事件响应基本流程
虽然安全专业人员努力保护系统免受恶意攻击或人为疏忽,但尽管做出了这些努力,但不可避免地会出现问题。出于这个原因,安全专业人员也扮演着第一响应者的角色。要了解事件响应,首先要了解用于描述各种网络攻击的术语。
违规
失控、妥协、未经授权的披露、未经授权的获取或任何类似情况:授权用户以外的人访问或可能访问个人身份信息;或授权用户出于授权目的以外的目的访问个人身份信息。来源:NIST SP 800-53 Rev. 5
事件
网络或系统中任何可观察到的事件。 (来源:NIST SP 800-61 Rev 2)
实际或潜在危害信息系统或系统处理、存储或传输的信息的机密性、完整性或可用性的事件。
利用
特殊的攻击。之所以这样命名,是因为这些攻击利用了系统漏洞。
入侵
构成故意安全事件的安全事件或事件组合,其中入侵者未经授权获得或试图获得对系统或系统资源的访问。来源:(IETF RFC 4949 第 2 版)
威胁
任何可能通过未经授权的访问、破坏、披露、修改信息和/或拒绝服务。来源:NIST SP 800-30 Rev 1
漏洞
信息系统、系统安全程序、内部控制或实施中可能被威胁源利用的弱点。 NIST SP 800-30 修订版 1
零日
以前未知的系统漏洞,具有被利用的潜力,没有被检测或预防的风险,因为它通常不符合公认的模式、签名或方法。
网络安全中的事件响应是什么样的?没有 110 电话报告了事件。没有救护车或消防车前来救援。由网络安全专业人员来检测和响应事件。
事件响应的目标
每个组织都必须为事件做好准备。尽管组织的管理和安全团队尽最大努力避免或预防问题,但不可避免地会发生可能影响业务使命或目标的不利事件。
任何事件响应的首要任务是保护生命、健康和安全。当要做出任何与优先事项相关的决定时,始终选择安全第一。
事件管理的主要目标是做好准备。准备工作需要制定政策和应对计划,引导组织度过危机。一些组织使用术语“危机管理”来描述此过程,因此您可能也会听到这个术语。
事件是任何可测量的事件,大多数事件是无害的。但是,如果事件有可能破坏企业的使命,则称为事件。每个组织都必须有一个事件响应计划,这将有助于保持业务的活力和生存。
事件响应过程旨在减少事件的影响,以便组织可以尽快恢复中断的操作。请注意,事件响应计划是更大的业务连续性管理 (車身控制模塊) 学科的一个子集,我们将在稍后介绍。
事件响应计划的组成部分
事件响应政策应参考所有员工都将遵循的事件响应计划,具体取决于他们在流程中的角色。该计划可能包含与事件响应相关的若干程序和标准。它是组织事件响应策略的生动体现。
组织的愿景、战略和使命应塑造事件响应过程。实施计划的程序应定义团队在响应事件时将使用的技术流程、技术、清单和其他工具
准备
制定经管理层批准的政策。
识别关键数据和系统、单点故障。
对员工进行事件响应培训。
实施事件响应团队。
练习事件识别。 (第一反应)
确定角色和责任。
计划利益相关者之间的沟通协调。
考虑一种主要的交流方法可能不可用的可能性。
检测分析
监控所有可能的攻击媒介。
使用已知数据和威胁情报分析事件。
优先考虑事件响应。
标准化事件文档。
遏制、根除和恢复
收集证据。
选择适当的遏制策略。
识别攻击者。
隔离攻击。
事后活动
确定可能需要保留的证据。
记录经验教训。
回顾
准备
检测分析
遏制、根除和恢复
事后活动