如何制定成功的事件响应计划
相关标签: # 漏洞# 技术# 攻击# 网络安全
作为一名四面楚歌的IT战士,要支持的系统、应用和用户比以往任何时候都多,保持一切正常运行本身就是一场战斗。
当谈到防止最坏情况发生时,你需要所有能得到的帮助,尽管你是超级英雄。
根据SANS,网络安全应急响应计划有6个关键阶段。
- 准备工作-为用户和IT部门做好准备,以便在潜在事件发生时处理这些事件
- 鉴定-弄清楚我们所说的“安全事件”是什么意思(我们可以忽略哪些事件,而我们现在必须采取行动?)
- 遏制-隔离受影响的系统以防止进一步损坏
- 根除-找到并消除根本原因(从生产中移除受影响的系统)
- 恢复-允许受影响的系统重新进入生产环境(并密切关注)
- 经验教训-写下所有内容,与所有团队成员一起回顾和分析,以便改进未来的事件响应工作
以下是三个来自事故响应前线的例子,可以在制定计划的每个阶段帮助您。
论成功的定义事件反应成功
防守工作有很多成功的层次;一般的看法是,进攻方只需要正确一次,防守方每次都必须正确,但这并不总是正确的。
攻击不是全无或全无的事情——它们会随着时间的推移而发生,在最终成功之前会经历多个阶段。
为了不被察觉,进攻方必须正确地采取每一步行动;如果一个精明的防御者发现他们哪怕一次,他们就有可能找到并阻止整个攻击。
你不会立即检测到攻击过程中发生的一切,但只要你检测到(正确识别)足够的攻击来阻止它,这就是成功。
攻击不是全无或全无的事情——它们会随着时间的推移而发生,在最终成功之前会经历多个阶段。
为了不被察觉,进攻方必须正确地采取每一步行动;如果一个精明的防御者发现他们哪怕一次,他们就有可能找到并阻止整个攻击。
你不会立即检测到攻击过程中发生的一切,但只要你检测到(正确识别)足够的攻击来阻止它,这就是成功。
不要惊慌,保持专注。
执行是关键-攻击目标的方式范围似乎是无限的——期望成为所有这些方面的专家是毫无意义的不现实。
事故响应最重要的部分是以限制损害、减少恢复时间和成本的方式处理每一种情况。
在一天结束时,这就是衡量你是否出色完成工作的方式;并不是说你涵盖了每个潜在漏洞的每个角度。
事故响应最重要的部分是以限制损害、减少恢复时间和成本的方式处理每一种情况。
在一天结束时,这就是衡量你是否出色完成工作的方式;并不是说你涵盖了每个潜在漏洞的每个角度。
从简单的步骤开始,攻击者很懒惰。
攻击者需要在技术和经济上尽可能少地投入精力和资源来突破其目标——你越是移除网络上挂不住的果实,你就越能提高攻击者成功渗透网络所需的实际工作水平。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
