事件回應專家提供的四個關鍵提示

回應關鍵網路事件是一個壓力超高且令人緊張的時刻。儘管沒有可以妙方可以完全緩解回應攻擊的壓力,但事件回應專家的這些關鍵提示,能協助您的團隊在防衛組織時取得優勢。

本文將重點介紹應對網路安全事件時,每個人都應該學習到的最佳知識。它們都是來自 Sophos Managed Threat Response 和 Sophos Rapid Response 團隊的真實經驗,他們已經共同應對了數千起網路安全事件。

提示 1:盡快反應

當組織受到攻擊時,每一秒都很重要。

團隊需要很長時間才能做出反應的原因可能有幾個。最常見的一個,是他們不了解自己所處情況的嚴重性,認識不足導致缺乏危機感。

攻擊往往是在最容易忽略的時間進行的,如假期、週末和深夜。由於大多數事件回應團隊的人力嚴重不足,因此很自然地會採取「明天再處理」的態度。但不幸的是,明天可能就為時已晚,無法採取措施將攻擊的影響降至最低。

不堪負荷的團隊也較有可能對攻擊指標做出較慢的反應,因為他們處於警示疲勞的狀態,這意味著攻擊跡象會被淹蓋在雜訊中。即使初步開啟了案例,由於缺乏可見度和相關內容,也可能無法正確判定威脅的優先等級。這需要時間,但在事件回應時,時間永遠不在防守這一方。

即使在安全團隊發現受到攻擊並想要立即採取措施,他們也可能缺乏下一步該怎麼做的經驗,使回應速度變慢。解決這個問題的最佳方法是為事件預作準備。

閱讀事件回應指南,了解網路安全計劃應包括的 10 個主要步驟,以及更多內容。

去年,有一半以上的組織受到勒索軟體攻擊,在 73% 的案例中攻擊者成功加密了檔案。1

提示 2:不要過早宣布「任務完成」

在事件回應時,單只是治療症狀是不夠的。治療疾病本身也很重要。 

偵測到威脅時,首要工作就是對即時攻擊進行分級。  這意味著可能要清理勒索軟體可執行檔或銀行木馬程式,或是阻止資料外洩。但是,團隊通常只會阻擋最初的攻擊,卻沒有警覺到尚未真正解決根本的原因。 

成功移除惡意軟體並清除警示,並不代表就已經將攻擊者踢出環境。我們偵測到的很可能只是攻擊者進行的一次測試,以試探他們所面對的是什麼防禦措施。如果攻擊者仍然可以進入,他們很可能會再次發動攻擊且破壞性更大。

事件回應團隊需要確保他們已經解決所緩解事件的原始根本原因。攻擊者還能在環境中立足嗎?他們是否打算發動第二波攻擊?補救過數千起攻擊的事件回應操作人員知道應該在何時何地進行更深入的調查。他們會尋找攻擊者在網路中正要做、已經做或可能要做的其他行為,並同樣加以化解。

例如,在某個案例中,Sophos 事件回應專家成功阻止歷時 9 天的攻擊,並看到攻擊者有 3 次單獨使用勒索軟體攻擊組織的行為。   

在第一波攻擊中 (最終被組織的端點保護解決方案擋下),攻擊者使用 Maze 勒索軟體鎖定了 700 台電腦,並提出 1500 萬美元的贖金要求。遭鎖定目標的安全團隊發現他們受到攻擊,因此使用了 Sophos Mamanged Threat Response (MRT) 團隊的進階事件回應技術。

Sophos 事件回應專家迅速找出受感染的系統管理員帳戶,然後識別並刪除了幾個惡意檔案,並阻擋了攻擊者的 C2 (命令和控制) 通訊。藉此,Sophos MTR 又成功抵禦對手的另外兩次攻擊。如果攻擊者得手且受害者付款,那麼這可能是迄今為止最昂貴的勒索軟體贖金之一。

