事件响应
我们深知安全事件不可避免,因此未雨绸缪、充分做好应对的准备是确保安全无虞的重要一环。在全球威胁情报和数据科学团队 SophosLabs 的支持下,Sophos 的云原生和 AI 驱动的解决方案可有效保护公司防范网络攻击。
目前,全球有超过 60 万家组织受到 Sophos 产品的保护。我们的计划聚焦于如何在事件发生时安全可靠地进行通信、需要哪些角色来有效应对事件、如何应对各种类型的事件、分析严重性,并在必要时通知客户和监管机构。
我们根据 NIST 800-61 计算机安全事件处理指南制定计划,并经常加以检讨,以确保符合行业标准。
我们熟练的网络安全专业人员开发并运营世界一流的事件响应能力,包括全面监控、高级侦测、响应自动化、事件管理、取证分析,以及获取外部专家的支持。我们相信,作为 Sophos 产品的首批及最常用用户,加上产品团队和 SophosLabs 的资源与支持,我们在应对网络安全事件方面拥有得天独厚的优势。
Sophos 事件响应计划概述
Sophos 的使命是通过开发强大而直观的产品和服务,为任何规模的企业提供全球最有效的网络安全,从而保护人们防范网络犯罪。有效应对各种潜在安全事件是 Sophos 圆满完成使命的关键所在。简单来说:我们的事件响应计划需要保护我们的产品和公司,从而保护客户。
Sophos 采用 NIST 800-61 对安全事件的定义:“已经违反或即将违反计算机的安全政策、可接受的使用政策或标准安全规范。”这是一个特意设定的宽泛定义,以便我们能够优化以加快响应时间,辨识需要改进的地方并提升客户透明度。此定义还有助于识别任何数据泄露,而这可能未包含在侧重于已确认攻击的定义中。
我们如何识别事件
Sophos 采用多种方法来识别或发现安全事件。包括:
- 安全监控能力,通常内建于我们的产品中,或者我们开发的补充方法中。
- 漏洞赏金报告。
- 渗透测试结果。
- 漏洞分析。
- 代码和应用程序分析。
- 研究和威胁情报分析。
- 客户通知。
要报告潜在的安全事件,请查看我们的负责任披露计划。
调查和分析
我们侦测到或核实事故的报告后,首先会利用现有通信渠道来促进事件响应团队之间共享信息。
事件响应调查和分析会议的标准最低议程如下:
- 确立当前事实。
- 更新行动状态。
- 就下一步行动达成一致。
- 确认对事件严重性状态的评估:Sev1/2/3。
- 就下次会议的时间达成一致。
- 记录事件时间线的会议纪要,包括行动和决定。
严重性评估
事件严重性分为四个级别。
事件严重性级别
| 严重性 | 说明 |
|---|---|
| 0 | 影响最大的重大事件。 |
| 1 | 影响非常大、非常严重的事件。 |
| 2 | 影响大的重大事件。 |
| 3 | 影响小的轻微事件。 |
我们的事件响应经理根据对公司和客户的潜在影响来设定事件的严重性。我们采用各种威胁评估标准来确定事件的严重性,包括客户影响、功能影响、信息影响、可恢复性、数据量和分类、威胁行为者以及业务影响。在整个响应过程的关键点重新评估事件严重性,必要时调整严重性。
角色和职责
在事件发生时,根据指派的事件严重性级别确定一名事件响应经理。如果需要全天候处理事件,此角色可轮换。单一事件响应经理可为我们提供明确的指导,以便我们能够立即采取行动并进行有效沟通。
根据事件的性质,我们需要不同的角色。一些最常见的角色包括:
事件角色和职责
| 角色 | 责任 |
|---|---|
| 事件响应经理 | 对严重性评级、升级事件、整个事件响应团队的组成以及发起和开展调查做出决定。 |
| 执行发起人 | 必要时与高级管理团队 (SMT) 沟通,并批准 Sev 0/1 事件响应决定。 |
| 事件响应团队 | 负责调查、分析和遏制网络安全事件的跨职能团队。 |
| 事件响应计划负责人 | 负责事件响应计划和跨职能团队的准备工作,确保事件响应计划和文档及时更新,以及定期检讨。 |
| 数据保护和客户沟通 | 就客户和其他外部通知做出决定。 |
