第17章 预防和应对事件

Preventing and Responding to Incidents.

预防和应对事件。

本章不是只讲“出事后救火”，还包括提前检测、预防、日志、监控和自动化响应。

属于 Security Operations 领域，常和日志、IDPS、SIEM、SOAR 同题出现。

A security incident is an adverse event.

安全事件是一种不利事件。

这里说的 incident 通常指计算机安全事件，比如恶意软件、未授权访问、数据泄露或攻击迹象。

不要把普通自然灾害直接归到本章事件响应；那更接近 BCP/DRP。

Organizations define incidents in policy.

组织会在策略中定义事件。

不同组织会把哪些情况算事件写进安全策略或事件响应计划。

题目问“什么算事件”，优先看组织政策和响应计划。

NIST identifies four incident response phases.

NIST 识别四个事件响应阶段。

准备、检测与分析、遏制/根除/恢复、事后活动。

NIST SP 800-61 是事件处理经典参考。

CISSP lists incident management steps.

CISSP 列出事件管理步骤。

检测、响应、缓解、报告、恢复、补救、经验教训。

Detection、Response、Mitigation、Reporting、Recovery、Remediation、Lessons learned 要会排序。

Incident management does not include a disaster recovery plan.

事件管理不包括灾难恢复计划。

重大灾难会联动 DRP，但本章的 incident management 本身不是 DRP。

DRP 在第 18 章，BCP 在第 3 章。

Limit or contain the incident.

限制或遏制事件。

响应不是马上把所有东西关掉，而是按计划控制影响范围。

Containment/mitigation 常是事件响应早期核心动作。

Protect evidence during incident management.

事件管理期间要保护证据。

错误关机、乱删文件、覆盖日志，都可能破坏后续调查。

涉及取证时，保护易失数据和证据完整性。

Multiple methods detect potential incidents.

多种方法可检测潜在事件。

IDPS、反恶意软件、日志扫描、用户报告和管理员观察都可能发现线索。

题目说 alert/report 只能说明 potential incident。

IDPSs send alerts to administrators.

IDPS 会向管理员发送告警。

它能提示异常，但仍需确认是否真的是事件。

IDPS alert 不等于 verified incident。

Anti-malware can detect malware.

反恶意软件可检测恶意软件。

终端或网关发现恶意文件时，可能触发事件调查。

恶意软件检测是常见事件触发器。

Automated tools scan audit logs.

自动工具会扫描审计日志。

工具可查找特权使用、失败登录、异常访问和策略违规。

日志是 detection 的重要输入。

End users sometimes detect irregular activity.

最终用户有时会发现异常活动。

用户看到弹窗、账户异常、文件丢失或性能异常，也可能是事件线索。

培训用户知道如何报告事件。

Alerts do not always mean an incident occurred.

告警并不总表示事件已发生。

IDS 误报很多，必须验证。

False positive 是没发生事件却报警。

First responders distinguish problems from incidents.

首次响应者区分普通问题和安全事件。

一线 IT 人员要判断是普通故障还是要升级给安全团队。

first responder 不是随便处理，而是按预案初步判断和升级。

Personnel escalate the incident to others.

人员会将事件升级给其他人。

确认事件后，要通知响应团队、管理层或其他相关角色。

Escalation 由事件响应计划规定。

A formal incident response plan documents activation.

正式响应计划记录团队何时被启动。

不是每个小问题都启动完整团队，严重程度和触发条件要在计划里写清。

Incident response plan 指明角色、职责和启动条件。

Team members are trained on incident response.

团队成员接受事件响应培训。

出事时不能临时摸索，平时要演练、培训和熟悉流程。

Training 和 exercise 支撑响应能力。

The more quickly an organization responds, the better.

组织响应越快越好。

拖得越久，攻击者越可能扩散、窃取或破坏更多系统。

MTTD/MTTR 体现检测与响应速度。

Mitigation steps attempt to contain an incident.

缓解步骤试图遏制事件。

隔离主机、阻断连接、限制账户、保存证据，都可能是缓解动作。

Mitigation/containment 目标是限制影响范围。

Responders may avoid alerting the attacker.

响应者可能避免惊动攻击者。

有时要先观察攻击路径和取证，再进行阻断。

不是所有响应都是立即踢下线；看目标和预案。

Reporting may be internal and external.

