9个步骤一个成功的事件响应计划
这是人命关天的事件击中了你的公司之前有一个计划。
制定计划
详细制定事件响应(IR)计划时重要。但是,即使是最成功的IR计划可能缺少关键信息,妨碍正常的业务运作是如何迅速恢复。
这从快速指南Cybereason在需要的常常被遗忘九仔细看看,但你应该纳入您的IR计划的重要步骤。
整个公司准备
良好的安全领袖应该能够从整个公司让人们帮助开发IR计划。尽管首席信息安全官将最有可能管理该手柄的威胁,处理因违反的后果,需要整个公司的工作团队。
例如,银行处理违约的影响可能需要帮助其公关人员如果组织必须依法公开披露该事件。可能还需要银行的Web开发团队参与,如果对手通过利用在公司的网站中的漏洞,就像一个WordPress的缺陷进行了他们的进攻。此外,该公司的人力资源部门可能需要如果被披露员工的个人信息被联系。该银行的事件响应计划应包括所有这些部门的投入。
一份全面的事件反应计划,列出在发现违规时应通知哪些关键人员,以及违规信息如何在整个组织和外部传达。在准备阶段,要增加沟通时间和关键人员的联系方式。
确定测量和矩阵
提前一个成功的事件响应计划定义关键绩效指标(KPI)的安全团队将在活动期间进行测量。一些好的时间相关的测量跟踪包括检测时间,及时报告事故,及时分流,时间进行调查,并及时响应。在质量方面,一些数据来跟踪包括误报的数量,攻击的性质(恶意与非恶意软件为主)和目击事件的工具。
保持试运行
公司应使用准备阶段要考虑的各种违约情况下,可以发挥出来。这些方案应该像球队训练,桌面演练和蓝队,红队训练活动进行审查。商家甚至应该模仿违反所以员工知道自己的角色,当一个真正的违约行为发生。
这是相当企业发现自己的弱点和风险因素,搞清楚哪些活动需要进行密切监测,并决定如何花费他们的安全预算。此外,IR计划应该每年或更频繁,如果公司增长迅速修订。此外,事件响应计划应包含任何业务规则。
检查出现良性警报
威胁检测可以来自最初出现良性的,不相关的安全局势。一个IT调查一个缓慢的计算机可以揭示该机器被感染了恶意软件,例如,促使网络钓鱼攻击和调查,看是否有人可疑链接上点击的担忧。IT专业人士应该经常检查妥协的迹象,寻找到一个技术问题时,即使该事件似乎并没有被连接到安全性。
一个公司的打击对手最好的防御是训练有素的用户是谁,比如,知道接触安全接收一封电子邮件,一个奇怪的链接后。
此外,IT和安全团队不应该无视用户的怀疑。始终调查预感,因为一个人的直觉可以提供领先的是被发现在违反结果。
创建一个统一的数据存储库
不管方法公司用它来检测威胁,一个重要的步骤是整合所有事件到一个中央存储库。公司通常使用锡姆斯这个,但有时这些都不足以让整个IT环境的全面视图。
事件响应小组会经常尝试构建一个在事后会在环境中的一切的视图。在这一点上,它往往是为时已晚,构建一个全面的看法,什么事件响应小组结束了太偏是任何价值。建设和维护具有持续,在整个环境中广泛知名度不用于法规的要求只是必要的数据仓库。这是加快调查和应对的关键。
不要忽视工业控制
许多组织运行的工业系统,如炼油厂或工厂生产毒品的设施。然而,公司可能不会想到攻击会针对这些位置,而不是密切关注他们的恶意活动。
在其他情况下,不是IT或安全等部门管理工业控制系统的基础设施。在这个部门的人员可能缺乏密切监视这些系统,有可能导致安全被忽视所需要的知识。
遏制和补救
即停止整个广告活动,而不是只解决了进攻的症状彻底遏制和修复过程是必不可少的。然而,安全团队通常会提供具体的解决方案,以一个非常广泛的问题,留出了充足的机会,同样的攻击再次发生。
遏制和修复计划必须根据事件的安全小组的调查结果。很多时候,这是制定该计划只依赖于初步检测过程中收集的信息。例如,如果一个检测的SIEM到C2服务器恶意连接,典型的解决方案将是杀死进程创建通信并阻止在防火墙的IP地址。但是,如果恶意软件是持久的,它会在计算机重启时,可能使用不同的进程名重装,并用不同的服务器进行通信。
安全团队然后进入检测,遏制和消除对同一威胁的无限循环。在另一方面,如果球队正在调查恶意软件的技术和传染媒介,那就有更好的消灭计划,并可能已经制定了防治规划。
对于后续的预算和资源计划
随访是防止安全事故再次发生的关键。然而,企业往往不完全符合这一步跟进。该来的后续进程继承权花钱了,使得难吃与预算约束等组织措施提出了一些建议。成本较低的选项包括增加新的检测规则到SIEM,而一些较昂贵的后续步骤,意味着雇用额外的安全分析师或购买技术来检测攻击。
后续阶段,也当一个组织审查其KPI的性能,并确定他们是否需要进行调整。安全小组,例如,可确定检测规则过多造成误报,阻碍其能力迅速对事件作出回应。然后,它可以去改进一套检测规则有,或升级到一个不同的检测系统具有更好的性能。安全团队也可以决定添加基于该报告由用户而不是由SIEM被检测到的事件的检测规则。
后续整个组织
组织应该准备花时间和金钱去学习和违反后改善。同样至关重要的是,学习和提高的过程,不仅包括IT和安全性。类似于准备阶段,很多时候,后续只注重的是安全团队把手,通常是遏制和检测。
限制后续安全小组的职责使得管理过程变得更容易,但没有考虑到如何在公司其他部门应参与,以提高自己的能力可以在未来的安全事故更好的反应。事件响应需要整个组织的合作,而不仅仅是IT和安全部门。
版权所有©2016Raybet2











![有个足球雷竞技app网络世界[幻灯] - 十大超级计算机2018 [幻灯片01]](https://images.idgesg.net/images/article/2018/06/nw_ss_top_ten_supercomputers_2018_slide_01_1200x800-100762093-medium.3x2.jpg)