網(wǎng)絡安全事件調(diào)查是現(xiàn)代企業(yè)網(wǎng)絡安全體系建設的關鍵組成部分。為了防止網(wǎng)絡攻擊，僅僅關注于安全工具的應用效果遠遠不夠，因為安全事件一直都在發(fā)生。安全團隊只有充分了解攻擊者的行蹤和攻擊路徑，才能更好地防范更多攻擊時間的發(fā)生。
　　做好網(wǎng)絡安全事件調(diào)查看上去并不復雜，只要收集有關企業(yè)IT系統(tǒng)的運行數(shù)據(jù)，然后分析其中的異常情況即可。然而，這項看似簡單的工作背后隱藏著諸多不確定因素。在網(wǎng)絡安全事件調(diào)查中，需要采取合法合規(guī)的調(diào)查手段，使用合適的技術和工具，此外還需要配置一些非專業(yè)性技能，例如分析能力、溝通能力和團隊協(xié)作能力等，才能保證調(diào)查結(jié)果的有效性和合規(guī)性。

　　網(wǎng)絡安全事件調(diào)查的意義

　　隨著企業(yè)的數(shù)字化發(fā)展，會遇到各種類型的網(wǎng)絡安全事件，并不是對所有的事件都需要開展全面調(diào)查，例如，對今天的DDoS攻擊通常不需要深入調(diào)查，而是只要做好攻擊發(fā)生時的應急響應準備即可。網(wǎng)絡安全事件調(diào)查的主要應用場景是網(wǎng)絡攻防對抗，在高強度對抗中所產(chǎn)生的安全事件才需要企業(yè)安全調(diào)查人員去深入調(diào)查分析，其調(diào)查難度也是傳統(tǒng)網(wǎng)絡病毒攻擊事件難以相提并論的。

　　安全事件調(diào)查與傳統(tǒng)的威脅檢測都需要依賴強大的威脅情報庫和發(fā)現(xiàn)規(guī)則，但最大的區(qū)別在于，威脅檢測是為了及時發(fā)現(xiàn)異常情況并發(fā)出警報，而事件調(diào)查則是對所發(fā)現(xiàn)的異常行為進行全面的調(diào)查分析，并進行相應的抑制和修復。

　　以勒索軟件攻擊事件調(diào)查為例，這已經(jīng)成為企業(yè)組織普遍面臨的安全風險。然而，很多企業(yè)在開展勒索攻擊事件調(diào)查時，會將工作的重點放在了如何解密和恢復數(shù)據(jù)，這是非常錯誤的。企業(yè)應該充分了解系統(tǒng)是如何被勒索軟件入侵，全面調(diào)查包括網(wǎng)絡釣魚、軟件漏洞、弱密碼和惡意內(nèi)部人員等各種威脅產(chǎn)生的路徑，這樣才可能徹底清除勒索攻擊者對自身業(yè)務系統(tǒng)的非法控制，并從根本上防止此類事件的再次發(fā)生。

　　許多客戶不太關心攻擊的具體細節(jié)，比如來源或幕后的黑客組織。他們主要關注恢復業(yè)務流程，并確保此類惡意行為不再發(fā)生。與此同時，調(diào)查人員可以對惡意軟件代碼進行逆向工程，以收集能表明黑客來源的寶貴數(shù)據(jù)。在典型的事件調(diào)查場景中，可以用數(shù)據(jù)收集和分析周期來表示調(diào)查工作的進展情況，每次新的迭代后，企業(yè)就會對下一步的網(wǎng)絡安全建設有更準確的理解。

　　為事件調(diào)查做好準備

　　網(wǎng)絡安全事件調(diào)查通常分為收集線索、數(shù)據(jù)分析和報告總結(jié)等階段，其中，收集線索是非常關鍵的準備工作。只有獲取到足夠的攻擊證據(jù)，才能更準確地分析攻擊者的行蹤和攻擊路徑。

　　當嚴重的網(wǎng)絡安全事件發(fā)生后，調(diào)查人員應該首先根據(jù)資產(chǎn)的損害狀況和攻擊手法特點，設置好處置任務的優(yōu)先級，這樣才能在需要時迅速做出決策，并在必要時通過使用排除法來發(fā)現(xiàn)被攻擊的真相。

　　當安全事件調(diào)查流程啟動后，安全分析師要盡可能全面了解事件相關信息，這需要他們在日常工作中充分熟悉自身的角色和職責?？焖僮兓腎T環(huán)境經(jīng)常需要分析師實時同步更新自己的技能組合，比如了解云計算、大數(shù)據(jù)等。在安全事件調(diào)查時，分析師應能夠迅速識別其負責的所有資產(chǎn)運行狀態(tài)，并積極參與到漏洞管理和掃描發(fā)現(xiàn)過程。

