Security Triage
- 定義:根據事件的重要性或緊急程度來設定優先順序,保障資源高效利用。
- 事件根據其對系統的機密性、完整性和可用性構成的威脅進行分類排序。
| 部分 |
內容 |
| 醫療領域對比 |
- 緊急:心臟病發(立即處置)- 非緊急:手指骨折(可能等待)。 |
| 安全應用對比 |
- 高優先級:勒索軟件攻擊(可能造成財務、聲譽等嚴重損害)。- 低優先級:針對釣魚郵件的分析(威脅較小)。 |
| 操作流程 |
1. 接收及初步評估(alert)。2. 根據政策設定優先級別。3. 進一步調查並收集證據。 |
| 分析技巧 |
確定是否誤報檢查是否屬於現有事件/聯繫上下文訊息。 |
| 案例問題分析 |
Q:接收失敗登入的警報,如何分析? A:檢查是否時間不對、來源異常或有多次失敗行為。 |
| 結果 |
幫助優化資源分配,減少錯誤判斷,提升安全回應效率。 |
Triage Process 分診流程:
- receive and assess : 第一步分診過程中,安全分析師收到來自警示系統(如入侵檢測系統 intrusion detection system (IDS)的警報。您將識別不同類型的警報,然後根據緊急程度進行優先處理。接收並評估警報,以判斷是否為誤判以及它是否與現有事件相關。
- assign priority 如果確實是正面個案,您將根據組織的政策和指導方針對警報設定優先級。
- investigate the alert and collect and analyze
| Triage Step |
Description |
Examples or Key Points |
| Receive and Assess |
接收並評估警報,確認其有效性與細節。 |
是否是假陽性(False Positive)?是否關聯已知漏洞?警報嚴重性? |
| Assign Priority |
根據事件影響程度分配優先級。 |
1. 功能影響:IT服務功能中斷(如勒索軟件)。2. 信息影響:數據被盜、數據洩露。3. 恢復能力:是否可恢復?是否值得投入資源? |
| Collect and Analyze |
收集事件証據,綜合分析,制定解決方法。 |
嚴重事件需升級給更高級別分析師或管理者處理。 |
| Benefits of Triage |
簡化流程,節省資源,防止威脅擴大,確保緊急事件被及時解決。 |
1. 資源更有效管理分配。2. 流程標準化避免錯誤,快速反應。 |
分析技巧 & 案例問題分 adding context
- 定義: 分析員應進行徹底分析,透過提問添加背景資訊
- 目的: 確保完成詳細分析以獲得足夠的信息,從而對調查結果作出有依據的決策。
| 項目 |
描述 |
| 舉例(事件) |
處理失敗的使用者登入警報。 |
| 分析過程 (問題舉例) |
- 是否有異常行為? - 是否有多次失敗登入? - 是否發生於非工作時間? - 是否發生在外部網路? |
| 優點/好處 |
- 資源管理 - 縮短響應時間 - 提高調查準確性。 - 避免基於假設的錯誤結論。 |
分析過程
1. Receive and assess
- 此警報是否有異常情況?Is the alert a false positive?