遏制、根除和恢复
遏制的目的是在事件造成进一步危害之前,阻止其影响范围扩大。一旦事件得到控制,我们就可以用必要的时间全面解决问题。
事件得到控制后,我们可能需要采取根除措施,以消除事件要素和副作用。对于针对 Sophos 的安全事件,我们需要考虑公司资产以及产品资产,包括云服务。
常见的根除任务包括:
- 配置或代码更改/热修复。
- 更换或禁用系统。
- 移除功能。
- 数据质量清理。
- 停用遭入侵的用户帐户。
- 识别并缓解所有被利用的漏洞。
恢复过程中,Sophos 工程师会将系统恢复到正常运行状态,确认系统正常运行,并(如适用)修复漏洞,以防止类似事件发生。作为一家安全和云计算公司,我们的企业文化和创新作法有助于我们快速恢复。跨业务部门的持续集成和部署能力则是我们强有力的后盾。我们不断大规模、快速地重新部署系统。
客户通知
诚信是 Sophos 奉行的价值观之一。这一价值观与 Sophos 的“保护”使命相辅相成,这意味着,如果我们已证实某事件或入侵涉及客户的数据,将会尽快通知他们。
事件后续活动
我们在处理和解决事件后,会专注于从中汲取经验教训。我们会举行事件后反思会议,讨论我们的事件处理方式以及引发事件的根本原因。然后,我们会根据讨论结果,调整和改善事件处理程序,并改进安全配置文件,以防止未来发生类似事件,并力求更快地侦测类似事件。
我们如何使用自有工具来应对事件
Sophos 全球安全运营中心 (GSOC) 不断监控由我们基础设施发出的警报,并在整个资产内搜寻异常情况。为此,我们部署和监控各种侦测工具,其中包括 Sophos 的全套下一代产品。
- Sophos Intercept X Advanced with EDR 整合 Intercept X 和端点侦测与响应 (EDR) 的能力,打造出单一代理的解决方案,以帮助我们应对各种威胁。借助 Live Discover 和 Live Response,我们可以快速识别威胁、在短短几分钟内做出响应、远程获取取证快照,并通过隔离受影响的端点来压制问题。我们可以使用取证快照功能来识别任何进一步的入侵指标和取证痕迹。随后,由 Sophos Firewll 阻挡网络取证痕迹。要了解有关我们如何利用Intercept X提供的威胁数据的更多信息,请访问 https://news.sophos.com/en-us/2018/12/03/hunting-for-threats-with-intercept-x-and-the-windows-event-collector/
- Sophos Firewall 利用入侵防御技术来帮助预防和侦测最新的网络漏洞利用攻击。我们的防火墙不仅可以阻挡恶意域、URL 和 IP 地址,还可以利用 SophosLabs 的安全云环境来分析通过网络传输的可疑文件。我们还在网络上的某些位置部署发现模式,其中防火墙充当 IDS 事件和网络活动报告的网络传感器。
- 随着越来越多的工作负载迁移到云端,我们需要获得可见性的工具。我们采用 Sophos Optix 来帮助我们识别和评估对业务构成风险的云服务,并主动通知我们任何可疑行为。这样,我们便能够快速解答这些问题:谁拥有这?通信对象是谁?使用了哪些角色和权限?使用了哪些规则和安全组?快速可视化网络及其资源所使用的角色,有助于高效识别任何问题。
- Sophos 依赖于各种系统,并且可以从各种 Sophos 和非 Sophos 产品中收集数据。在事件侦测和分析阶段获取某些系统的环境信息可能很快就会变得具有挑战性,因此,我们必须尽可能快速高效地获取正确的信息,以便做出明智的决策。Sophos Central API 赋予我们利用 Sophos Central 及其集成合作伙伴的力量:https://news.sophos.com/en-us/2019/12/19/unlocking-the-power-of-sophos-central-api/。