DFIR需求层次与关键安全控制

在规划如何提升组织2017年的数字取证和事件响应（DFIR）能力时，可以考虑Matt Swann的事件响应需求层次理论。职业生涯中（或心理治疗中😉），你可能听说过Maslow的需求层次理论。简而言之，Maslow的术语——生理、安全、归属与爱、尊重、自我实现和自我超越——描述了人类动机通常遵循的模式，这一模式以金字塔形式很好地呈现。

Matt巧妙利用这一模型描述了事件响应需求层次，你的DFIR方法应遵循这一层次。我认为，他对能力的强大描述适用于整个DFIR，而不仅仅是响应。从Matt的Github来看，“事件响应需求层次描述了组织必须构建的能力，以保护其业务资产。底层能力是成功执行上层能力的先决条件：”

事件响应需求层次

“这些能力也可以组织成平台或阶段，组织在开发这些能力时可能会经历：”

层次平台或阶段

作为可视化表示，这些图表确实不言自明，我赞赏Matt的出色工作。我想提出，一系列参考和控制措施可能有助于你最大限度地实现这一层次。我也欢迎你关于如何实现每个需求和阶段的反馈和贡献。请随意提交你已部署或计划部署的控制措施、工具和策略，以在这些努力中取得成功；我会连同你偏好的社交媒体账号一起发布你的提交。

互联网安全中心关键安全控制版本6.1（CIS CSC）的各个方面可以映射到Matt的每个层次实体和阶段。下面我为每个条目提供一个控制措施和一个工具。请注意，这些映射和工具存在一定的主观性，但目的是帮助你采纳这一思维并实现这一议程。以下是从金字塔底部开始的每个条目的示例。

清单 - 你能说出你正在防御的资产吗？
关键安全控制 #1：授权和未授权设备的清单
系列：系统
控制：1.4
“维护所有连接到网络的系统和网络设备本身的资产清单，记录至少网络地址、机器名称、每个系统的用途、负责每个设备的资产所有者以及与每个设备相关的部门。清单应包括网络上具有互联网协议（IP）地址的每个系统，包括但不限于台式机、笔记本电脑、服务器、网络设备（路由器、交换机、防火墙等）、打印机、存储区域网络、IP语音电话、多宿地址、虚拟地址等。创建的资产清单还必须包括设备是否为便携式和/或个人设备的数据。必须识别存储或处理数据的移动电话、平板电脑、笔记本电脑和其他便携式电子设备等设备，无论它们是否连接到组织的网络。”
工具选项：
Spiceworks Inventory

遥测 - 你对资产有可见性吗？
关键安全控制 #6：审计日志的维护、监控和分析
系列：系统
控制：6.6
“部署SIEM（安全信息和事件管理）或日志分析工具，用于从多台机器进行日志聚合和整合，以及进行日志关联和分析。使用SIEM工具，系统管理员和安全人员应设计给定系统的常见事件配置文件，以便调整检测以专注于异常活动，避免误报，更快速地识别异常，并防止用无关紧要的警报淹没分析员。”
工具选项：
AlienVault OSSIM

检测 - 你能检测到未经授权的活动吗？
关键安全控制 #8：恶意软件防御
系列：系统
控制：8.1
“使用自动化工具持续监控工作站、服务器和移动设备，具有防病毒、反间谍软件、个人防火墙和基于主机的IPS功能。所有恶意软件检测事件应发送到企业防恶意管理工具和事件日志服务器。”
工具选项：
OSSEC开源HIDS安全

分类 - 你能准确分类检测结果吗？
关键安全控制 #4：持续漏洞评估和修复
系列：系统
控制：4.3
“将事件日志与漏洞扫描信息关联起来，以实现两个目标。首先，人员应验证常规漏洞扫描工具的活动本身是否被记录。其次，人员应能够将攻击检测事件与先前的漏洞扫描结果关联起来，以确定给定的漏洞是否被用于攻击已知易受攻击的目标。”
工具选项：
OpenVAS

威胁 - 你的对手是谁？他们的能力是什么？
关键安全控制 #19：事件响应和管理
系列：应用
控制：19.7
“为与事件处理团队相关的人员定期举办事件场景会议，以确保他们了解当前威胁和风险，以及他们在支持事件处理团队中的职责。”
工具选项：
安全事件响应测试以满足审计要求

行为 - 你能检测到对手在你环境中的活动吗？
关键安全控制 #5：控制使用管理权限
系列：系统
控制：5.1
“最小化管理权限，仅在需要时使用管理账户。实施对管理权限功能使用的重点审计，并监控异常行为。”
工具选项：
本地管理员密码解决方案（LAPS）

狩猎 - 你能检测到已经嵌入的对手吗？
关键安全控制 #6：审计日志的维护、监控和分析
系列：系统
控制：6.4
“让安全人员和/或系统管理员运行双周报告，识别日志中的异常。然后他们应主动审查异常，记录他们的发现。”
工具选项：
GRR快速响应

跟踪 - 在入侵期间，你能实时观察对手活动吗？
关键安全控制 #12：边界防御
系列：网络
控制：12.10
“为了帮助识别通过防火墙渗出数据的隐蔽通道，配置许多商业防火墙中包含的内置防火墙会话跟踪机制，以识别对于给定组织和防火墙设备而言持续时间异常长的TCP会话，提醒人员有关这些长会话的源和目标地址。”
工具选项：
Bro

行动 - 你能部署对策以驱逐和恢复吗？
关键安全控制 #20：渗透测试和红队演习
系列：应用
控制：20.3
“执行定期红队演习，测试组织识别和阻止攻击或快速有效响应的准备情况。”
工具选项：
红队 vs 蓝队 - PowerSploit vs PowerForensics

你能与可信方合作以破坏对手活动吗？
关键安全控制 #19：事件响应和管理
系列：应用
控制：19.5
“组装并维护第三方联系信息，用于报告安全事件（例如，维护security@organization.com的电子邮件地址或拥有网页http://organization.com/security）。”
工具选项：
MISP

我已将层次映射到CIS CSC 6.1电子表格中的控制措施，再次基于我的经验和视角，你的可能不同，但考虑类似的活动。

CIS CSC与IR层次映射

我在CIS CSC 6.1电子表格中对Matt的事件响应需求层次的完整映射可在此处获取：http://bit.ly/CSC-IRH

我真诚希望你能熟悉Matt的事件响应需求层次，并找到相应的方法来实施、验证和改进你的能力。考虑到这里提到的控制措施和工具只是一个起点，你还有许多其他选择。我也期待听到你偏好的策略和工具。向Matt致以敬意，因为他如此清晰地构建了这一重要讨论。