- Was this alert triggered in the past?警報歷史可協助判斷問題是全新還是重複發生,並了解過去的解決方式。
- Is the alert triggered by a known vulnerability?如果警報由已知漏洞觸發,安全分析師可利用現有知識來決定合適的應對措施,並將漏洞的影響降到最低。
**2. Assign priority **
| 考量因素 |
定義 |
舉例 |
考量方向 |
| 功能Functional影響 |
事件對技術系統和該系統所提供服務的功能影響 |
勒索軟件攻擊導致數據被加密或刪除,系統不可用 |
評估業務功能的受損程度 |
| 信息Information影響 |
事件對數據或信息的機密性、完整性與可用性的影響 |
數據洩露使敏感信息(如用戶資料)被黑客盜取並可能被濫用 |
考慮洩露影響的範圍,包括對內與對外的後續問題,這些資料可能屬於第三方使用者或組織。 |
| 可恢復性Recoverability |
組織因事件造成的損失,能否透過時間與資源進行恢復 |
被竊取的專利數據遭公佈,幾乎無法恢復 |
評估恢復的可能性與收益,避免浪費不必要的資源 |
3. Collect and Analyze
最後一步是安全分析師進行全面的事件分析,收集證據、進行外部研究並記錄調查過程,以便做出應對決策。根據事件嚴重性,可能需要升級至更高級別分析師或經理處理,他們可能具備更高階技術來解決問題。
The containment, eradication, and recovery phase of the lifecycle
生命週期中的遏制、根除和恢復階段
- 事件回應生命週期(Incident Response Lifecycle)中的第三階段,包括隔離(Containment)、根除(Eradication)以及恢復(Recovery)
- 這個生命周期階段結合了NIST網絡安全框架的核心功能——回應和恢復。
「Incident Response Lifecycle」:
- 準備(Preparation):建立安全政策、工具和流程,來應對可能的安全事件。
- 檢測與分析(Detection and Analysis):識別安全事件發生的事實,並分析其範圍和影響。
- 遏制、根除與恢復(Containment, Eradication, and Recovery):採取行動限制事件影響、移除威脅以及恢復正常運營。
- 事後活動(Post-Incident Activity):事件解決後,進行回顧與總結,以改進未來的應對能力。
| 階段 |
定義 |
範例操作 |
目標 |
| 隔離 (Containment) |
限制並防止事件進一步擴散 limiting and preventing additional damage caused by an incident." |
將受感染系統與網路斷開,防止惡意軟體擴散至其他系統 |
將事件影響範圍縮到最小 |
| 根除 (Eradication) |
完全移除事件相關因素 |
執行漏洞測試、修補漏洞 |
確保消除所有威脅 |
| 恢復 (Recovery) |
將受影響系統恢復至正常狀態 |
重建系統、重置密碼、調整網路配置(例如防火牆規則) |
恢復業務運作與系統服務 |
| 補充說明 |
此階段與NIST框架的「回應與恢復」功能相關,並可能回到其他生命週期階段再次調查 |
無 |
確保持續迴圈及監控 |
Business continuity considerations
Business continuity planning 業務連續性考量
- 業務持續計畫(BCP)是一份文件,概述了在重大中斷期間和之後維持業務運作的程序。BCP 幫助組織確保關鍵業務功能可以在事件發生時恢復或快速復原。
- 初階安全分析師通常不負責制定和測試業務持續計畫(BCP)。
| 區別 |
Incident Response Plan 事件響應計劃 |
業務連續性計劃Business Continuity Plan |
| 目標 |
快速檢測、應對和控制安全事件,減少即時影響。 |
確保重大中斷後業務能持續運行或快速恢復到正常狀態。 |
| 關注點 |
事件的處理與解決。 |
業務運營的持續性和長期恢復。 |
| 範圍 |
專注於特定的安全事件(如網絡攻擊、惡意軟件感染等)的應對步驟和技術操作。 |
涵蓋整個組織的業務運營,包括資源分配、員工安排、供應鏈管理等。 |
| 時間範疇 |
側重於短期內的快速反應和解決問題,通常是幾小時到幾天的時間範圍。 |
更關注長期的影響和恢復,可能需要幾天、幾週甚至更長的時間來實現恢復。 |
| 參與角色 |
主要由技術團隊(如IT安全團隊、事件響應小組)負責執行,專注於技術層面的應對。 |
涉及更多部門和角色,包括高層管理人員、業務部門、供應商等。 |
| 文件內容 |
包括事件的檢測方法、響應步驟、工具使用、責任分工等技術細節。 |
包括關鍵業務流程的識別、風險評估、替代方案、資源分配、溝通計劃等。 |
disaster recovery plans