　　所收集的安全事件信息數(shù)量和質(zhì)量將決定事件調(diào)查的結(jié)果，幫助分析師準確了解他們面臨威脅的程度與可能后果。需要指出的是，由于很多攻擊團伙開始使用“攻擊即服務”的Saas化商業(yè)模式，要準確了解這些攻擊技術并不困難。但是在一些比較敏感的場景(比如能源等關鍵基礎設施部門受到攻擊)中，安全分析師需要留意是否存在更多的非常規(guī)性攻擊方法。

　　在許多情況下，分析師可能會面臨信息不全、時間不足以及缺少權(quán)限等不利因素，并讓調(diào)查工作陷入混亂、恐慌的狀態(tài)中。在這種情況下，訓練有素的事件調(diào)查團隊必須清楚地表述其專業(yè)知識，獲取業(yè)務部門的理解和支持，并推動事件調(diào)查工作開展下去。

　　調(diào)查人員的責任

　　網(wǎng)絡安全事件調(diào)查人員可以接觸到大量的事件信息，如何做好保密是極其敏感的問題，調(diào)查人員應該充分意識到這一點。他們需要明白，如果企業(yè)遭遇了數(shù)據(jù)泄露，可能會導致業(yè)務崩潰和法律后果。因此，調(diào)查人員絕不應該有意地造成這樣的危害。

　　對于參與事件調(diào)查的人員，只應該關注并收集完成自己所負責調(diào)查任務所必需的數(shù)據(jù)，通常包括已登錄的用戶賬戶、已啟動的程序以及程序啟動時間。除非特別需要，調(diào)查人員不應該收集涉及客戶擔心被泄露的敏感信息。值得一提的是，調(diào)查期間收集的所有信息都按照嚴格的安全規(guī)程妥善存儲。在一段指定的時間后，數(shù)據(jù)被刪除。

　　還有人擔心調(diào)查人員可能會與別人分享事件信息。事實上，調(diào)查團隊的所有人員都沒有義務向第三方(包括警方)提供有關被調(diào)查事件的信息，因為是否報告這類事件需要由受害企業(yè)的管理者和實際受害者來決定。

　　此外，調(diào)查人員的工作和行動不是為了破壞和處罰信息安全部門。在事件發(fā)生后解雇可能存在失職行為的安全人員并不一定總是合適的。雖然有時會發(fā)生這種情況，但沒有一個安全系統(tǒng)是完美無缺的，難免會有漏洞。對安全事件進行問責與安全事件調(diào)查并沒有關系，這是企業(yè)的管理層需要做出的決定。

　　在調(diào)查人員給出的事件調(diào)查報告中，應該包含事件過程的完整信息。如果事件因未解決的、原有的和眾所周知的漏洞而發(fā)生，必須將所發(fā)現(xiàn)的漏洞情況完整附在報告中。調(diào)查人員不得隱瞞此類信息。

　　法律方面的挑戰(zhàn)

　　由于網(wǎng)絡安全已經(jīng)成為國家安全的一部分，因此很多網(wǎng)絡攻擊事件，并不能僅依靠企業(yè)自身就可以有效解決。在很多時候，企業(yè)需要選擇與司法部門合作，甚至把事件的最后處置交由法院來判決。

　　由于司法信息是公開的，這么做可能會使安全事件公之于眾，這可能給企業(yè)帶來商譽方面風險。因此，一些企業(yè)由于對商譽的擔心而故意隱瞞了對網(wǎng)絡安全事件的調(diào)查，從而延誤了事情的處理，結(jié)果帶來了更大的安全危害。

　　因此，如果需要通過司法流程來解決某些安全事件，企業(yè)管理層應該盡快做出決定，這需要進行全面的風險評估。在這種情況下，企業(yè)最好不要擅自對網(wǎng)絡基礎設施進行任何改變，而是立即向律師事務所尋求建議。專業(yè)律師會提供咨詢服務，并建議適當?shù)男袆臃桨浮?br />
　　網(wǎng)絡安全事件調(diào)查中的另一個法律風險挑戰(zhàn)是如何確保對復制、刪除或覆蓋數(shù)據(jù)的過程進行適當?shù)目刂坪陀涗?。如果證據(jù)收集未正確進行或違反了法律要求，法院可能在訴訟中質(zhì)疑數(shù)據(jù)的有效性，并拒絕使用該數(shù)據(jù)。這可能會對案件的最終處理結(jié)果產(chǎn)生重大影響。

　　參考鏈接：

　　https://betanews.com/2023/08/05/inside-the-world-of-cyber-incident-investigations/。