安全事件
事件指挥官需要
与Pagerduty的所有重大事件一样,安全事件也将涉及事件指挥官,该事件将把任务委托给相关响应者。任务可以按IC分配的并联执行。第一页最早的机会!IC页
。
不确定这是安全事件吗?
无论如何触发该过程。安全比后悔更好。事件指挥官将确定是否需要响应。
清单#
这些项目中的每一个的详细信息在下一部分中提供。
- 停止进攻。
- 切断攻击矢量。
- 组装响应团队。
- 分离受影响的实例。
- 确定攻击时间线。
- 确定受损的数据。
- 评估其他系统的风险。
- 评估重新攻击的风险。
- 应用额外的缓解,监测等等。
- 妥协系统的法医分析。
- 内部交流。
- 涉及执法。
- 与可能被用作攻击矢量的外部方接触。
- 外部通信。
攻击缓解#
尽可能快地停止攻击。关闭服务器,网络隔离它们,如果需要,请关闭数据中心。一些常见的事情要尝试,
- 从提供商控制台关闭实例(如果可以使用取证,请勿删除或终止)。
- 如果您碰巧登录到盒子,您可以尝试,
- 恢复我们的默认iPtables规则以限制流量。
杀死-9
您认为任何活跃的会话是攻击者。- 更改root密码和更新 /etc /shadow以锁定所有其他用户。
Sudo现在关闭
切断攻击矢量#
识别可能的攻击向量和路径/修复它们,以便停止攻击后不能立即重新探索它们。
- 如果您怀疑第三方提供商被妥协,请删除除您自己的(以及其他人在场的其他帐户)之外的所有帐户,并立即旋转您的密码和MFA令牌。
- 如果您怀疑服务应用程序是攻击向量,请禁用任何相关的代码路径,或完全关闭服务。
组装响应团队#
确定安全事件的关键响应者,并将其全部保持在循环中。设置一种安全的方法来通信与事件相关的所有信息。有关事件的详细信息(甚至发生了事件的事实),应保留响应者私密,直到您确信不会在内部触发攻击。
- 页面事件指挥官如果尚未这样做。他们还将任命通常的事件命令角色。事件命令团队将负责保留采取行动的文件,并在适当的情况下通知内部利益相关者。
- 给该项目一个无害的代号,可用于聊天/文档,因此,如果有人听到,他们不会意识到这是一个安全事件。(例如,蓝宝石 - 宾夕法尼亚州)。
- 如果尚未进行,请开始语音通话。
- 使用事件的代号设置聊天室。
- 邀请所有响应者进入语音通话和聊天室。
- 这安全团队应始终包括在内。
- 应包括任何受影响服务的代表。
- 应邀请执行利益相关者和法律顾问尽早邀请,但首先优先考虑运营响应者。
- 在进行取证之前,请勿与不在响应团队中的任何人进行交流。攻击可能在内部发生。
- 前缀所有电子邮件,并与“律师工作项目”聊天主题。
分离受影响的实例#
受攻击影响的任何实例都应立即与任何其他实例隔离。尽快将系统图像拍摄并放入仅阅读的冷藏库中,以供以后的法医分析。
- 将所有其他主机的任何受影响实例的IP地址进行黑名单。
- 如果您不这样做以停止攻击,请关闭并立即关闭实例。
- 为附上的任何磁盘拍摄磁盘图像,然后将其运送到异地冷藏位置。您应该确保这些图像仅读取,并且不能被篡改。
确定攻击时间表#
使用所有可以使用的工具,以确定攻击的时间表,以及攻击者所做的一切。
- 攻击者在攻击开始之前在系统上执行的任何侦察。
- 当攻击者获得对系统的访问时。
- 攻击者在系统上以及何时执行的操作。
- 确定攻击者在被检测到系统之前以及在被踢出之前访问该系统的时间。
- 确定攻击者在数据库上运行的任何查询。
- 尝试确定攻击者是否仍然可以通过另一扇后门访问系统。监视日志以进行异常活动,等等。
受损的数据#
使用对日志文件,时间序列图和任何其他信息/工具的法医分析,试图识别哪些信息受到损害(如果有),
- 确定在攻击过程中受到损害的任何数据。
- 是否从数据库中删除了任何数据?
