【网络安全】什么是应急响应,应急响应中你到底该关注哪些指标?
一、前言
今天這一篇文章主要就是介紹應(yīng)急響應(yīng)中的KPI。不過在討論之前,還是得簡(jiǎn)單的介紹一下什么是應(yīng)急響應(yīng)。
二、什么是應(yīng)急響應(yīng)?
“應(yīng)急響應(yīng)”對(duì)應(yīng)的英文是“Incident Response”(IR),是一種處理安全事件、漏洞和網(wǎng)絡(luò)威脅的結(jié)構(gòu)化方法。通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。
三、應(yīng)急響應(yīng)流程
應(yīng)急響應(yīng)流程可以參考NIST其中明確了應(yīng)急響應(yīng)4個(gè)階段并細(xì)分出了6個(gè)步驟。
**準(zhǔn)備階段:**人員、預(yù)案手冊(cè)(Playbook)、工具;
**檢測(cè)與分析階段:**確認(rèn)安全事件類型,明確事件等級(jí);
**遏制、根除和恢復(fù)階段:**立即止損,根據(jù)安全事件類型選擇對(duì)應(yīng)的遏制方法并制定恢復(fù)計(jì)劃;
**事后總結(jié):**從本次的安全事件中改進(jìn)流程,并將新數(shù)據(jù)反饋到應(yīng)急響應(yīng)流程的準(zhǔn)備階段。你應(yīng)該詢問、調(diào)查并記錄以下問題的答案:
-
-
發(fā)生了什么,在什么時(shí)候?
-
事件響應(yīng)小組對(duì)事件的處理情況如何?是否遵循了流程,是否足夠?
-
更早地發(fā)現(xiàn)還需要哪些信息?
-
是否采取了任何導(dǎo)致?lián)p壞或阻礙恢復(fù)的錯(cuò)誤操作?
-
如果下次發(fā)生同樣的事件,我們可以采取哪些不同的做法?
-
我們能否與其他組織或其他部門更好地分享信息?
-
我們是否學(xué)會(huì)了防止類似事件再次發(fā)生的方法?
-
我們是否發(fā)現(xiàn)了類似事件的新預(yù)兆或跡象,以供將來觀察?
-
需要哪些額外的工具或資源來幫助預(yù)防或減輕類似事件?
-
【學(xué)習(xí)文檔】
四、應(yīng)急響應(yīng)指標(biāo)
1、MTTD
什么是MTTD?
MTTD:平均檢測(cè)時(shí)間(Mean time to detect )。MTTD是指從系統(tǒng)故障到檢測(cè)或告警所需的平均時(shí)間。
如何計(jì)算MTTD?
MTTD = 故障與檢測(cè)之間的總時(shí)間/事件數(shù)量
例如:某系統(tǒng)在12:00發(fā)生故障,但直到12:10才有人注意到或被提醒,那么此時(shí)MTTD是10分鐘。
2、MTTA
什么是MTTA?
MTTA:平均確認(rèn)時(shí)間(Mean time to acknowledge)。MTTA是指從系統(tǒng)產(chǎn)生告警到人員開始注意并處理的平均時(shí)間。
如何計(jì)算MTTA?
MTTA = 檢測(cè)與確認(rèn)之間的總時(shí)間/事件數(shù)量
例如:安全組件在12:10檢測(cè)并發(fā)送告警后,應(yīng)急響應(yīng)人員在12:15開始處理該事件。那么此時(shí)MTTA是5分鐘。
3、MTTI
什么是MTTI?
MTTI:平均調(diào)查時(shí)間(Mean time to investigate)。MTTI是指從確認(rèn)一個(gè)安全事件到開始調(diào)查其原因和解決方案的平均時(shí)間。
如何計(jì)算MTTI?
MTTI = 確認(rèn)告警與分析調(diào)查之間的總時(shí)間/事件數(shù)量
例如:某安全運(yùn)營(yíng)人員在12:15開始處理告警并在12:30完成初步分析及擬定止損方案。那么此時(shí)MTTI是15分鐘。
4、MTTC
什么是MTTC?
