美国FERC和NERC联合发布了电力公司Research网络事件响应研究报告。报告原文可查看:https://cms.ferc.gov/sites/default/files/2020-09/FERC%26NERC_CYPRES_Report.pdf据悉,该报告主要根据专家分享的信息整理而成来自八家美国电力公司,可以改进事件响应和事件恢复计划,以确保在发生网络安全事件时电力系统的可靠性。一般来说,制定明确的事件响应计划是一项复杂的任务,因组织的使命、规模、结构和职能而异,但通常还包括以下共同要素:定义范围(针对谁、涵盖什么、以及在什么情况下)定义计算机安全事件和攻击事件、人员角色和职责、响应权限(例如断开设备的权限)、报告要求、外部通信和信息共享的要求和指南,以及绩效评估程序。要制定IRR(事件响应和恢复)规划的最佳实践,可以分几个阶段逐步进行。在准备阶段,必须明确定义人员的角色,促进问责制,并酌情授权人员采取行动以避免不必要的延误。同时,积极运用技术和自动化工具,培养训练有素的人才队伍,不断提高人员技能。例如,要从过去的网络安全事件/演练测试中吸取教训,弥补不足。在检测和分析阶段,建议使用安全基线来检测潜在的网络事件,并使用决策树或流程图来快速评估是否达到了特定的风险阈值,以及某些情况是否符合安全事件的条件。在遏制和消除阶段,组织应深入了解潜在威胁、潜在影响和为减轻威胁而部署的对策,并分析前一阶段决策的影响,例如需要断开连接所有外部连接都包含威胁,然后需要彻底了解此类决策的潜在影响。同时,需要考虑持续时间不确定的事件响应对企业资源的影响。在事后分析活动中,吸取以往事件的教训并进行模拟活动,以确定内部IRR程序中的明显缺陷。最后,IRR规划是应对网络威胁的重要战略,可以削弱网络攻击者的自然优势。当响应团队准备好检测、遏制并在适当情况下消除网络威胁时,攻击对企业的影响将降至最低。