- 系统上有哪些键现在被认为是妥协的?
- 攻击者是否能够识别系统的其他组件(映射网络等)?
- 确切查找哪些客户数据已被妥协(如果有)。
评估风险#
基于受损的数据,评估其他系统的风险。
- 攻击者是否有足够的信息来找到另一种方法?
- 主机上是否存储任何密码或键?如果是这样,则应将它们视为妥协,无论其存储方式如何。
- 在初始攻击中使用的任何用户帐户都应在其具有帐户的其他每个系统上旋转其所有键和密码。
应用额外的缓解#
开始在系统的其他部分应用缓解。
- 旋转任何受损的数据。
- 确定任何新的警报,以通知类似的违规行为。
- 阻止与攻击关联的任何IP地址。
- 确定任何受到损害的键/凭据,并立即撤销其访问权限。
法医分析#
一旦您确信系统得到了保护,并且可以进行足够的监控以检测另一个攻击,您就可以进入法医分析阶段。
- 获取您创建的任何仅阅读图像,您拥有的任何访问日志,并通过它们梳理以获取有关攻击的更多信息。
- 确切确定发生的事情,发生了什么事以及如何预防将来。
- 跟踪攻击中涉及的所有IP地址。
- 监视日志,以通过攻击者重新获得对系统访问的任何尝试。
内部交流#
委托:副总裁或工程主任
只有在您充满信心(通过法医分析)内部进行内部沟通,该攻击不是在内部进行的。
- 不要详细介绍太多。
- 概述时间表。
- 讨论采取的缓解步骤。
- 一旦知道,便会随访更多信息。
与执法 /外部演员联络#
委托:副总裁或工程主任
与执法部门合作以确定攻击的根源,让任何系统所有者知道他们控制下的系统可能会受到损害,等等。
- 联系当地执法部门。
- 联系联邦调查局。
- 与攻击中使用的任何系统的联系操作员,它们的系统也可能受到损害。
- 联系安全公司,以帮助评估风险和任何公关下一步。
- 联系您的网络保险提供商。
外部通信#
委托:营销团队
一旦您验证了所有的信息,您拥有的所有信息都是准确的,有一个事件的时间表,并确切知道哪些信息被妥协,如何妥协,并确保它不会再次发生。只有这样,您才应该为客户准备并发布公开声明,向他们告知他们所需要采取的任何步骤。
- 包括任何公告标题中的日期,以免因潜在的新违规而感到困惑。
- 不要说“我们非常重视安全。”当每个人阅读时,这都会使每个人都畏缩。
- 诚实,承担责任,并介绍事实,以及我们计划将来防止此类事情的准确。
- 在时间轴上尽可能详细。
- 尽可能详细地详细介绍哪些信息受到损害以及如何影响客户。如果我们存储一些我们不应该去过的东西,请对此诚实。稍后会出来,情况会更糟。
- 不要命名和羞辱任何可能导致妥协的外部政党。这是不好的形式。(除非他们已经公开披露,在这种情况下,我们可以链接到他们的披露)。
- 尽快发布外部通信,最好在妥协后的几天内发布。您等待的时间越长,就会越差。
- 如果可能的话,请在发送通知之前与客户的内部安全团队联系。
事件中的交流#
- 比其他任何方法更喜欢语音通话和松弛。
- 避免电子邮件,但是如果您绝对需要出于某种原因,
- 电子邮件的主题应为“律师工作项目”,而别无其他。
- 如果电子邮件链有任何联系人不使用 @pagerduty.com域,确保您的电子邮件已加密。
- 请勿使用SMS进行有关事件的交流。
- 唯一的例外是告诉某人转到更安全的渠道。例如“请尽快加入Slack。”
- 在您批准这样做之前,不要向响应团队以外的人传播任何有关事件的任何事情。
额外阅读#
- 计算机安全事件处理指南(nist)
- 事件处理程序的手册(sans)
- 响应IT安全事件(微软)
- 定义CSIRTS的事件管理流程:正在进行的工作(CMU)
- 创建和管理计算机安全事件处理团队(CSIRTS)(证书)