返回

事件响应计划——未雨绸缪

发布时间:2022-04-12 02:56:29 494
# 漏洞# 恶意软件# 攻击# 入侵# 软件
Incident Response

不幸的事实是,尽管企业在网络防御方面投入了更多资金,并比以往任何时候都更加重视网络安全,但成功的入侵和勒索软件攻击却在增加。虽然成功的突破并非不可避免,但尽管尽了最大努力防止其发生,但它的可能性越来越大。

就像诺亚建造方舟时没有下雨一样,公司必须面对这样一个事实:如果网络攻击真的成功发生,他们需要准备一个经过深思熟虑的应对计划,并向组织进行教育。显然,计划应对网络攻击的最糟糕时间是攻击发生时。

随着如此多的公司成为网络攻击的受害者,一个完整的事件响应(IR)服务家庭手工业应运而生。数千次IR活动帮助发布了最佳实践和准备指南,以帮助那些尚未成为网络攻击受害者的人。

最近,网络安全公司Cynet提供了一个事件响应计划Word模板,以帮助公司计划这一不幸事件。

做最坏的打算

古老的格言“抱最好的希望,做最坏的打算”在这里并不完全准确。大多数公司都在积极努力保护自己免受网络攻击,当然不仅仅是抱着最好的希望。即便如此,计划违约后该做什么是一项非常值得的工作,这样公司就可以立即采取行动,而不是等待计划出台。当出现漏洞,攻击者可以访问网络时,每秒钟都很重要。

IR计划主要记录了响应团队的明确角色和职责,并定义了团队在响应网络事件时将遵循的高层流程。Cynet创建的IR计划模板建议遵循SANS协会在《事件处理人员手册》中定义的结构化6步IR流程,顺便说一句,这是另一个很棒的IR资源。

概述的六个步骤是:

  1. 准备—审查并编纂组织安全政策,执行风险评估,识别敏感资产,定义团队应关注的关键安全事件,并建立计算机安全事件响应团队(CSIRT)。
  2. 识别—监控IT系统,检测与正常操作的偏差,看看它们是否代表实际的安全事件。发现事故后,收集额外证据,确定其类型和严重程度,并记录所有情况。
  3. 遏制—执行短期遏制,例如隔离受到攻击的网段。然后关注长期控制,包括临时修复,以便在生产中使用系统,同时重建清洁系统。
  4. 根除—从所有受影响的系统中删除恶意软件,找出攻击的根本原因,并采取措施防止将来发生类似的攻击。
  5. 恢复—小心地让受影响的生产系统重新联机,以防止额外的攻击。测试、验证和监控受影响的系统,以确保它们恢复正常活动。
  6. 经验教训—在事件结束后的两周内,对事件进行回顾。准备事件的完整文件,进一步调查事件,了解采取了哪些措施来控制事件,以及事件响应过程中是否有任何方面可以改进。

IR计划模板有助于组织将上述内容编成可在组织内共享的可行计划。Cynet的IR计划模板为每个IR步骤提供了一个清单,当然,可以而且应该根据每家公司的具体情况进行定制。

此外,Cynet IR计划模板深入研究了IR团队结构以及角色和责任,以防止每个人在疯狂努力从网络事件中恢复时头发着火四处乱跑。由于要完成大量的活动和任务,员工做好准备并了解对他们的期望是至关重要的。

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线