安全战备,如何制订事件响应计划
乌克兰战争伴生的网络战正如火如荼,而网络战的“武器泄露”和“误伤”,是全球企业当下面临的新威胁。与此同时,勒索软件和网络钓鱼等全球网络犯罪活动也进入高峰期,企业制订有效的,能够应对“最坏打算”的事件响应计划(IR)迫在眉睫。
近日,网络安全公司Cynet分享了一个事件响应计划模板,以帮助企业在特殊时期制订有效的事件响应计划。
事件响应计划主要记录响应团队的明确角色和职责,并定义团队在响应网络事件时将遵循的高级流程。Cynet创建的事件响应计划模板建议遵循SANS研究所在其《事件处理手册》(链接在文末)中定义的结构化6步事件响应流程:
- 准备——审查和编纂组织安全策略,执行风险评估,识别敏感资产,定义团队应该关注的关键安全事件,并建立计算机安全事件响应团队(CSIRT)。
- 识别——监控IT系统并检测与正常操作的偏差,并查看它们是否代表实际的安全事件。发现事件后,收集更多证据,确定其类型和严重性,并记录所有内容。
- 遏制——执行短期遏制,例如,通过隔离受到攻击的网段。然后专注于长期遏制,其中涉及临时修复以允许系统在生产中使用,同时重建清洁系统。
- 根除——从所有受影响的系统中删除恶意软件,确定攻击的根本原因,并采取措施防止未来发生类似的攻击。
- 恢复——小心地将受影响的生产系统重新上线,以防止额外的攻击。测试、验证和监控受影响的系统,以确保它们恢复正常活动。
- 经验教训——在事件结束后的两周内,对事件进行回顾。准备事件的完整文档,进一步调查事件,了解为遏制事件所做的工作以及事件响应过程中的任何事情是否可以改进。
事件响应计划模板可帮助组织将上述内容编入可在整个组织中共享的可行计划。Cynet的事件响应计划模板为每个事件响应步骤提供了一个清单,当然,可以而且应该根据每个公司的特定情况对其进行定制。
此外,该事件响应计划模板深入研究了事件响应团队结构以及角色和职责,以协调各个人员角色在事件响应中有条不紊地开展活动。
SANS事件响应手册:
https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901