MTTC:平均遏制時(shí)間(Mean Time to contain)。MTTC是指安全團(tuán)隊(duì)找到威脅者并阻止他們進(jìn)一步進(jìn)入你的系統(tǒng)和網(wǎng)絡(luò)所需的時(shí)間。
如何計(jì)算MTTC?
MTTC = 分析調(diào)查與快速止損之間的總時(shí)間/事件數(shù)量
例如:自安全事件在12:10被檢測(cè)到后,應(yīng)急響應(yīng)人員在12:45成功遏制了攻擊者的利用方式并阻斷了通訊隧道,有效地防止攻擊者進(jìn)行下一步入侵。
注意:遏制可能是隔離一個(gè)電子郵件賬戶,重設(shè)一個(gè)用戶密碼,或關(guān)閉一個(gè)服務(wù)器。遏制是走向恢復(fù)的第一步。應(yīng)急響應(yīng)團(tuán)隊(duì)越快遏制住威脅行為者,越能降低企業(yè)受到更大風(fēng)險(xiǎn)的可能性。
5、MTTR
MTTR有4種不同的測(cè)量方法,這是由于R可以代表修復(fù)(repair)、恢復(fù)(recovery/restore)、響應(yīng)(respond)和解決(resolve)。雖然這4個(gè)指標(biāo)有重疊,但它們都有各自的含義和細(xì)微差別。安全人員通常關(guān)注的是 平均響應(yīng)時(shí)間這個(gè)指標(biāo)。
1.平均修復(fù)時(shí)間(Mean time to repair)
什么是MTTR(平均修復(fù)時(shí)間)?
MTTR是修復(fù)一個(gè)系統(tǒng)的平均時(shí)間。它包括維修時(shí)間和測(cè)試時(shí)間,直到系統(tǒng)再次完全運(yùn)作。
如何計(jì)算MTTR(平均修復(fù)時(shí)間)?
MTTR = 將修復(fù)時(shí)間與恢復(fù)時(shí)間相加/修復(fù)次數(shù)
例如:一周內(nèi)有10次停電,修復(fù)系統(tǒng)花費(fèi)了4個(gè)小時(shí)。四個(gè)小時(shí)是240分鐘。240除以10是24。這意味著在這種情況下,修復(fù)的平均時(shí)間是24分鐘。
注意:平均修復(fù)時(shí)間并不總是與系統(tǒng)中斷本身的時(shí)間相同。在某些情況下,修復(fù)這個(gè)動(dòng)作是在產(chǎn)品故障或系統(tǒng)中斷后的幾分鐘內(nèi)開始。
2.平均恢復(fù)時(shí)間(Mean time to recovery/restore)
什么是MTTR(平均恢復(fù)時(shí)間)?
MTTR(平均恢復(fù)時(shí)間)是指從產(chǎn)品或系統(tǒng)故障中恢復(fù)的平均時(shí)間。這包括從系統(tǒng)或產(chǎn)品發(fā)生故障到其重新完全運(yùn)作的整個(gè)中斷時(shí)間。
如何計(jì)算MTTR(平均恢復(fù)時(shí)間)?
MTTR = 將故障時(shí)間與恢復(fù)時(shí)間相加/故障數(shù)量
例如:我們的系統(tǒng)在24小時(shí)內(nèi)在兩個(gè)獨(dú)立事件中停機(jī)了30分鐘。30除以2是15,所以我們的MTTR是15分鐘。
注意:這個(gè)指標(biāo)它包括故障現(xiàn)象出現(xiàn)到告警發(fā)出的這段延遲時(shí)間與respond有著明顯的區(qū)別。
3.平均解決時(shí)間(Mean time to resolve)
什么是MTTR(平均解決時(shí)間)?
MTTR(平均解決時(shí)間)是指完全解決一個(gè)故障所需的平均時(shí)間。這不僅包括檢測(cè)故障、診斷問題和修復(fù)問題的時(shí)間,還包括確保故障不會(huì)再次發(fā)生的時(shí)間。這個(gè)指標(biāo)代表從“救火”到“防火”的轉(zhuǎn)變。
如何計(jì)算MTTR(平均解決時(shí)間)?
