面对现实生活中的网络安全威胁时,很少有组织知道应采取的首要步骤来处理事件并将其对业务的影响降至最低。制定周全的网络安全事件响应计划(IRP)是为这种情况做好充分准备的唯一方法。在本文中,我们将详细探讨如何使用NIST事件响应框架来构建完全满足业务需求的IRP。什么是事件响应计划、它的价值以及应该如何制定?什么是IRP?事件响应计划是一份包含结构化方法的文档,用于处理和减轻安全事件、网络攻击和数据泄露的后果。为什么制定事件响应计划很重要?强烈建议任何规模的企业使用IRP。在规划事件响应时,采用多层方法来保护组织的网络和资产非常重要。此外,始终需要在企业网络和已部署系统的安全性和生产力之间取得平衡。构建示例事件响应计划的清单下面,我们探讨了构建或审查事件响应计划的十个技巧。进一步阅读以了解详细的NIST指南、关键步骤和寻找技术解决方案的技巧。指定重大事件响应要求(NIST、HIPAA、PCIDSS等)。进行安全审计以识别公司网络和部署系统中的弱点,这些弱点可以立即解决。定义什么是安全事件。员工需要知道哪些事件被视为安全事件,如何定义其严重性等。指定谁将在事件期间负责,并决定需要通知哪些方并让哪些方参与处理该事件。包括一个全面的沟通计划。IRP必须指定在发生事件时首先呼叫谁、何时呼叫他们以及在他们不可用时联系谁。列出您的组织最有可能面临或过去面临的安全事件的简短列表。处理事件的程序。然后一点一点地扩大所涵盖的安全事件的范围。向IRP添加各种选项:可能的数据泄露级别、事件严重级别、受影响的端点类型等。规划恢复方案。集成备份解决方案并指定在发生安全事件时要遵循的系统恢复和数据恢复程序。向有关当局报告。包括在特定事件发生时应通知的当局列表。例如,欧盟GDPR和加利福尼亚州的SB1386要求在发生数据泄露时公开通知。根据以前的事件改进IRP。在处理新事件后,对其进行深入分析,以使用更有效的响应策略、程序和场景来更新当前的IRP。现在,让我们看看如何为您的组织构建正确的IRP。在确定如何应对潜在安全事件时,首先要选择要遵循的指南。NIST作为制定事件响应计划的指南虽然有许多指南和现成的网络事件响应计划模板,但并非所有这些都适用于所有类型的组织。从头开始创建事件响应程序与构建内部威胁程序一样具有挑战性。对于每个组织而言,最有效的事件响应计划的选择将取决于特定的IT环境、组织面临的威胁以及组织的业务需求。但是,美国国家标准与技术研究院(NIST)提供了一系列指南,每个组织都可以将其用作制定事件响应计划的基准。特别是,可以遵循计算机安全事件处理指南800-61修订版2的建议,以有效管理潜在的网络安全事件。根据NIST事件管理指南,事件响应计划应包括以下主要阶段:每个阶段都包括组织应考虑添加到其IRP中的多个步骤。让我们仔细看看这些阶段。有准备组织应在网络安全事件实际发生之前做好准备,并提前计划所有必要的响应程序。准备阶段还包括规划如何首先防止数据泄露或攻击的发生。检测分析组织必须能够检测网络事件,并拥有适当的工具和技术来收集、记录和分析与事件相关的数据。为了简化此任务,NIST指定了八种攻击向量(见下文)并列出了网络安全事件的最常见迹象。必要时,组织还应该能够根据事件的影响和可恢复性对事件进行优先级排序,然后将违规事件通知有关当局。遏制、根除和恢复组织必须能够有效地应对攻击、消除威胁并开始恢复受影响的系统和数据。在这些阶段,收集有关事件的证据以供以后在事件解决和法律程序中使用也很重要。事件后活动在有效处理安全事件后,组织应使用从事件中获得的信息来改进其当前的IRP。NIST网络安全框架的最大优点在于它具有灵活性和适应性,因此大型和小型企业都可以有效地实施它。让我们看看如何为组织构建符合NIST标准的IRP。实施符合NIST的事件响应计划的提示NIST为构建有效的IRP提供了非常详细的事件响应指南。这里的主要问题是信息太多,您可能会发现自己迷失在建议中。以下是NIST事件响应清单,其中包含必须采取的五个步骤,以确保事件响应计划满足NIST要求和组织的需求。1.建立网络安全事件响应团队或至少选择责任人。无论组织规模或工作领域如何,规划IRP时首先要做的是创建网络安全事件响应团队(CIRT)。CIRT负责在安全事件期间协调关键资源和团队成员,以尽量减少攻击的影响并尽快恢复所有操作。CIRT的主要职能是:定义事件响应政策和程序以及时处理网络安全事件调查和分析以前的事件建立事件报告能力并建立必要的沟通培训员工并提高对网络安全威胁及其缓解措施的认识改善当前事件响应计划CIRT的成员数量取决于公司规模、潜在数据丢失和地理范围。但是,一定要指定一名负责响应和处理事件的团队负责人。特别注意CIRT培训:每个CIRT成员都应该了解组织的关键网络安全政策和程序,以及他们在发生攻击时的具体责任。2.提前计划所有程序提前计划至关重要。如果发生网络安全事件,CIRT需要确切地知道如何以最小的损害来处理它。然而,计算机安全事件响应计划不仅需要制定,还需要在实际事件发生之前进行实战测试。CIRT在规划阶段需要完成四项主要任务:首先,他们需要确定哪些事件被视为网络安全事件。然后,为每种类型的潜在事件制定事件响应计划。