应急响应 “Incident Response”(IR),是一种处理安全事件漏洞和网络威胁的结构化方法。

应急响应流程

在应对网络安全事件过程中,熟悉应急响应流程是一件十分重要的事情,应急响应的流程在业内通常使用PDCERF方法学(1987年宾夕法尼亚匹兹堡软件工程研究所提出)来执行,最大限度科学、合理、有序地处置网络安全事件。

应急响应流程分为:准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)、跟踪(Follow-up)6个阶段

应急响应流程

同时在上述阶段,每个阶段应具备相应的安排动作

准备阶段:人员、预案手册(Playbook)、工具;

检测与分析阶段:确认安全事件类型,明确事件等级;

遏制、根除和恢复阶段:立即止损,根据安全事件类型选择对应的遏制方法并制定恢复计划;

事后总结:从本次的安全事件中改进流程,并将新数据反馈到应急响应流程的准备阶段。

应急响应时间线

image-20220303204311418

应急响应指标

应急响应流程中,有一些专有名词,作用在应急响应时间线内,具体定义如下所示:

MTTD

MTTD:平均检测时间(Mean time to detect )。MTTD是指从系统故障到检测或告警所需的平均时间。

MTTD = 故障与检测之间的总时间/事件数量

MTTA

MTTA:平均确认时间(Mean time to acknowledge)。MTTA是指从系统产生告警到人员开始注意并处理的平均时间。

MTTA = 检测与确认之间的总时间/事件数量

MTTI

MTTI:平均调查时间(Mean time to investigate)。MTTI是指从确认一个安全事件到开始调查其原因和解决方案的平均时间。

MTTI = 确认告警与分析调查之间的总时间/事件数量

MTTC

MTTC:平均遏制时间(Mean Time to contain)。MTTC是指安全团队找到威胁者并阻止他们进一步进入你的系统和网络所需的时间。

MTTC = 分析调查与快速止损之间的总时间/事件数量

MTTR

不同的角色对此有不同的定义,R可以代表修复(repair)、恢复(recovery/restore)、响应(respond)和解决(resolve)

安全人员普遍专注于 响应(respond)

平均响应时间(Mean time to respond)

MTTR(平均响应时间)是指从第一次收到警报时起,直到产品或系统从故障中恢复所需的平均时间。

MTTR = 检测告警与服务恢复之间的总时间/事件数量

综合上述定义,预演大致流程如下:

检测告警MTTD之后,需要通过平台确认告警事件MTTA ,同时通过调查分析MTTI确认是否为攻击事件,如果发现问题需要MTTC快速阻止问题进一步扩散,最后通过MTTR恢复系统正常状态。

参考文献:

1、应急响应中你到底该关注哪些指标?