SEPA案例中的IPDRR用法

围观次数:270 views

楔子:“Are you eating your own dog food?”(理会.践行)

背景

2020 年 12 月,苏格兰环境保护局(Scottish Environment Protection Agency,以下简称 SEPA)在圣诞节前夕遭受重大网络攻击,其大部分数据在一夜之间被加密、被盗或删除。犯罪分子要求付款,SEPA决定不支付赎金,并自攻击后努力恢复关键和基本的业务流程。12 个多月后,SEPA仍在重建其数字基础设施。

根据公开的信息, SEPA作为公共部门具有合理的网络安全水平,例如:获得了 Cyber​​ Essentials Plus 认证;投资了日志和监控解决方案、防病毒解决方案等技术保护解决方案,并进行了用户网络钓鱼培训。 在该次事件中,SEPA 通过快速调用应急管理团队 (EMT)、快速识别和确定关键流程的优先级以及在内部和外部进行良好沟通来应对攻击。

以下让我们用IPDRR模型来看看从SEPA的此次网络安全事件中能学习到些什么? 

识别

从有限的信息中,我们可以看到SEPA采用了某种成熟度管理模型,并对IS 变更管理做了充分的工作,实施了ITIL框架,在攻击前已获得 Cyber Essentials Plus 认证。

由于详细的识别信息的外泄会给攻击者带来便利并给防护者带来困扰,因此本文不做过多讨论。

保护

SEPA在此次事件发生时已经针对网络保护已经进行了投入,例如:终端保护、防火墙、漏洞管理、自动化补丁管理流程、VPN 访问控制、VDI 环境、电子邮件过滤、用户网络钓鱼培训等。IS 部门工作人员采用与最佳实践相一致的、与日常运营职责对应的特权职能、单独的账户。

通过本次事件的检验,SEPA认识到了传统防护的不足,他们将采取一系列措施来改进防护系统,包括(但不限于):

  • 将网络安全意识培训列为保护计划的一部分,对所有员工进行强制性网络安全培训;如果有特定漏洞的情报,将提供定制通知、建议和培训。
  • 优化权限管理,例如:只引入少量受到严格控制的管理帐户、日常账户与管理账户分开、禁用电子邮件和互联网访问等策略
  • 使用多因素身份验证的网络,采用全新的密码策略。
  • 重新构建网络安全系统以代替旧系统以针对攻击技术的变化趋势,例如:威胁者常采用命令行界面 (CMD) 和 PowerShell作为TTP的一部分。

发现

在事件发生之前,SEPA 已投资于警报记录和监控机制,例如:IDS等,在攻击发生时记录和警报已经到位。除瘦客户端设备外的所有SEPA端点都安装了防病毒保护软件,用户配置文件和数据通过运行防病毒软件的虚拟桌面基础架构 (VDI) 访问。 在此次事件发生后SEPA将引入新的增强型端点设计,用于端点限制和监控用户操作,例如:命令行工具和操作。

由于这次攻击,SEPA 考虑提高检测网络攻击能力的方法,解决方案之一是对内部或外部安全运营中心 (SOC) 的投资,提供 24/7 全天候监控和对安全警报的响应。

SEPA认为人员能力是威胁检测的重要因素,他们将审查安现有的全事件管理方法并在进行适当改进:包括审查安全事件管理的可用资源、为员工提供培训、制定调查入侵检测警报的程序和处理已识别威胁的手册。

响应(&调查)

整体上,SPEA在事件响应层面显示出了其训练有素,包括:

  • 他们迅速制定了事件响应和业务连续性安排,例如:调用应急管理小组 、回应公共机构等事务。
  • 在确认了遭受网络攻击后,SEPA迅速将关键流程确定为可能影响人类安全的流程,例如:2020 年 12 月 24 日优先发布了洪水警告。
  • 领导层采取了有效的行动支持对网络攻击的响应。从事件发生的第一天开始,高层领导就进行了有效的沟通,CEO 在应对攻击的努力中发挥了明显的领导作用,例如:CEO 主持 EMT 会议、发表媒体声明并领导采取行动;与董事会和苏格兰政府等利益相关者进行沟通。
  • 与利益相关者的沟通基于公开、诚实和简洁的原则,利益相关者定期更新,并且沟通是针对每种类型的利益相关者的需求而定的。
  • IS 团队内的每日站立会议支持员工了解他们在应对攻击中的角色和责任,让员工了解情况并帮助员工了解优先事项。
  • 在发现攻击的早期阶段,SEPA 即将其网络与更广泛的网络隔离开来。
  • SEPA 有着良好的事件管理日志记录,用于辅助事件响应所需的调查。

当然,SPEA也承认在此次安全事件中发现了一些问题,包括工作计划不周全、沟通机制不健全等现象,例如:

  • 在本次事件中存储访问网络 (SAN)受到影响从而造成其 上的所有文件都变得不可用,包括:业务连续性计划、灾难恢复计划和网络事件响应计划等。由于没有可用的离线版本和硬拷贝,因此在事件期间无法共享这些文件。
  • 直到 2020 年 12 月 24 日收到高优先级警报大约八小时后,才将该安全事件升级到正确的安全管理人。
  • 只有 IS 部门的高级管理人员知道”网络事件响应计划”的存在。一般职员普遍认为该计划不是最新的,并仅知道他们自己的角色、责任以及他们在结构中的位置。
  • 该计划可能未经过有效的演练或曾被触发过。

针对本事件的响应和调查层面,SEPA 额外承担了一笔费用,邀请第三方进行详细的取证分析以支持任何可能发起的起诉的要求,因为SEPA认为这是一起不寻常的、不同于传统的非网络犯罪层面的攻击。

恢复

SEPA遵循 了321 原则的备份策略,但在恢复时并未退回到事件发生前的状态,而是选择了构建新的系统。他们利用原有的网络设备,按照标准指南和流程做了扫描和清理后进行了重建。

考虑到将系统恢复到事件前的状态可能会带来持续的风险和漏洞,在每个系统/服务上线之前和处理下一个优先级项目之前,需要对已经恢复的系统进行安全验证。SEPA将拥有的防病毒扫描软件更新到最新特征库,并基于订阅的高级威胁防护包(包括:反网络钓鱼、反垃圾邮件、安全附件等)使用IOC部署了阻断措施。从公布的信息中,可以推测SEPA使用了Checkpoint、CISP和CREW的服务。

虽然SEPA制定了良好的灾难恢复计划,然而在遭遇攻击后的实际恢复操作过程中,他们仍然发现了很多问题:

在组织遭受严重网络攻击的情况下,与组织有物理网络连接的第三方基于保护自身的需求,可能会撤回服务,甚至是在没有通知的前提下撤回服务。需要特别注意的是第三方服务的中断可能会产生无法预料的后果。

 在审查恢复计划时,总计确定了 103 个项目需要在 2021 年 6 月之前完成,并且这些项目间有着复杂的依赖关系且优先顺序不清晰,恢复过程中还需要管理可能出现的失误、错误配置和漏洞,这意味着工作量比事故发生前要大得多。

小结

SEPA事件用事实说明了没有任何组织能够充分保护自己免受当今复杂网络攻击的威胁,因此,尽可能做好充分准备至关重要。

笔者按:

  1. 备份321原则:数据备份有3份拷贝;至少使用2种不同备份介质;至少有1份备份位于其他地点
  2. IPDRR框架包括5个部分:识别(ID)、保护(PR)、发现(DE)、响应(RS)和恢复(RC)。

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助