在其计算机安全事件处理指南中,NIST指定了一个攻击向量列表,并建议为使用相同攻击向量的事件制定一个通用的事件响应计划。常见的攻击向量包括:外部或可移动媒体(例如受感染的USB设备)丢失或被盗的设备(丢失公司笔记本电脑或授权令牌)Web(从Web应用程序执行的攻击)电子邮件攻击(带有恶意网站链接的电子邮件)假冒(欺骗和中间人攻击)滥用(访问滥用)消耗(暴力攻击)其他(所有其他攻击)接下来,根据可能的威胁和攻击的影响对它们进行优先级排序。毕竟,当较大的漏洞仍未解决时,没有必要浪费时间管理较小的攻击。NIST事件响应计划提供了三个基于影响的标准来确定事件的优先级:NIST事件的严重性由几个因素决定:(1)功能影响决定了特定事件对业务运营的影响。功能影响分为四个级别:无-对组织的系统没有功能影响低-组织的系统基本不受影响中-组织无法提供某些服务高-组织无法为所有用户提供至少一个密钥服务(2)信息影响取决于事件期间披露的信息的重要性和敏感性。信息影响也分为四类:无-无数据泄露隐私泄露-敏感的个人身份信息泄露专有泄露-商业秘密可能泄露完整性损失-数据可能被更改(3)衡量可恢复性影响组织需要的资源从事件中完全恢复。可恢复性影响也有四个级别:周期性——不需要额外的资源补充——需要额外的资源,但组织可以预测整体恢复时间延长——恢复时间无法预测不可恢复——组织无法从事件中恢复三层方法足够灵活,可以被任何组织采用。完成所有分类工作后,就该开始规划标准程序来响应不同类别的网络安全事件了。考虑为最常见的事件类型(例如系统故障、拒绝服务、入侵和间谍软件感染)制定遏制策略和标准操作程序(SOP)。在SOP中,指定CIRT在特定事件发生时使用的技术流程、技巧、检查表和表格。有关建立适当响应程序的更多指南,请参阅NIST特别出版物800-86,将取证技术集成到事件响应中的指南。3.监控用户和网络活动如果你能看到它,你就可以管理它。防止潜在攻击的最佳方法之一是监控网络上发生的一切。考虑部署用户活动监控解决方案,以解决与分包商相关的内部威胁和安全风险。通过密切关注个人用户活动和网络活动,您可以:尽早检测并终止攻击收集证据和有价值的数据以供进一步分析更进一步,可以实施具有行为用户监控的解决方案。使用AI驱动的技术,此类解决方案可以检测受监控基础设施内的异常情况和偏离基线用户行为的情况。不要忘记通过制定内部威胁事件响应计划来减轻您自己组织的风险。在选择合适的用户活动监控解决方案时,寻找一个还带有灵活事件响应系统的解决方案。能够设置自定义实时警报并自动执行至少一些SOP将确保及时响应网络安全事件。4.注意你的备份和恢复策略没有人愿意丢失有价值的数据。恢复策略是任何IT事件响应计划的关键部分。与事件一样,最好在任何违规行为实际发生之前考虑从事件中恢复,并为不同场景编写详细的数据恢复过程示例。您可以首先确定哪些数据对您的业务最有价值,并格外注意对其的保护。以下是在现实生活中发生网络安全事件时需要关注的重点:哪些数据需要立即恢复,哪些资产可以在第二天甚至下周恢复而不会对业务造成任何损害。关于组织从网络安全攻击或数据泄露中恢复,CIRT需要牢记两项主要任务:(1)数据恢复。如果没有备份系统,网络安全事件将难以快速响应。如果组织面临网络安全事件,部署数据丢失防护工具和创建备份将帮助组织安全地恢复所有关键业务信息。为了更好地保护关键数据,请选择结合本地服务和基于云的服务的混合备份解决方案。此外,考虑通过部署符合NIST的身份和访问管理解决方案来限制对敏感数据的访问。如果确实发生了安全事件,请确保备份受影响的系统,以便可以将其保留在当前状态以供取证之用。(2)恢复服务。以下两个步骤对于在事件发生后将组织的系统恢复到正常运行至关重要:检查网络以确认所有系统都在运行。重新证明在事件期间可能受到影响的任何系统或组件都可以运行。可能还需要为受感染帐户的用户重置密码,并阻止可能导致危害的帐户和后门。5.更新事件响应计划时要注意什么总是有改进的余地。根据NIST,组织应至少每年审查一次事件响应计划。然而,鉴于新的网络安全威胁不断出现,明智的做法是更频繁地审查和更新该计划,尤其是对于较大的公司。每当业务面临重大变化时,无论是进入新领域还是改变内部基础设施,这些变化都应反映在IRP中。与业务相关的新攻击媒介和安全威胁本地和行业网络安全要求的更新和变化从以前的攻击和违规中吸取的教训可以改进事件处理程序和解决方案,例如,如果一个组织是网络安全威胁潜在目标的新手,为此类攻击制定充分的事件响应计划非常重要。计划、测试和记录与新威胁相关的所有程序和恢复工具。检查组织中处理现实生活事件的方式也很重要。这样的分析可以告诉我们目前的策略是否好,可以做些什么来防止此类事件再次发生。结论制定事件响应计划对任何规模的组织和企业都至关重要。虽然有开箱即用的事件响应计划模板,但根据内部调查构建自定义事件响应计划以反映组织特定要求并构建您自己的内部威胁响应计划更为有益。为了简化此过程,组织可以参考通用安全标准和流行指南,例如NIST提供的指南。根据NIST标准制定事件响应计划时,组织应涵盖NIST事件响应过程的四个主要阶段:准备检测分析遏制、根除和恢复事件后活动在每个阶段中,一组工具和应指定程序以解决特定的攻击向量或特定的安全问题。
