当面对现实生活中的网络安全威胁时,很少有组织知道首先要采取哪些步骤来处理事件并将其对业务的影响降至最低。制定经过深思熟虑的网络安全事件响应计划(IRP)是让自己为应对这种情况做好充分准备的唯一方法。
在本文中,将详细探讨如何使用NIST事件响应框架构建完全符合业务需求的IRP。
事件响应计划是包含用于处理和减轻安全事件、网络攻击和数据泄露后果的结构化方法的文档。
强烈建议任何规模的企业使用IRP。在规划事件响应时,采用多层方法来保护组织的网络和资产非常重要。
此外,始终需要在安全性与企业网络和部署系统的生产力之间取得平衡。
下面,我们探讨十个技巧来建立或检查事件响应计划。进一步阅读详细的NIST指南、关键步骤和寻找技术解决方案的提示。
现在,让我们看看如何为组织构建合适的 IRP。在确定如何应对潜在的安全事件时,首先选择要遵循的指南。
虽然有很多指导方针和现成的网络事件响应计划模板,但并非所有这些模板都适用于所有类型的组织。
从头开始创建事件响应程序与构建内部威胁程序一样具有挑战性。对于每个组织,最有效的事件响应方案的选择将取决于特定的IT环境、组织面临的威胁以及组织的业务需求。
但是,美国国家标准与技术研究院(NIST)提供了一系列指南,每个组织都可以将其用作构建其事件响应计划的基准。
特别是,可以遵循计算机安全事件处理指南800-61修订版2的建议来有效管理潜在的网络安全事件。
根据NIST事件管理指南,事件响应计划应包括以下主要阶段:
每个阶段都包括组织应考虑添加到其IRP的多个步骤。让我们仔细看看这些阶段。
组织应在网络安全事件实际发生之前做好应对准备,并提前计划所有必要的响应程序。准备阶段还包括首先计划如何防止数据泄露或攻击发生。
组织必须能够检测网络事件,并拥有适当的工具和技术来收集、记录和分析与事件相关的数据。为了更轻松地完成这项任务,NIST指定了八个攻击向量(见下文)并列出了网络安全事件的最常见迹象。
必要时,组织还应该能够根据事件的影响和可恢复性确定事件的优先级,然后将违规情况通知有关当局。
组织必须能够有效地处理攻击、消除威胁并开始恢复受影响的系统和数据。
在这些阶段,收集有关事件的证据以供日后用于解决事件和法律诉讼也很重要。
在有效处理安全事件后,组织应使用从事件中获得的信息来改进其当前的IRP。
NIST网络安全框架的最佳之处在于它既灵活又适应性强,因此大企业和小企业都可以有效地实施它。让我们看看如何为组织构建符合NIST的IRP。
NIST为构建有效的IRP提供了非常详细的事件响应指南。这里的主要问题是信息太多,可能会发现自己在推荐中迷失方向。
以下是NIST事件响应清单,其中包含五个必须采取的步骤,以确保事件响应计划同时满足NIST要求和组织的需求。
或者至少选择负责的人员。
无论组织规模或工作领域如何,在规划IRP时首先要做的就是创建一个网络安全事件响应团队(CIRT)。
CIRT负责在安全事件期间协调关键资源和团队成员,以便将攻击的影响降至最低,并尽快恢复所有操作。
CIRT的主要职能是:
CIRT的成员数量取决于公司的规模、潜在的数据丢失和地理范围。但是,请务必指定一名负责响应和处理事件的团队负责人。
特别注意CIRT培训:每个CIRT成员都应该了解组织的关键网络安全政策和程序,以及他们在发生攻击时的具体责任。
提前计划至关重要。
如果发生网络安全事件,CIRT需要确切知道如何以最小的损失处理它。但是,不仅需要制定而且还需要在实际事件发生之前对计算机安全事件响应计划进行实战测试。
CIRT在规划阶段需要完成四项主要任务:
首先,需要确定哪些事件被视为网络安全事件。然后,为每种类型的潜在事件制定事件响应计划。
在其计算机安全事件处理指南中,NIST指定了攻击向量列表,并建议为使用相同攻击向量的事件开发通用事件响应方案。
常见的攻击媒介包括:
接下来,根据其影响确定可能的威胁和攻击的优先级。毕竟,当更大的漏洞仍未解决时,浪费时间来管理轻微的攻击是没有意义的。
NIST事件响应计划提供了三个基于影响的标准来确定事件的优先级:
NIST事件严重程度取决于几个因素:
