分,CSIRT 将发布各类表格和联系人目录,并与企业中它所服务的每个小组进行共享。这听起来可能是一个不必要的步骤,但经验表明,关键利益相关方往往不知道在发生安全事件时应该联系谁。例如,如果首席执行官的笔记本电脑被盗,那么他的行政助理是会联系 CSIRT,还是只会致电 IT 帮助台?而在这种情况下,IT 帮助台自身也可能需要明确的提示才能激活触发 CSIRT。
CSIRT 还会编制许多内部策略和流程文档。这些文档涵盖了 CSIRT 的运作方式、它的事件响应方式、各个成员的职责划分以及事件报告的编制方法等。
这些策略的具体细节将因 CSIRT 的结构而异。建立 CSIRT 的常见组织方法包括:
PSIRT(即,产品安全事件响应团队)类似于 CSIRT,但其工作重点是公司产品的安全方面。例如,如果某公司是计算机硬件制造商,则 PSIRT 负责处理与产品相关的任何安全事件。这可能意味着,其工作包括跟进产品固件的补丁更新,以及在产品成为网络攻击的目标后修复客户的基础架构。
PSIRT 在结构上类似于 CSIRT。它由网络安全、信息技术 (IT) 和合规等互补领域的专家组成。从组织架构上看,PSIRT 通常隶属于公司的安全工程部门。这种设置确保了 PSIRT 能够为公司的安全开发生命周期 (SDL) 做出贡献。PSIRT 还可能参与需求收集流程、提供风险建模建议,并帮助确保创建安全的最终产品。
为了确保高效运作,CSIRT 依赖一系列旨在实时检测、分析和抵御网络威胁的先进技术。必备工具包括:
如何才能组建一个务实高效的 CSIRT?最佳实践涵盖了从最大限度地提高 CSIRT 可用性(全天候)到对团队成员进行交叉培训的方方面面。团队中掌握专业技能并且在关键时刻能够接手他人工作的人越多,CSIRT 的整体效率就越高。持续培训通常是一项最佳实践。一个优秀的 CSIRT 始终在不断地夯实自己的技能基础并完善其实践流程。对风险和场景进行建模,并演练 CSIRT 的响应方式,这样做大有裨益。此外,与整个企业的管理层发起人建立关系也是一种明智的做法。组建 CSIRT 的成本并不低,因此在经济不景气时,其存在的合理性可能会受到质疑。因此,在高层领导中拥有支持者是件好事。
任何 CSIRT 的一项关键职能都是开展事件评估,这有助于衡量企业面对各种网络威胁时的脆弱程度。这些评估旨在评价企业的基础架构、安全协议和事件响应能力,以识别可能会遭到网络犯罪分子利用的薄弱环节,以及确定何时需要执法部门介入。
定期评估必不可少,这有助于识别新软件的漏洞、错误配置,以及可能导致未经授权的访问或后门恶意软件感染的员工操作。它们还可帮助企业为应对日益复杂的攻击媒介(例如爬虫程序、加密货币挖矿恶意软件或 DDoS 攻击)做好准备。
全面评估不仅涉及对内部系统的审查,还涉及评估企业的供应商生态,以应对日益增长的供应链攻击风险。正如许多备受瞩目的数据泄露事件所表明的那样,企业的安全防护能力完全取决于其最薄弱的环节。
CSIRT 是网络安全策略取得成功的关键要素。这是因为,在当今的环境下,如果某个关键系统发生故障或数据泄露,那么每家企业都会面临严重的服务中断问题和巨大的经济损失。CSIRT 可以减轻此类事件对业务造成的最严重影响。CSIRT 成员共同具备的专业知识,使他们能够快速且有效地应对网络安全事件。此外,他们还有助于防范攻击。正是因为 CSIRT 拥有策略制定权,因此随着安全流程的现代化和自动化程度越来越高,CSIRT 的作用非但没有减弱,反而在不断增强。
CSIRT(计算机安全事件响应团队)可通过多种方式来增强贵企业的网络安全态势。它可以提供即时的事件响应能力,同时能够利用先进的威胁情报营造安全意识文化。有了网络应急响应团队,企业便可以迅速识别、遏制和缓解安全事件,从而最大限度地减少潜在的损害与停机时间。此外,该团队还可以通过持续监控并分析新兴威胁来增强整体安全韧性。
对于 CSIRT 运营来说,必不可少的工具和技术包括用于实时监控及告警的安全信息和事件管理 (SIEM) 系统、用于调查事件和收集证据的取证工具,以及用于随时了解新兴威胁的威胁情报平台。此外,端点检测和响应 (EDR) 解决方案对于监测能力和威胁检测至关重要。
将 API 集成到这些工具中有助于实现无缝数据共享和自动化,从而提高网络紧急响应团队的效率。另外,强大的 SOC 是所有 CSIRT 活动的核心,它负责协调事件响应工作并提供主动安全态势
在面对网络安全事件时,CSIRT 必须遵循系统化的方法。计算机紧急响应流程的第一步是监控,旨在检测任何异常或威胁。一旦确定发生了安全事件,该团队会集中精力实施遏制措施,以防止事件蔓延并造成额外损害。在遏制阶段之后,团队的工作重点便转向根除,即彻底消除威胁。恢复阶段的重点是使运营恢复正常状态。事件结束后,团队会进行全面分析,以了解事件的根本原因、评估相关影响并优化计算机紧急响应策略。
在整个过程中,与利益相关方的协作和持续的安全测试对于有效解决事件至关重要。此外,产品安全事件响应团队 (PSIRT) 可以提供专业知识和见解来帮助处理特定产品相关事件。
衡量 CSIRT 的工作成效涉及跟踪各种关键指标。事件响应时间至关重要,这反映了该团队在迅速应对威胁方面的敏捷性。解决率表明了事件得到缓解以及系统得以恢复的效率。利益相关方满意度调查提供了有关 CSIRT 在沟通、协作及整体表现方面的宝贵反馈意见。
此外,评估事件对业务运营和 API 安全的影响可以让相关方深入了解该团队的工作成效。定期审查这些指标能够帮助企业发现有待改进的方面,并确保其 CSIRT 始终能够得心应手地防范网络威胁。
Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、扩展性和专业技术,助其从容拓展业务。
