事故應變服務的需求
網絡攻擊正在增加,對各行業的各種規模的公司構成威脅。 任何組織都可能成為資料外洩或勒索軟體攻擊的受害者,並且需要擁有有效管理網路安全事件所需的工具和流程。
事件回應非常重要,因為它允許組織確定事件的範圍和影響,並採取措施來修復事件。 事件回應人員將調查入侵,控制和修復受感染的系統,並在消除威脅後恢復正常操作。
如果組織準備妥善處理資料外洩或其他網路安全事件的成本,事件回應可能會對資料外洩或其他網路安全事件的成本產生巨大影響。
事件回應階段
事件回應的目標是讓組織從對潛在的入侵(除其存在之外)的少或完全無知道,進而完成修復。
實現這個目標的過程分為六個主要階段:
- 準備:準備是有效事件回應,並將網絡安全事件的成本和影響降到最低的關鍵。 為了準備事件回應,組織應建立事件回應小組,並定義並測試一個事件回應計劃,其中概述如何處理事件回應程序的每個階段。
- 檢測和分類:事件回應首先對事件進行分類,以確保它是網路安全事件,在採取遏制行動之前收集和保存任何可用的證據,並分配正確的分類和優先級,以確保組建資源充足的團隊。
- 遏制:安全團隊使用前一階段收集的信息,並可能使用有關網路攻擊技術的情報來製定遏制計劃。 遏制可能涉及隔離一個或多個系統、應用防火牆規則或 IDS 簽章、為端點保護產品添加雜湊值、停用帳戶或隔離整個網路。 目標是減少事件造成的損害,並確保網路或系統不會進一步受到損害。
- 補救/消除:在過程中的這個階段,事件回應小組已進行了完整的調查,並認為它對發生的事情已完全了解。 然後,事件應變人員會努力移除受入侵的系統中的所有感染痕跡。 這可能包括惡意軟體刪除和持久性機制的刪除,或從乾淨的備份中完全擦除和還原受影響的電腦。
- 恢復時間:根除後,事件回應團隊可能會掃描或監視受感染的系統一段時間,以確保惡意軟體已完全消除。 完成此操作後,電腦將透過解除與公司網路其他部分的隔離來恢復正常運作。
- 學習的經驗:網絡安全事件發生是因為出現問題,重要的是要記住,事件回應並不總是完美的。 事件得到補救後,事件回應者和其他利害關係人應進行回顧,以確定事件回應計畫中可以修復的安全缺口和缺陷,以減少未來事件發生的可能性並改善未來的事件回應。
事件類型和網路威脅
組織面臨各種安全事件。 一些最常見的事件類別包括:
雖然這些技術中的許多技術都有共同目標(例如竊取企業數據),但它們通過各種方式實現這些目標,並對企業系統產生不同的影響。 組織應針對這些安全威脅,以及預期遇到的任何其他安全威脅制定事件應變計劃。
事件回應流程與技術
事件回應策略的一些關鍵要素包括:
- 事件減少:確保有安全控制,以減少組織發生的事件數量,是任何事件響應團隊的目標。 一直會有事故,這就是為什麼準備和測試控制以及計劃應對將有助於減少事件的影響以及網絡事件數量的原因。
- 事件調查技巧:組織越快地確定安全事件的原因和詳細信息,就越快就可以隔離和修復。 定義調查安全事件的程序有助於支持快速修復,並確保事件不會被錯誤分類或忽略。
- 事件回應手冊:勒索軟體攻擊和 DDoS 攻擊是截然不同的威脅,需要獨特的回應。 組織應該有手冊來處理主要類型的安全事件,確保事件響應人員不會感到困惑,並嘗試找出在網絡攻擊中該怎麼做。
- 事件響應技術和工具:為了執行事件偵測和應變活動,安全分析師需要存取某些工具和技術。 在定義這些流程並確定關鍵能力之後,組織可以取得並訓練事件回應人員,瞭解支援企業事件回應活動所需的工具。
Check Point 事件回應服務
大多數組織(不論規模和行業為何)都將成為網絡攻擊的目標,並會遇到安全事件。 發生這種情況時,即時封鎖和補救活動對於最大程度地減少組織中斷和安全事件的總成本,至關重要。
但是,許多組織缺乏有效事件回應所需的資源和技能。
Check Point 事件回應全天候 (24x7x365) 為遭遇安全事件的組織提供協助。 如果您的組織遭受網絡攻擊,請通過我們的熱線聯繫。 Check Point 也提供主動式服務,協助組織管理未來安全事件的風險。 如需有關您將獲得的福利的更多信息,請下載範例報告。
反映意見