事件回應緩解步驟
國家標準與技術研究所 (NIST) 定義了管理安全事件的四個步驟:
#1.準備事件回應
準備至關重要,以確保組織在發生事件時準備好應對事件。 準備階段的一些關鍵要素包括:
- 事件應變計劃:公司面臨各種網絡威脅(例如內部威脅),並且應該有處理程序來解決這些威脅。 例如,有效的事件回應計畫應包括管理勒索軟體、分散式阻斷服務 (DDoS)、資料外洩和其他網路攻擊的策略。
- 發展事故應變小組 (IRT):IRT 負責管理已識別的事件,並且需要能夠迅速採取行動。 事先定義團隊可確保成員可以快速採取行動,並在事件發生前提供培訓應變人員的機會。
- 定義角色和職責:事件響應框架需要快速決策和行動。 角色和責任應事先定義,以便每個人知道自己的角色以及要聯繫誰進行關鍵決策。
- 建立通訊渠道:IRT 應隨時連絡,以確保對事件迅速響應。 此外,該組織應建立渠道,以聯繫主要的內部和外部利益相關者,例如高級管理層、法律、執法和監管機構。
- 執行 風險評估:在事件發生之前預防事件總是比事件後管理更好。 定期風險評估可以突出組織可以在被攻擊者利用之前關閉的安全缺口。
#2. 初步識別和評估
IRT 可以開始處理事件之前,它需要知道存在問題。 事件識別和評估的一些關鍵步驟包括:
- 認識 妥協的指標(IoC): IoC 是網路事件發生的跡象,例如可疑的網路流量或電腦上存在惡意軟體。 持續監控可以識別這些 IOC,這些物聯網指出潛在的安全事件。
- 偵測和分析安全事件:事件監控啟用 IoC 識別和事件偵測。 分析師使用安全資訊和事件管理(安全性資訊與事件管理)和類似的解決方案,可以識別指向安全事件的異常或趨勢。
- 確定事件類型:公司可能會遇到各種安全事件。 確定事件的類型和範圍對於事件優先順序和正確回應至關重要。
- 根據影響和風險排定事件的優先順序:組織可能會遇到多次同時的網絡攻擊。 優先順序對於確保公司不會忽略或延遲因應小事件而導致重大事件的管理至關重要。
#3.控制、緩解和恢復
確定事件後,控制網絡安全威脅並減輕它,以限制造成的損害至關重要。
此階段的一些主要活動包括:
- 短期限制策略:在短期內,IRT 需要採取行動,以迅速阻止入侵的傳播。 這可能涉及更具破壞性的控制策略,例如停用重要的系統或服務,這些策略無法長期維持。
- 長期限制策略:在長遠來看,組織可能需要更有針對性的限制策略。 此策略應根據事件類型和受影響的系統組成,IRT 應提前制定短期和長期限制定限制計劃。
- 調查和修復受損的系統:在受影響的系統被隔離後,IRT 可以開始調查和修復受損的系統。 這包括收集資料和證據,以實現有針對性的補救並支持任何法律行動。
- 恢復受影響的系統和服務:事件修復後,受影響的系統可以恢復正常狀態。 在整個過程中,IRT 應監控和測試系統,以確保完全消除入侵並完全恢復。
#4.活動後活動
事件回應完成後,IRT 就可以執行整理活動,包括:
- 記錄事件:完整記錄事件是避免未來事件中出現類似問題並保持監管合規性的關鍵。 事件應變人員應在 IR 過程中記錄筆記,並在完成後生成正式文檔。
- 進行回顧:IR T 通常在安全事件後進行回顧。 這使他們能夠識別事件回應程序的任何問題,以後可以更正。
- 解決根本原因:在調查過程中,IRT 應確定導致事件發生的最初脆弱性。 組織可以套用修補程式和更新,或採取其他措施來加強安全控制來解決此問題。
反映意見