準備絕非毫無意義！適用於所有組織的十個事件回應準備事項

一個殘酷的現實是，網路威脅不會消失！隨著科技的不斷發展，威脅行為者使用的戰術和技術也將隨之演變。 Statista最近的一份報告顯示，到2029年，全球網路犯罪的成本將達到15.63兆美元。為了解決這個問題，組織可以做的最重要的事情之一就是做好準備。根據美國國家標準與技術研究院（NIST）的說法，在事件應變生命週期的四個關鍵階段中，首先也是特別重要的是準備階段。

組織可以採取多個主動式準備步驟來確保事件回應（IR）準備就緒，這些步驟包括定期進行風險評估、實施全面的安全政策、提供持續的監控和威脅情報收集。組織還可以透過投資訓練計畫和模擬演練來增強其IR能力，從而對網路事件做出更快速有效的回應。

以下是組織可以在任何網路安全事件發生之前進行的一些準備活動，這些措施最終可以幫助提高組織的整體IR和網路安全成熟度。

1. 進行IR準備評估

未經測試的組織可能無法完全掌握他們不知道的事情。由外部第三方進行的IR準備評估提供了組織當前準備狀態的關鍵觀點。這樣的評估包括評估流程、程序、人員、文件和技術，以衡量組織整體IR準備的成熟度。與審計不同，這些評估的目的是找出可能會削弱組織對事件的有效反應能力的潛在弱點。

組織可以透過識別人員（能力和技能缺口）、流程或技術來主動解決潛在缺陷。這種積極主動的方法不僅能加強網路威脅防禦能力，也為改進準備狀況提供了機會。最終，這樣的評估使組織能夠加強防禦，並在日益複雜和具有挑戰性的網路安全環境中更好地保​​護自己。

2. 制定健全的IR計劃

IR計劃是管理網路事件的全面指南。它細緻地概述了組織在任何類型和嚴重性事件發生之前、期間和之後的回應策略。它還詳細說明了組織IR團隊的結構，指定了角色和職責，以確保事件期間的清晰度和效率。

該計劃應該包括IR的基本步驟：準備、發現和分析、遏制、根除和恢復以及事件後活動。每個步驟都旨在系統地處理和緩解事件的影響，確保事件管理的結構化方法。此外，一個有效的計劃還會定義目標和目的、事件嚴重程度和其他關鍵因素，這些因素有助於形成一個全面的回應框架。

最重要的是，IR計劃應被視為一份動態文件。它需要定期更新和維護以保持有效性和相關性。 Fortinet建議對該計劃進行兩年一次的審查，並在每次重大事件發生後進行重新評估。這個審查過程可以確保所學到的經驗教訓被整合到計畫中，並且組織發生的任何變化都能得到反映和處理。

如果沒有這樣的計劃，組織可能會在危機期間做出倉促決定，導致代價高昂且無效的結果。維護良好的IR計劃可以在事件期間提供清晰的路線圖，並增強組織快速有效應對挑戰的能力。

3. 透過IR手冊提供指導

事件回應手冊是更廣泛的IR計劃的重要延伸，提供針對特定事件的標準化程序。手冊提供了一個清晰的、可操作的框架，概述了組織為準備、回應和從各種不同類型的事件中恢復所必須採取的精確步驟。透過專注於具體的事件場景，手冊能確保反應不僅迅速，而且有效且一致。

每個IR手冊都提供了IR所有階段的詳細指導，包括準備、檢測和分析、遏制、根除、恢復和事件後活動。這些文件的設計也應該是全面的，包括分配給響應小組特定成員的逐步行動項目。這種程度的細節可以確保在事件回應期間，所有任務都被考慮，每個目標都得到滿足。

典型的手冊包括勒索軟體、惡意軟體、商業電子郵件詐欺（BEC）、拒絕服務攻擊、資料遺失事件、裝置遺失或被盜、內部威脅和零時差漏洞。手冊應該描述每個場景的具體行動和責任，確保回應團隊做好充分準備，有效且自信地處理事件。