在另一個範例中,,Sophos MTR 團隊對潛在的勒索軟體威脅做出了回應,但很快就發現沒有證據表明有勒索軟體存在。到這一步,其他團隊可能就已經結案並開始其他工作。不過,Sophos MTR 小組繼續調查並發現了一個歷史悠久的銀行木馬程式。幸運的是,這個威脅對客戶不再有效,但它可以作為一個範例,說明為什麼要察覺超越初始症狀的跡象以確定根本原因,這一點很重要,因為它可能是一次更大型的攻擊。

Sophos MTR 案例手冊:

勒索軟體捕獵挖出一個歷史悠久的銀行木馬程式

提示 3:完全可見度非常重要

在防範攻擊的過程中,盲目地捍衛組織是最困難的。重點在於我們必須取得正確的高品質資料,以便準確地識別潛在的攻擊指標並確定根本原因。

有效的團隊會收集正確的資料以檢視訊號、將訊號與噪音分離,並且知道哪些訊號最重要。

收集訊號

對環境的可見度有限,肯定會漏失攻擊。這些年來,市場上已經出現許多大數據工具,嘗試解決這個獨特的難題。某些仰賴以事件為中心的資料 (如日誌事件),其他使用以威脅為中心的資料,而另一些則採取混合的方法。無論採用哪種方式,目標都是相同的:收集足夠的資料以產生有意義的深入資訊,以調查和應對原本會被遺漏的攻擊。
從各種來源收集正確的高品質資料,可確保完全掌握攻擊者的工具、策略和程序 (TTP)。否則,您很可能只會看到攻擊的一部分。

減少雜訊

由於擔心沒有足夠的資料來了解攻擊的完整狀況,某些組織 (以及他們使用的安全工具) 什麼都會收集。但是,這種作法對大海撈針沒有幫助,反而因為資料過多使工作變得更加困難。這不僅增加了資料收集和保存的成本,還會產生很多雜訊,導致警示疲勞和浪費處理誤報的時間。

應用相關環境內容

在威脅偵測和回應專家中有一句話:「內容為王,但相關環境內容 (context) 是女王。」 兩者都是執行有效的事件回應程序所必需的。透過應用與訊號相關的有意義中繼資料,分析人員可以確定此類訊號是惡意還是良性的。 

有效威脅偵測和回應的最關鍵要件之一,是優先找出最重要的訊號。準確確定最重要警示的最佳方法,是將來自安全工具 (即端點偵測和回應解決方案)、人工智慧、威脅情報和操作人員知識的相關環境內容結合起來。 

相關環境內容有助於確定訊號的來源、攻擊的目前階段、相關事件,以及對業務的潛在影響。

提示 4:可以尋求幫助

沒有組織願意遇到違規事件。不過,在回應事件時,經驗是無可替代的。肩負事件回應重任的 IT 和安全團隊,會發現他們對這些對業務產生重大影響的情況無能為力。

缺乏調查和回應事件的有經驗人才,是當今網路安全產業面臨的最大問題之一。  ESG Research2 指出,這個問題非常普遍,「34% 的人說,他們最大的難題是他們缺乏技術資源來調查端點的網路安全事件,以找出根本原因和攻擊鏈。」

當一種新的替代方法出現後,這種困境迎刃而解:託管式安全服務。特別是託管式偵測和回應 (MDR) 服務。MDR 服務是由一組專家團隊提供的委外安全營運,是客戶安全團隊的延伸。這些服務將人為進行的調查、威脅捕獵、即時監控和事件回應,與一組技術結合,以收集和分析情報。根據 Gartner 的說法,「到 2025年,將有 50% 的組織使用 MDR 服務」3 ,這代表著一種趨勢,即組織意識到他們需要幫助來執行完整的安全營運和事件回應程序。

對於尚未使用 MDR 服務並回應作用中攻擊的組織,事件回應專家服務是一個不錯的選擇。當安全團隊不堪重負並且需要外部專家來分擔攻擊並確保對手被消滅時,就是事件回應團隊上場的時刻。