業務連續性計劃與災難恢復計劃並不相同。災難恢復計劃是用於在重大災難發生後恢復資訊系統。這些災難可能範圍從硬體故障到設施因自然災害(如洪水)被摧毀。
勒索軟體(Ransomware)對業務連續性(Business Continuity)的影響
- 勒索軟體攻擊可能對業務運作造成毀滅性影響。
- 針對關鍵基礎設施(如醫療保健)的攻擊,可能導致:
- 無法存取醫療記錄。
- 影響基本醫療服務的可用性與交付。
- 進一步威脅國家安全、經濟安全和公共健康安全。
- 解決方法:
- 業務連續性計劃(BCP)可幫助減少運作中斷,確保關鍵服務的可用性。
- 復原策略
- 當安全事件導致系統中斷時,組織必須有復原計劃來恢復正常運作。
- 站點韌性是復原策略的一部分,確保基礎設施在中斷時仍能提供服務。
3types of Site resilience 策略
- Resilience韌性是指在面對中斷時準備、應對和恢復的能力。組織可以設計出具有韌性的系統,以便在面臨中斷時仍能繼續提供服務。例如,網站韌性確保網路、資料中心或其他基礎設施在發生中斷時仍能正常運作
| 策略 |
定義 |
優缺點 |
| 熱備援站點 Hot Site |
一個能立即啟用的完整系統,與主站相同duplicate。 |
優點:快速啟用並最小化停機時間缺點:成本極高 |
| 溫備援站點 Warm Site |
包含更新並設置完善的系統,但需要一些時間來啟動。 |
優點:比熱備援站點經濟,能更快啟動業務缺點:需要一些額外的時間與設定 |
| 冷備援站點 Cold Sit) |
一個僅有基本設施的備援站點,但無完整系統,啟用需要較多時間。 |
優點:成本最低缺點:啟動時間長、需技術人力進行設置 |
事後回顧 post-incident activity/actions
- NIST事件回應生命週期中的最後一個階段,即 後事件活動階段 (Post-Incident Activity Phase)。該階段專注於回顧事件,改進未來回應流程,以及更新或建立相關文檔。
- 最終報告The final report 是對事件的全面審查,包括事件時間線、詳細經過及未來預防建議。報告應考慮讀者(如非技術專業人士)。
| 主題 |
描述 |
容易忽略的細節 |
| 後事件活動階段post-incident activity/post-mortem |
在事件解決後回顧過程,藉此找到改進空間,針對未來的事件回應做出相應改善。 |
記得完整記錄事件的所有經過,作為後續分析依據。 |
| **事件總結報告The final report ** |
提供完整且詳細的事件時間軸、經過概述以及未來的預防措施建議。 |
報告需全面且準確,避免模糊資訊。 |
| ** lessons learned meeting經驗教訓會議** |
發生於事件結束兩週內,所有相關人員參與,檢討事件發生過程與回應效率,分析可改進之處。 |
會議應聚焦於改善而非責備。 |
| 學習重點與錯誤分析 |
檢視分析階段或回應階段可能的失誤,視為學習的機會。防範如釣魚信件等未來潛在威脅。 |
人為錯誤不應被忽略,可透過教育來控制的風險。 |
lessons learned meeting 經驗教訓會議
提供一些在經驗教訓會議中可提出的問題,例如:
- 事件經過、
- 發生時間、
- 發現者、
- 隔離措施、
- 復原行動以及
- 改進建議等。
- 除了能從事件中學到經驗外,舉行經驗教訓檢討會還有其他好處。對於大型組織而言,經驗教訓檢討會為跨部門的團隊成員提供了一個平台,可以分享資訊和未來預防的建議。
- 舉辦經驗檢討會議前,應確保參與者做好準備,提供會議議程以明確討論主題,並提前分配會議角色,如主持人和記錄員。
事件總結報告The final report
- 最終報告為事件提供綜觀檢視,其格式不統一,取決於報告對象(例如高層管理、技術人員等)。它應該涵蓋事件的五個核心要素「5W」,並包括以下關鍵部分:執行摘要、時間線、調查細節和建議事項。
- 是事件完成後的一個全面性報告。
- 重點是為不同的讀者群體提供特定的關鍵資訊。
- 5W 的應用:描述事件的「Who(誰參與)」、「What(發生什麼)」、「Where(在哪裡)」、「Why(原因)」、「When(何時發生)」。
- 常見 Final Report 構成要素:
| 項目 |
定義 |
補充說明 |
| Executive Summary |
高層摘要,包含關鍵發現與事實 contains a high-level overview |
適用於高層或非技術專業人士 |
| Timeline |
事件發生的時間戳與順序 |
可詳述從觸發到解決的完整過程 |
| Investigation |
調查細節,包括檔案檢測、數據分析等技術細節 |
例子:分析封包截圖(Packet Capture),了解網路異常包括資料流通動態。 |
| Recommendations |
提出預防同類事件的措施 |
提升未來應對能力,減少類似事件再次發生的機會 |
iThome鐵人賽
看影片追技術
看更多
yennefer