MTTR = 將故障時(shí)間與完全解決之間的時(shí)間相加/故障數(shù)量
例如:你的系統(tǒng)在24小時(shí)內(nèi)的一次事件中總共癱瘓了兩個(gè)小時(shí),而團(tuán)隊(duì)又花了兩個(gè)小時(shí)進(jìn)行修復(fù),以確保系統(tǒng)中斷不會(huì)再次發(fā)生,這就是解決該問題的總時(shí)間。這意味著你的MTTR是四個(gè)小時(shí)。
注意:MTTR 最常使用工作時(shí)間(8小時(shí))計(jì)算(假設(shè)你在下班時(shí)將故障恢復(fù),并在第二天上班時(shí)解決潛在問題,那么你的 MTTR 將不包括下班的16小時(shí))。如果你的團(tuán)隊(duì)在能夠7X24小時(shí),或者有值班員工在下班后工作,那么這個(gè)指標(biāo)將可以進(jìn)行適當(dāng)?shù)奈⒄{(diào)。
4.平均響應(yīng)時(shí)間(Mean time to respond)
什么是MTTR(平均響應(yīng)時(shí)間)?
MTTR(平均響應(yīng)時(shí)間)是指從第一次收到警報(bào)時(shí)起,直到產(chǎn)品或系統(tǒng)從故障中恢復(fù)所需的平均時(shí)間。
如何計(jì)算MTTR(平均響應(yīng)時(shí)間)?
MTTR = 檢測(cè)告警與服務(wù)恢復(fù)之間的總時(shí)間/事件數(shù)量
示例:如果你在一個(gè)40小時(shí)的工作周里發(fā)生了四起事件,并且在這些事件上總共花了一個(gè)小時(shí)(從警報(bào)到恢復(fù)),那么你那一周的MTTR將是15分鐘。
注意:平均響應(yīng)時(shí)間不考慮問題已經(jīng)存在但未被識(shí)別的時(shí)間。
五、舉個(gè)例子
應(yīng)急響應(yīng)KPI時(shí)間線
1.MTTD:告警群在12:05上報(bào)一起安全告警,(假設(shè)告警每5分鐘同步一次到群里,理想情況下告警應(yīng)近乎實(shí)時(shí))。MTTD:5分鐘(12:05 - 12:00 = 5)
2.MTTA:安全運(yùn)營(yíng)團(tuán)隊(duì)在12:10開始處理此告警并確認(rèn)這是一起真實(shí)的網(wǎng)絡(luò)入侵事件,同一時(shí)間應(yīng)急響應(yīng)團(tuán)隊(duì)介入。MTTA:5分鐘(12:10 - 12:05 = 5)
3.MTTI:應(yīng)急響應(yīng)團(tuán)隊(duì)在12:25完成初步分析并根據(jù)已有應(yīng)急預(yù)案擬定遏制方案。MTTI:15分鐘(12:25 - 12:10 = 15)
4.MTTC:根據(jù)預(yù)案安全運(yùn)營(yíng)團(tuán)隊(duì)在12:35完成了安全組件的規(guī)則調(diào)整,并刪除已識(shí)別的后門木馬遏制了攻擊者的利用“路徑”。為后續(xù)的根除威脅爭(zhēng)取到了充足的時(shí)間。MTTC:30分鐘(12:35 - 12:05 = 30)
5.MTTR:12:50正式通知重新上線業(yè)務(wù)恢復(fù)對(duì)外服務(wù)。MTTR(Respond):45分鐘(12:50 - 12:05 = 45)、MTTR(Recovery):50分鐘(12:50 - 12:00 = 50);
總結(jié)
以上是生活随笔為你收集整理的【网络安全】什么是应急响应,应急响应中你到底该关注哪些指标?的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 蜜罐中利用jsonp跨域漏洞和xss漏洞
- 下一篇: CTF题目中遇到的PHP考点总结(一)