大多数组织定期审查其事件响应计划和剧本,以更好地准备防御现代网络攻击. 一种技术, 这是多年来司空见惯的, 是进行例行的网络安全桌面演习(TTX). 然而, 组织可以采用的一个鲜为人知的策略是用功能练习(FTX)来增强桌面练习。. FTX使澳门赌场官方下载能够测试他们的能力,并使他们的网络风险团队做好准备,以抵御当今频繁发生的可怕的网络攻击.
什么是期货交易?
要完全掌握FTX的概念,首先理解TTX的复杂性是至关重要的. TTX可能是有效的,但它是有限的. 这是因为它不是一个真实的情况, 而是, 一种包含一些想象力的模拟练习. 相反,FTX是真实的——但不是破坏性的——并且需要真实的响应. 事实上, 澳门赌场官方下载可能决定根本不向网络风险团队通报计划中的FTX, 让他们相信这是一个真实的事件,恶意软件已经进入了网络. 无论哪种方式,FTX都是对准备、技能、流程和程序的真正衡量. 在过去的十年里, 作者进行了1次以上的研究,与世界各地的组织进行了000次ttx. 大约两年前, 作者开发了一个FTX,并开始向那些希望提升他们日常(有时是平凡的)ttx的客户推荐它.
FTX是真实的——但不是破坏性的——并且需要真实的响应.
提供FTX的过程很简单. 作者开发了一个文件(良性恶意软件),被认定为特洛伊木马计量器. Meterpreter被定义为“一种Metasploit攻击有效负载,它提供了一个交互式shell,攻击者可以从中探索目标机器并执行代码. Meterpreter使用内存中的动态链接库(DLL)注入进行部署. 因此,Meterpreter完全驻留在内存中,不向磁盘写入任何内容.”1 在作者的示例中,Meterpreter仅与IP地址为127的本地主机通信.0.0.1、没有指令执行.
每个下一代反恶意软件供应商都会立即标记和隔离该文件, 包括Microsoft Defender. 本质上, 当文件被执行时,所有的遥测(测量和数据传输)都会失控, 但除了警报被触发之外,没有发生任何不幸的事情.
设置练习
作者经常与一位内线合作.g., 一个经理, 首席资讯保安主任, 首席信息官, 内部顾问)设置并执行此测试练习. 在指定时间, 内部联系人执行良性Meterpreter,并在指定端点上自动生成警报。.
在这一点上,有几个路线可以采取. 一种技巧是除了观察网络风险团队和保持沉默之外什么都不做. 澳门赌场官方下载可以自行决定进行金融交易, 或者更可取, 较少偏见的方法是使用第三方网络安全合作伙伴代表组织进行演习和评估. 另外, 另一种流行的技术涉及与事件响应小组(IRT)进行视频会议,以通知他们情况. 例如, 这可以对IRT说:“恶意软件刚刚在你网络的某个地方被执行,我们希望你能找到它, 隔离, 包含, 分析, 根除和恢复.然后,团队将被建议按照网络安全事件响应计划(CIRP)和剧本规定的政策和程序来处理事件生命周期. 当这已经完成, 团队应该向适当的受众展示他们的行动和发现.
期望什么?
当使用这种方法时, 作者创建一个幻灯片演示文稿,以突出显示他们希望IRT在完成响应后向观众呈现的信息. IRT被要求保存屏幕剪辑, 日志, 遥测和其他工件,以便稍后呈现细节. 团队成员被指示包含文件名, IP地址, 机名称, 港口, 账户使用, 散列, 恶意软件分析等. 除了, 税务局被要求采用监管链(CoC)技术,即填写一份包含所有适用信息和数字证据散列的CoC表格. 理想情况下,IRT还将收集受影响端点上的内存和磁盘的取证映像。. 虽然他们不需要检查法医副本, 他们应该知道如何收集并在CoC表格上记录所有内容. 与真实事件中的情况一样,建议IRT信任,但要进行验证.
就是这么简单. 如果决定静悄悄地进行演习(例如.e., 没人知道它是FTX), 然后应该进行事后审查,要求所有证据和文物. IRT将提供信息,但可能没有意识到他们已经经历了FTX.
另外,FTX也可以公开. 在这种情况下, 当FTX的领导与IRT会面,介绍演习细节,并讨论他们希望在事件后审查会议上看到什么样的结果时, IRT可以提问或要求提供更多信息. 作者经常建议IRT,他们希望每个人都参与演示,所有的日志和证据都应该供观众观看.
经验教训
在IRT陈述事件和收集到的证据之后, 可以进行经验教训回顾,以确定需要改进的领域. 作者没有进行通过/不通过的练习, 而是, 给整个过程贴上学习/教育机会的标签. 而不是批评IRT, 他们被要求就哪些工作做得好,哪些可以改进提供意见. 如果遗漏了什么(e).g., 在金融交易期间应该采取的行动,但没有。), 应该以教育的方式告知IRT, 而不是批评. 作者建议抓住一切机会赞扬IRT的出色表现.
如果有明显的失误或行动没有采取FTX期间, 在不久的将来可以进行一次重复的FTX. 熟能生巧.
FTX的好处
FTX测试IRT,并允许管理层全面了解在真实事件响应期间期望发生的情况. 这对每个人来说都是很好的实践,可以像一个人的愿望一样真实. 它还提供了在TTX场景中难以估计的各种任务所需的团队合作和时间的概念.
结论
进行FTX是评估组织的IRT是否具备知识的有效方法, 沟通技巧, 培训, 在有压力的事件反应中表现良好所需的工具和团队合作. 这种方法比在实际的网络攻击中学习有明显的优势, 威胁行为者和恶意软件在整个网络中猖獗.
另外, 澳门赌场官方下载可以从使用FTX增加年度测试中获益, 而不是传统的TTX. 管理层、审计员和网络保险机构喜欢这种类型的测试,IRT也一样. 它甚至可以通过让竞争团队处理FTX事件而变得有趣.
通过练习,我们都学得更好. FTX确保在真正的紧急情况下,irt不会被迫发现他们不知道的事情.
尾注
1 秘密双章鱼,”Meterpreter,“秘密安全维基”
帕特里克·巴内特, CISA, CISM, CEH, CISSP, PCI QSA, PCIP
是Secureworks的事件响应首席顾问吗. 他拥有超过30年的网络安全专业经验,专门从事网络工程,专注于安全. 在以前的角色中, 他曾担任首席信息安全官(CISO)和首席信息官(CIO),并曾在一家大型金融澳门赌场官方下载担任副总裁. Barnett热衷于看到网络安全得到正确的处理,并致力于帮助组织制定适当的政策, 响应任何大小的安全事件的过程和机制.