报告可能包括内部和外部。

内部报告给管理层，外部可能通知客户、监管机构、执法或保险方。

法律法规可能要求 breach notification。

Recovery may require rebuilding a system.

恢复可能需要重建系统。

轻微事件可能重启即可，严重事件可能要从干净镜像或备份重建。

恢复后要确认系统至少和事件前一样安全。

Root cause analysis examines what allowed the incident.

根因分析检查是什么允许事件发生。

补救不只是修症状，还要修导致事件发生的根本原因。

RCA 通常出现在 remediation 阶段。

Lessons learned examines the incident and response.

经验教训阶段检查事件和响应。

团队回顾哪里做得好、哪里慢、哪里没检测到。

Lessons learned 是改进闭环，不是追责大会。

The response team creates a report.

响应团队会创建报告。

报告记录时间线、影响、处理过程、证据、根因和改进建议。

事件报告是管理层和后续审计的重要材料。

Output can be fed back to detection.

输出可反馈到检测阶段。

如果攻击没被发现，就要更新 IDS 规则、日志策略或 SIEM 关联。

闭环常见考点：lessons learned improves detection。

Preventive controls attempt to stop incidents.

预防控制试图阻止事件发生。

防火墙、补丁、反恶意软件、禁用服务、培训都能减少事件发生。

Preventive 在事件发生前起作用。

Detection controls discover unwanted activity.

检测控制发现不需要或未授权活动。

日志审查、IDPS、监控、调查等通常在活动发生后发现它。

Detection controls operate after the fact。

Delegating incident management to users is risky.

把事件管理委派给用户是有风险的。

用户可以报告异常，但不应承担正式事件管理职责。

用户报告是输入，不是事件响应团队。

Users need to recognize incidents.

用户需要识别事件。

用户要知道什么异常应报告、报告给谁、不要自行破坏证据。

Awareness 支持 detection 和 initial response。

Recommend changes to detection systems.

建议修改检测系统。

复盘后要把经验落成规则、流程、演练和培训。

没有改进的 lessons learned 没有真正闭环。

IDS automates inspection of logs and events.

IDS 自动检查日志和事件。

IDS 监控网络流量、系统事件或日志，寻找入侵迹象。

IDS = detect and alert，IPS = detect and block。

A goal is timely and accurate response.

目标是及时且准确的响应。

太慢会扩大影响，太不准会造成告警疲劳。

Timely and accurate 是 IDS 价值点。

Knowledge-based detection uses known attacks.

基于知识的检测使用已知攻击。

类似反病毒签名库，看到已知模式就报警。

knowledge-based = signature/pattern matching。

IDS databases must be regularly updated.

IDS 数据库必须定期更新。

没有新签名，就可能漏掉新攻击。

签名检测弱点：不擅长未知攻击。

Behavior-based detection starts with a baseline.

基于行为的检测从基线开始。

先学习正常活动，再找偏离正常的异常行为。

behavior/anomaly/statistical/heuristic 常指同类思路。

Behavior-based IDS can detect newer attacks.

行为型 IDS 可检测较新的攻击。

即使没有签名，只要行为异常，也可能被发现。

优势是发现未知攻击；缺点是误报较多。

False positive: alert without an incident.

误报：没有事件却告警。

管理员看到报警，结果发现只是正常活动。

False Positive = 没事但报了。

False negative: incident not detected.

漏报：事件发生但未检测到。

这是危险情况，因为组织以为没事。

False Negative = 有事没报。

A passive response logs and notifies.

被动响应会记录并通知。

IDS 发现异常后发邮件、短信、控制台告警或生成报告。

Passive response 不直接改变流量路径。

An active response changes the environment.

主动响应会改变环境。

例如改防火墙 ACL、重置连接、隔离主机或阻断账户。

Active IDS 不一定是真 IPS，是否 inline 很关键。

An IPS is placed inline with traffic.

IPS 被放置在流量路径中。

流量必须经过 IPS，IPS 才能在到达目标前阻断。

NIPS inline 是区分 NIDS/NIPS 的核心。

A HIDS monitors a single host.

HIDS 监控单台主机。

它看本机日志、文件、服务和系统事件，细节深但覆盖小。

HIDS 可能被本机攻击者发现、禁用或篡改日志。

A NIDS monitors network traffic.

NIDS 监控网络流量。

它部署在关键网络位置，可看大范围流量，但难知攻击是否在主机上成功。

NIDS 常与传感器、集中控制台、SIEM 一起出现。

Switches can mirror traffic to a port.

