事件响应计划——未雨绸缪

不幸的事实是,尽管企业在网络防御方面投入了更多资金,并比以往任何时候都更加重视网络安全,但成功的入侵和勒索软件攻击却在增加。虽然成功的突破并非不可避免,但尽管尽了最大努力防止其发生,但它的可能性越来越大。
就像诺亚建造方舟时没有下雨一样,公司必须面对这样一个事实:如果网络攻击真的成功发生,他们需要准备一个经过深思熟虑的应对计划,并向组织进行教育。显然,计划应对网络攻击的最糟糕时间是攻击发生时。
随着如此多的公司成为网络攻击的受害者,一个完整的事件响应(IR)服务家庭手工业应运而生。数千次IR活动帮助发布了最佳实践和准备指南,以帮助那些尚未成为网络攻击受害者的人。
最近,网络安全公司Cynet提供了一个事件响应计划Word模板,以帮助公司计划这一不幸事件。
做最坏的打算
古老的格言“抱最好的希望,做最坏的打算”在这里并不完全准确。大多数公司都在积极努力保护自己免受网络攻击,当然不仅仅是抱着最好的希望。即便如此,计划违约后该做什么是一项非常值得的工作,这样公司就可以立即采取行动,而不是等待计划出台。当出现漏洞,攻击者可以访问网络时,每秒钟都很重要。
IR计划主要记录了响应团队的明确角色和职责,并定义了团队在响应网络事件时将遵循的高层流程。Cynet创建的IR计划模板建议遵循SANS协会在《事件处理人员手册》中定义的结构化6步IR流程,顺便说一句,这是另一个很棒的IR资源。
概述的六个步骤是:
- 准备—审查并编纂组织安全政策,执行风险评估,识别敏感资产,定义团队应关注的关键安全事件,并建立计算机安全事件响应团队(CSIRT)。
- 识别—监控IT系统,检测与正常操作的偏差,看看它们是否代表实际的安全事件。发现事故后,收集额外证据,确定其类型和严重程度,并记录所有情况。
- 遏制—执行短期遏制,例如隔离受到攻击的网段。然后关注长期控制,包括临时修复,以便在生产中使用系统,同时重建清洁系统。
- 根除—从所有受影响的系统中删除恶意软件,找出攻击的根本原因,并采取措施防止将来发生类似的攻击。
- 恢复—小心地让受影响的生产系统重新联机,以防止额外的攻击。测试、验证和监控受影响的系统,以确保它们恢复正常活动。
- 经验教训—在事件结束后的两周内,对事件进行回顾。准备事件的完整文件,进一步调查事件,了解采取了哪些措施来控制事件,以及事件响应过程中是否有任何方面可以改进。
IR计划模板有助于组织将上述内容编成可在组织内共享的可行计划。Cynet的IR计划模板为每个IR步骤提供了一个清单,当然,可以而且应该根据每家公司的具体情况进行定制。
此外,Cynet IR计划模板深入研究了IR团队结构以及角色和责任,以防止每个人在疯狂努力从网络事件中恢复时头发着火四处乱跑。由于要完成大量的活动和任务,员工做好准备并了解对他们的期望是至关重要的。