即使組織已經擁有一支由有經驗的安全分析人員組成的團隊,也可以透過和事件回應服務協作受益,以彌補在回應事件時所需的防護範圍 (即晚上、週末、假日),和專業角色方面的缺口。

據分析機溝 ESG 指稱,有 34% 的組織表示他們最大的挑戰是缺乏技術資源來調查端點的網路安全事件,以找出根本原因和攻擊鏈。2

到 2025 年,將有 50% 的組織使用 MDR 服務 (高於 2019 年的 5%) 3

在 2019 年 對 3,100 名 IT 和安全專業人員進行的調查中,由於缺乏經驗豐富的人才,有 54% 的受訪者表示他們「無法充分利用他們的 EDR 解決方案」。4

Sophos 如何提供協助

Sophos Managed Threat Response (MTR) 服務

是否擔心您的組織沒有應對潛在嚴重事件的能力?如果是,那麼 Sophos Managed Threat Response (MTR) 服務是您值得考慮的選擇。

Sophos MTR 提供全天候的威脅捕獵、偵測,以及回應功能,全部都由專家團隊提供,是一項完全託管式服務。Sophos MTR 團隊不僅通知您攻擊或可疑行為,還可為您採取目標性行動,以消除最複雜的威脅。如果事件發生,則 MTR 團隊將採取行動以從遠端中斷、遏阻和消除威脅。安全營運專家團隊還會提供可執行的建議,以解決重複事件的根本原因。

Sophos Rapid Response 服務

如果您的組織受到攻擊並需要立即的事件回應協助,Sophos 可以提供幫助。

Sophos Raipd Response 是由一組事件回應專家團隊所支援,提供如閃電般快速的協助,可識別和消除貴組織面對的威脅。在幾個小時內就可開始上線,大多數客戶在 48 小時內就能進行分級。現有的 Sophos 客戶和非 Sophos 客戶都可以使用該服務。

Sophos Rapid Response 團隊的遠端事件回應人員會快速採取行動,對作用中威脅進行分級、遏制和消除。我們清除組織中的威脅,防止其進一步損害您的資產。

Sophos Intercept X Advanced with EDR

希望提高內部偵測、調查和事件回應能力的組織,應考慮增加 Sophos 的端點偵測和回應 (EDR) 功能。

Sophos Intercept X Advanced with EDR 可以協助您的團隊在整個組織內流暢地進行威脅捕獵和 IT 營運保健。您的團隊能透過 Sophos EDR 解答詳細的問題,以找出進階型和作用中威脅,以及潛在的 IT 漏洞,然後迅速採取適當的措施來阻止它們。


相關內容

我們希望這篇文章對您有幫助又實用。我們想為您提供一些其他相關內容,幫助您繼續研究事件回應。

與專家交談

了解更多我們全天候威脅追捕、監控和回應功能的資訊。

Quick response call-back Talk to a Sophos expert Get answers to your questions
Enter your details
*
*
*



章節附註

1 2020 年對 5,000 名 IT 管理員進行的調查 https://secure2.sophos.com/zh-tw/medialibrary/Gated-Assets/white-papers/sophos-cybersecurity-the-human-challenge-wp.pdf

2 https://www.esg-global.com/blog/soapa-discussion-on-edr-and-xdr-with-jon-oltsik-and-dave-gruber-video-part-1

3 Gartner,《託管式偵測和回應服務市場指南》,2020 年 8 月 26 日,分析師:Toby Bussa、Kelly Kavanagh、Pete Shoard、John Collins、Craig Lawson、Mitchell Schneider

4 2019 年對 3,100 名 IT 管理員進行的調查 https://secure2.sophos.com/zh-tw/security-news-trends/whitepapers/gated-wp/uncomfortable-truths-of-endpoint-security.aspx