(1) 功能影响决定了特定事件对业务运营的影响。
功能影响分为四个级别:
(2) 信息影响取决于事件期间泄露的信息的重要性和敏感性。
信息影响也有四类:
(3) 可恢复性影响是衡量组织从事件中完全恢复所需的资源。
可恢复性影响也有四个级别:
这种三层方法足够灵活,可以被任何组织采用。
完成所有分类工作后,就该开始规划响应不同类别网络安全事件的标准程序了。考虑为最常见的事件类型(例如系统故障、拒绝服务、入侵和间谍软件感染)制定遏制策略和标准操作程序(SOP)。
在SOP中,指定CIRT在发生特定事件时使用的技术流程、技术、检查表和表格。
有关建立适当响应程序的进一步指导,可以参考NIST特别出版物800-86,将取证技术集成到事件响应中的指南。
如果你能看到它,你就可以管理它。
防止潜在攻击的最佳方法之一是监视网络上发生的一切。考虑部署用户活动监控解决方案来解决内部威胁和与分包商相关的安全风险问题。
通过关注个人用户的活动和网络上的活动,可以:
更进一步,可以实施具有行为用户监控功能的解决方案。使用 AI 驱动的技术,此类解决方案可以检测到受监控基础设施内的异常和与基线用户行为的偏差。不要忘记通过制定内部威胁事件响应计划来减轻自己组织的风险。
在选择正确的用户活动监控解决方案时,请寻找一个同时配备灵活事件响应系统的解决方案。能够设置自定义实时警报并自动化至少一些 SOP 将确保及时响应网络安全事件。
没有人愿意丢失有价值的数据。
恢复策略是任何 IT 事件响应计划的关键部分。
就像处理事件一样,最好在实际发生任何违规行为之前考虑从事件中恢复,并针对不同场景编写数据恢复过程的详细示例。
可以从确定哪些数据对组织业务最有价值开始,并额外注意其保护。这在发生现实生活中的网络安全事件时应该关注什么:将立即需要恢复哪些数据以及哪些资产可以在第二天甚至下周恢复而不会对业务造成任何损害。
关于组织从网络安全攻击或数据泄露中的恢复, CIRT 需要牢记两项主要任务:
(1) 数据恢复。如果没有备份系统,将很难快速应对网络安全事件。如果组织面临网络安全事件,部署数据丢失防护工具并创建备份将帮助组织安全地恢复所有关键业务信息。
为了更好地保护关键数据,请选择结合了本地和基于云的服务的混合备份解决方案。此外,考虑通过为 NIST 合规性部署身份和访问管理 解决方案来限制对敏感数据的访问。
如果确实发生了安全事件,请确保备份受影响的系统,以便可以保留其当前状态以进行取证。
(2) 服务恢复。以下两个步骤对于在事件发生后将组织的系统恢复到正常运行至关重要:
可能还需要为被入侵账户的用户重置密码,并阻止可能启用入侵的账户和后门。
总是有改进的余地。
根据 NIST 的说法,组织应至少每年审查一次事件响应计划。但是,鉴于新的网络安全威胁不断出现,更明智的做法是更频繁地检查和更新此计划,尤其是对于大型公司而言。
每当业务面临重大变化时,无论是进入新领域还是更改内部基础架构,这些变化都应反映在IRP 中。
例如,如果组织是新的网络安全威胁的潜在目标,则为此类攻击准备足够的事件响应方案非常重要。计划、测试和记录与新威胁相关的所有程序和恢复工具。
检查组织中处理现实事件的方式也很重要。这样的分析可以告诉我们当前的策略是否良好,以及可以采取哪些措施来防止此类事件再次发生。
制定事件响应计划对于任何规模的组织和企业都至关重要。
虽然有现成的事件响应计划模板,但根据内部调查构建自定义事件响应计划以反映组织特定要求并构建自己的内部威胁响应计划会更有益。
为了使这个过程更容易一些,组织可以参考常见的安全标准和流行的准则,例如 NIST 提供的那些。根据 NIST 标准制定事件响应计划时,组织应涵盖NIST 事件响应过程的四个主要阶段:
在这些阶段的每一个中,都应指定一组工具和程序来处理特定的攻击向量或特定的安全问题。
文章名称:从NIST看2022年事件响应计划指南
URL分享:http://www.shufengxianlan.com/qtweb/news11/376861.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联