交换机可把流量镜像到某端口。

SPAN/port mirroring 让 NIDS 看到更多流量。

普通交换机端口只能看到少量流量，NIDS 需要镜像或 TAP。

TLS presents challenges for IDPSs.

TLS 会给 IDPS 带来挑战。

HTTPS 中的恶意载荷被加密，IDPS 不解密就看不到内容。

TLS decryptor/SSL decryptor 可把解密流量送给 IDPS 检查。

Counterstrikes are unethical and risky.

反击既不道德又有风险。

发现入侵者后，不要反向攻击对方系统；应依靠日志和证据走合法流程。

CISSP 题目里 hack back 通常不是正确答案。

Honeypots are traps or decoys.

蜜罐是陷阱或诱饵。

它看起来像真实系统，但不存放真正有价值的数据。

任何访问蜜罐都高度可疑。

A honeynet is multiple honeypots.

蜜网是多个联网蜜罐。

它模拟一个网络环境，用来观察攻击行为。

Honeynet = two or more honeypots。

Enticement differs from entrapment.

诱导不同于陷害。

把有漏洞的系统放着等攻击者自己来通常是诱导；主动唆使别人攻击可能是陷害。

Enticement 合法，entrapment 非法。

Warning banners inform users.

警告横幅告知用户。

登录前提示禁止未授权访问、活动会被监控和记录。

Warning banner 支持可接受使用和法律追责。

Use up-to-date signatures and heuristics.

使用最新签名和启发式能力。

只装工具不更新没有意义，还要邮件网关、边界过滤和终端多层防护。

同一系统通常不建议装多个反恶意软件互相冲突。

Allow lists and deny lists control applications.

允许列表和拒绝列表控制应用。

允许列表只让批准程序运行；拒绝列表阻止已知不允许程序。

Hash-based allow list 可阻止被篡改程序运行。

WAF protects a web server.

WAF 保护 Web 服务器。

WAF 检查发往 Web 应用的流量，可阻挡 SQL 注入、XSS 等。

WAF 是应用防火墙，不是替代全部网络防火墙。

Sandboxing provides an isolated environment.

沙箱提供隔离环境。

未知程序先在隔离环境观察。安全服务可外包，但责任不能外包。

PCI DSS 不允许把合规责任甩给服务商。

Logging records information about events.

日志记录关于事件的信息。

日志通常记录发生了什么、何时、何地、谁做的，有时还记录如何发生。

What/When/Where/Who/How 是日志理解框架。

Auditing is more than logging.

审计不仅仅是日志记录。

日志是数据，审计是检查和评估环境是否符合要求。

第 15 章 audit，不要和 logging 混淆。

Security logs record access to resources.

安全日志记录对资源的访问。

文件、文件夹、打印机、敏感对象的访问、修改、删除都可记录。

Security log 与资源访问控制和问责相关。

System logs record system events.

系统日志记录系统事件。

系统启动、停止、服务变化、属性修改都可能暴露攻击迹象。

服务被停止或日志属性被改是可疑行为。

Application logs record application information.

应用日志记录应用信息。

数据库、Web 应用或业务系统可记录表、接口或功能访问。

应用开发者决定记录哪些事件。

Firewall and proxy logs record traffic.

防火墙和代理日志记录流量。

防火墙看源/目的 IP 与端口；代理日志能记录用户访问哪些网站。

Firewall logs 通常不记录数据包实际内容。

Audit trails reconstruct activity.

审计轨迹重建活动。

它能按时间前后追踪事件，支持调查、证明或反驳责任。

Audit trail 是被动检测控制，也可作威慑。

Protect logs from modification or deletion.

保护日志不被修改或删除。

权限、只读归档、备份、集中存储、物理安全和保留期都很重要。

攻击者常试图删日志，集中 SIEM 副本可保留证据。

Monitoring reviews information logs.

监控会审查信息日志。

人员可手工看日志，也可用工具自动筛选异常。

Monitoring 是 active review，不只是存日志。

SIEM provides centralized logging and analysis.

SIEM 提供集中日志和分析。

服务器、防火墙、IDPS、应用和云日志可汇聚到一个平台。

SIEM 常见能力：centralized logging、real-time analysis、alerts。

SIEMs include correlation engines.