4. 用桌面演練測試IR計劃

一旦IR計劃和手冊準備就緒，就可以使用桌面演練來測試它們了。根據NIST的說法，桌面演練是“一種基於討論的練習，人員在緊急情況下（討論）他們的角色以及他們對特定緊急情況的反應。”

簡而言之，桌上演練就像是角色扮演遊戲。引導者為參與者提供有關虛構的網路安全事件的事實或「注入」。然後，參​​與者討論如何使用IR計劃和手冊作為指導來應對這些「事實」。這些演練可以迎合特定的受眾進行開發，通常作為技術團隊成員的操作練習，或作為組織領導者在事件期間關注業務和策略相關決策的高階練習。

桌面演練應至少每年進行一次。然而，一個季度的周期是團隊保持新鮮感和提高對網路安全事件反應能力的最佳選擇。

5. 開發系統清單與網路圖

不幸的是，許多安全和IT專業人員不知道有哪些IR資源或如何存取它們。這使得安全團隊很難理解已知活動的上下文，或有效地發現事件的廣度和深度，關鍵時間都被浪費在追蹤業務所有者、建立網路圖或其他本應在事件發生之前實施的活動上。這可能顯著拖緩響應工作並加劇業務影響。

系統清單應包括諸如業務所有者、系統功能、主機名和IP、資料分類、資料關鍵性、相關審計或監管信息，以及其他可能對事件響應者有用的關鍵標識信息。這些資訊可以幫助識別並確保對整個組織中最關鍵系統的及時回應。了解與這些系統相關的業務流程同樣非常重要，這樣可以在整個事件過程中做出明智的決策。

網路圖可協助事件回應人員了解系統的位置、網路分段情況，以及可用於協助遏制和消除威脅行為者的潛在阻塞點或隔離點。在事件發生之前開發系統清單和網路圖可以實現更有效率地回應，使回應人員能夠了解在事件發生期間給定係統受到損害對組織的影響。

6. 實施修補程式管理流程

威脅行為者正透過利用公開系統中的漏洞作為初始存取媒介，獲取長久而穩定的立足點。根據FortiGuard調查數據顯示，在2023年下半年和2024年上半年處理的全部IR事件中，46%的事件是由面向公眾的應用程式中的漏洞直接導致的。供應商通常在這些漏洞被攻擊者利用前幾週、幾個月甚至幾年就提供了修補程式。雖然有人可能會說，由於零日漏洞的存在，打補丁並非萬無一失，但打補丁能夠有效地縮小組織的威脅範圍，並消除容易實現的目標，是不可或缺的防禦措施。

7. 定期進行漏洞評估和滲透測試

漏洞評估對於評估和改進修補程式管理流程的有效性至關重要。這些評估通常針對內部/外部IP或系統，使用自動化工具和手動技術來檢查系統、應用程式和網路設備之間的現有漏洞。在此評估過程中，仔細審查結果以消除誤報並準確評估漏洞對組織的潛在影響是至關重要的。

漏洞評估著重於已知的漏洞，而滲透測試則在發現可能危及組織網路、系統或應用程式的未知漏洞方面發揮補充作用。滲透測試可以針對特定的環境（例如內部或外部網路）進行調整，以確定威脅行為者可能利用的潛在入口點。另外，滲透測試可能側重於特定的Web或行動應用程序，進行徹底的檢查，以識別可能被惡意利用或在網路中獲得未經授權存取的潛在漏洞。

儘管相關法規可能要求組織對特定環境進行年度滲透測試，但對於許多組織來說，更頻繁地進行這些評估是明智的。考慮到網路環境的動態性，漏洞評估應該定期進行，頻率通常是每月一次，而滲透測試通常至少每年進行一次，如果可能的話，更頻繁會更好。

