什么是事件响应计划(IR)?

迪鲁宾
401 阅读7分钟

即使是最安全的安全系统也不能免于网络攻击,更不用说那些不安全的系统了。网络攻击者总是会试图闯入你的网络,你有责任阻止他们。

面对这样的威胁,每一秒都很重要。任何延迟都会暴露你的敏感数据,这可能是巨大的破坏。你对安全事件的反应使情况发生变化。事件响应(IR)计划使你能够迅速地反击入侵者。

什么是事件响应计划?

事件响应计划是管理安全事件的一种战术方法。它包括准备、评估、遏制和恢复安全事件的程序和政策。

您的组织因安全事件而遭受的停工期可能会持续下去,这取决于事件的影响。事件响应计划可以确保你的组织尽快恢复正常。

除了将你的网络恢复到攻击前的状态,IR计划还能帮助你避免事件的再次发生。

事件响应计划是什么样子的?

当记录在案的指示被完全遵循时,事件响应计划就会更加成功。要做到这一点,您的团队必须了解该计划并具备执行该计划的必要技能。

有两个用于管理网络威胁的主要事件响应框架--NIST和SANS框架。

作为一个政府机构,国家标准与技术研究所(NIST)专门研究各种技术领域,网络安全是其核心服务之一。

NIST的事件响应计划包括四个步骤。

  1. 准备。
  2. 检测和分析。
  3. 遏制、根除和恢复。
  4. 事故后的活动。

SysAdmin, Audit, Network and Security (SANS)是一个私人组织,以其在网络安全和信息培训方面的专业知识而闻名。SANS的IR框架在网络安全中被广泛使用,它包括六个步骤。

  1. 准备。
  2. 识别。
  3. 遏制。
  4. 根除。
  5. 恢复。
  6. 汲取教训。

尽管NIST和SANS的IR框架提供的步骤数量不同,但两者都是相似的。为了进行更详细的分析,让我们把重点放在SANS的框架上。

1.准备工作

一个好的IR计划从准备开始,NIST和SANS的框架都承认这一点。在这个步骤中,你要审查你目前所拥有的安全措施及其有效性。

审查过程包括对你的网络进行风险评估,以发现任何可能存在的漏洞。你必须确定你的IT资产,并对它们进行相应的优先排序,对包含你最敏感数据的系统给予最大的重视。

建立一个强大的团队并为每个成员分配角色是准备阶段的一个功能。向每个人提供他们所需要的信息和资源,以迅速应对安全事件。

2.2.识别

在建立了正确的环境和团队后,现在是时候检测你的网络中可能存在的任何威胁了。你可以通过使用威胁情报反馈、防火墙、SIEM和IPS来监测和分析你的数据,寻找攻击的迹象。

如果检测到攻击,你和你的团队需要确定攻击的性质,它的来源,能力,以及其他需要防止破坏的部分。

3.遏制

在遏制阶段,目标是在攻击对你的系统造成任何损害之前,隔离攻击并使其失去力量。

要有效地遏制安全事件,需要了解该事件以及它对你的系统可能造成的损害程度。

在开始遏制过程之前备份你的文件,这样你就不会在遏制过程中丢失敏感数据。重要的是,你要为进一步调查和法律事务保留取证证据。

4.根除

根除阶段涉及从你的系统中清除威胁。你的目标是将你的系统恢复到事件发生前的状态。如果这是不可能的,你要努力达到接近其以前的状态。

恢复你的系统可能需要采取一些行动,包括擦拭硬盘,升级软件版本,防止根源,以及扫描系统以删除可能存在的恶意内容。

5.5.恢复

你要确保根除阶段是成功的,所以你需要进行更多的分析,以确认你的系统完全没有任何威胁。

一旦你确定海岸线是清楚的,你需要试运行你的系统,为它上线做准备。密切关注你的网络,即使它已经上线,以确保没有任何不妥。

6.经验教训

要防止安全漏洞再次发生,就必须注意到出错的地方并加以纠正。IR计划的每个阶段都应该被记录下来,因为它包含了可以从中吸取教训的重要信息。

在收集了所有的信息之后,你和你的团队应该问自己一些关键问题,包括。

  • 究竟发生了什么?
  • 它是什么时候发生的?
  • 我们是如何处理这一事件的?
  • 我们在应对中采取了哪些措施?
  • 我们从这次事件中学到了什么?

事件响应计划的最佳实践

采用NIST或SANS的事件响应计划是应对网络威胁的一种可靠方式。但是,为了获得良好的效果,你需要坚持某些做法。

识别关键资产

网络攻击者的目标是杀戮;他们针对你最有价值的资产。你需要识别你的关键资产,并在你的计划中对它们进行优先排序。

在面对事件时,你的第一道关口应该是你最有价值的资产,以防止攻击者访问或破坏你的数据

建立有效的沟通渠道

你的计划中的通信流可以决定你的反应策略的好坏。确保每个参与的人在每个点上都有足够的信息来采取适当的行动。

等到事件发生后再精简你的通信是有风险的。事先将其落实到位会给你的团队带来信心。

保持简单

一个安全事件是令人疲惫的。你的团队成员很可能会很疯狂,试图挽救这一天。不要在你的IR计划中用复杂的细节使他们的工作更加困难。

尽可能地保持简单。

虽然你希望你的计划中的信息易于理解和执行,但不要用过于笼统的方式来冲淡它。创建具体的程序,说明团队成员应该做什么。

创建事件响应游戏手册

一个量身定做的计划比一个通用的计划更有效。为了获得更好的结果,你需要创建一个IR游戏手册来处理不同类型的安全事件。

该游戏手册为你的响应团队提供了一个逐步的指南,告诉他们如何彻底地管理一个特定的网络威胁,而不是仅仅触及表面。

测试计划

最有效的缩进响应计划是一个经过持续测试和认证的有效计划。

不要创建一个计划并忘记它。定期进行安全演习,以确定网络攻击者可能利用的漏洞。

采取积极主动的安全方法

网络攻击者对个人和组织毫无察觉。没有人在早上醒来时,会想到他们的网络会被黑客攻击。虽然你可能不希望安全事件发生在自己身上,但它有可能会发生。

你至少可以通过创建一个事件响应计划来主动出击,以防网络攻击者选择针对你的网络。

avatar
文章
阅读
粉丝