SIEM 包含关联引擎。

它把不同来源的事件按时间、IP、用户、资产等共同属性连起来。

Correlation 是 SIEM 高频关键词。

Syslog sends event notification messages.

Syslog 发送事件通知消息。

RFC 5424 描述消息格式和传输，但不规定接收后怎么处理。

Syslog 常见于 Unix/Linux，也可被扩展接收 Windows 事件。

A clipping level can reduce alarms.

剪裁级别可减少告警。

例如 30 分钟内 5 次失败登录才报警，而不是每次失败都报警。

Clipping level = threshold for alerting。

Rollover logging overwrites oldest events.

循环日志会覆盖最旧事件。

设定最大日志大小，满了就写掉旧记录，避免磁盘塞满。

Rollover/circular/log cycling 是同一类概念。

Archived logs can fill a disk drive.

归档日志可能填满磁盘。

自动归档能保留证据，但要规划空间和保留期。

保留太久还可能增加法律取证成本。

Logs need accurate timestamps.

日志需要准确时间戳。

没有 NTP，跨系统时间线会乱，取证和关联分析不可信。

NTP/time synchronization 是日志题常见正确方向。

SOAR allows automated response to incidents.

SOAR 允许对事件自动响应。

它把工具、流程和响应动作编排起来，自动完成重复步骤。

SOAR = Security Orchestration, Automation, and Response。

Administrators respond to each warning manually.

管理员手动响应每个警告。

告警多、步骤重复、人员疲劳，容易慢和漏。

SOAR 的收益之一是减轻分析员工作量。

A playbook defines how to verify an incident.

剧本定义如何验证事件。

它像清单，写明检查哪些证据、满足哪些条件、采取哪些动作。

Playbook 是文档或 checklist。

A runbook implements playbook data as automation.

运行手册把剧本数据实现为自动化。

工具按 runbook 自动查询、阻断、隔离、开工单或通知。

Runbook 更偏自动化执行。

The playbook acts as manual backup.

剧本可作为手动备份。

自动化失败时，管理员仍可按 playbook 手动完成响应。

Playbook 不会因 SOAR 存在而失去价值。

SOAR can process SIEM and IDPS alerts.

SOAR 可处理 SIEM 和 IDPS 告警。

它能从告警开始，自动查日志、封锁 IP、隔离主机、通知人员。

SOAR 常和 SIEM、IDPS、threat feeds 组合。

Document known incidents and responses.

记录已知事件和响应。

自动化前要把可重复场景和响应标准先写清。

未知或复杂事件仍需人工判断。

Machine learning and AI can support detection.

机器学习和 AI 可支持检测。

它们可帮助发现异常、降噪和推荐响应，但仍需治理和验证。

不要把 AI 当万能替代品。

Threat intelligence gathers data on threats.

威胁情报收集威胁数据。

数据可以包括攻击者、恶意域名、IP、哈希、TTP 和活动趋势。

Threat intelligence 是信息来源，不等于主动搜索本地环境。

Kill chain models describe attack phases.

杀伤链模型描述攻击阶段。

Cyber Kill Chain 把攻击活动按阶段理解。

Kill Chain 是有序攻击链。

ATT&CK tactics are not ordered steps.

ATT&CK 战术不是有序步骤。

ATT&CK 更像战术技术知识库，用来描述攻击行为。

ATT&CK 不是固定顺序的攻击链。

Threat feeds provide threat indicators.

威胁源提供威胁指标。

订阅源可把恶意域名、IP、文件哈希等指标送给 SIEM 或 SOAR。

Threat feed = 可自动消费的情报流。

Indicators can be domains, IPs, or hashes.

指标可以是域名、IP 或哈希。

看到组织内部访问恶意域名，就可能说明已感染或被控制。

IOC 常用于检测和关联。

Threat hunting actively searches for threats.

威胁狩猎主动搜索威胁。

不是等工具报警，而是假设可能已被入侵，主动查日志、流量和主机线索。

Threat hunting 是主动行为。

APTs can remain undetected for long periods.

APT 可长期不被发现。

威胁狩猎常用于寻找横向移动、持久化和长期潜伏迹象。

APT、lateral movement、persistence 常和 hunting 同题。

SOAR can process threat feeds.

SOAR 可处理威胁源。

情报进入 SOAR/SIEM 后，能更新检测规则、触发查询或自动响应。

SOAR + threat intelligence + ML/AI 是本章后半段重点。