8. 檢查活動目錄環境

活動目錄（AD）基礎設施通常會隨著組織的發展而擴展。雖然AD環境是身分和存取管理（IAM）程序的一部分，但在徹底的管理和安全監督方面，AD環境卻經常被忽略。對AD環境進行全面審查，確保其與Microsoft和標準組織（如NIST）的關鍵建議保持一致，不僅能增強AD配置的整體安全態勢，促進日誌記錄功能的優化，還能推動更有效的事件檢測和調查工作。

對AD環境的評估應該包括根據行業最佳實踐來評估其配置。此過程旨在識別和修復潛在的安全漏洞、錯誤配置或惡意行為者可能利用的漏洞。透過實施建議的協議，組織可以顯著減少整體威脅，並加強對未經授權存取和潛在破壞的防禦。

審查和增強AD日誌記錄對於快速和準確的事件回應至關重要。正確配置的日誌提供了對使用者活動、身份驗證嘗試和系統事件的關鍵洞察，使安全團隊能夠及時偵測和緩解威脅。這種主動的方法有助於降低潛在風險，並確保符合法規要求和行業標準。而對AD環境進行全面審查和持續管理則有助於維護穩健的IAM實踐，並增強整體網路安全彈性。

9. 啟用集中日誌並確保監控

許多網路安全事件可能持續數週甚至數月而未被發現，這凸顯了日誌在有效事件調查中的關鍵作用。採用基於風險的方法對於確定要擷取哪些日誌、定義保留期限和建立必要的詳細等級以支援調查過程至關重要。透過整合設備、網路和安全解決方案產生的日誌，組織可以將資料關聯起來，以幫助調查和檢測其環境中的異常行為。

集中的日誌記錄構成了有效偵測程序的基礎，但是監視這些資訊同樣重要。如果沒有強大的監控，組織可能會忽略或錯過關鍵警報，這可能導致網路安全事件升級。因此，組織必須確保及時回應透過集中日誌和安全警報機制識別的異常和警報。

透過整合集中日誌記錄和監控，組織可以在事件升級為全面事件之前主動識別和回應事件。這種主動姿態增強了IR能力，提升了整體網路彈性，能夠更好地在當今動態威脅環境中防範潛在威脅。

不要忘記終端用戶

FortiGuard IR團隊觀察到，有效憑證在過去一年中的使用量顯著增加，約佔初始存取方法的54%。這一趨勢表明，攻擊者越來越老練，他們正利用合法憑證獲得未經授權的訪問，以繞過傳統的安全措施。為了有效地對抗這種威脅，組織應該優先分析其環境中的正常使用者行為，以識別指示惡意活動的異常值。一個強大的方法是實現使用者和實體行為分析（UEBA）。 UEBA利用先進的演算法和機器學習來監視使用者操作，建立行為基線，並偵測可能發出安全事件訊號的異常情況。

然而，對於使用者行為分析來說，複雜的工具並非剛需，前提是擁有健壯的日誌記錄實務（請參閱上面的第9項）。組織可以透過系統地記錄各種使用者活動（如登入時間、用於身份驗證的裝置、存取的系統和使用的應用程式）來建立全面的行為基線。這些基線能夠識別可能指示潛在網路安全事件的異常值。定義什麼是正常行為並為異常活動建立閾值是至關重要的步驟。當偵測到異常時，表示帳戶可能被洩露或存在內部威脅，需要立即進行調查和回應。不過，不管使用者行為分析是如何進行的，都必須為回應者準備一份行動指南。

將行為分析整合到安全策略中對於緩解日益加劇的憑證濫用威脅至關重要。透過利用UEBA（甚至是基本的日誌記錄和監視），組織可以創建一個動態的、響應性強的安全態勢，從而快速識別和緩解威脅。這種主動的方法增強了對惡意活動的早期檢測，提升了IR能力，並強化了組織的安全框架。