从黑客攻击聊聊事件响应与事件管理 _事件响应

文章插图

春节期间，德国石油储存公司 Oiltanking 遭到黑客组织的持续网络攻击。由此，让我们来讨论一下如何区别对待事件响应与事件管理。
作者丨陈峻
策划丨孙淑娟
不知您是否留意到，我们这边正在举国上下欢庆春节和冬奥会开幕之时，远在欧洲大陆的德国却传来了，其主要石油储存公司 Oiltanking，以及矿物油贸易公司 Mabanaft 的 IT 系统遭到黑客组织的持续网络攻击。由于他们的储罐装 / 卸载过程，完全依赖于已被攻击下线的计算机系统，因此无法从自动化退回到手动操作模式。此次中断预计会给整个供应链造成严重的影响。
【从黑客攻击聊聊事件响应与事件管理】遥想 2021 年 5 月，DarkSide 黑客集团也曾利用勒索软件，攻击了美国最大燃油管道公司 Colonial Pipeline，并引起了油气管道的计量系统无法运行，进而中断服务。面对这些屡禁不止的恶意安全事件，我不禁利用这个春节长假中，再次思考了事件响应与事件管理的相关问题。

文章插图

事件响应与事件管理的区别?面对突发的各种网络安全事件，我们通常考虑的是如何在最短的时间内，去消除事件的影响，甚至会眉毛胡子一把抓、病急乱投医。不过，实际上事件响应(Incident Response，IR)和事件管理(Incident Management，IM)是两种截然不同的处置方式。理清它们之间的区别，将有助于我们从根本上更好的管控安全事件。
从定义上来看：

事件响应主要包括对事件进行检测分类、深入分析、实施控制、减少影响、保护关键数据、资产与系统、以及采取技术恢复等具体的行动要素。
事件管理主要涉及到安全事件响应团队在各个处置阶段所采取的不同流程，而且不限于技术流程。它包含了各种通信交流、升级转发、以及事态报告等。可以说，它起到了将整个响应的环节串联起来，形成一个有机整体的作用。

从人员上来看：

事件响应是技术人员的主要职责。
事件管理则需要更广泛的利益相关方(例如：法务部门、公关团队、合规人员、以及后勤保障等)开展沟通与协作。

从目标上来看：

事件响应需要各个职能角色各司其职，通过快速检测和修复损坏，来达到预定的技术要求。
事件管理则着眼于最小化安全事件对于整个业务的影响，最大程度地降低危害、防止组织因违规而招致的惩罚。

事件威胁建模?众所周知，事件响应离不开响应团队成员和应手的工具。常言道：“知己知彼，百战不殆。”一套清晰全面的威胁模型，可以被用来详细定义不同类型的安全威胁，概述组织会采取哪些略有区别地响应措施，以及涉及到的角色和责任等。面对可以预见的网络、系统和应用等维度的安全威胁，业界常用 STRIDE 威胁建模，来识别潜在的漏洞，并建立响应机制。该模型包含了六种不同的威胁类别：