已完本玄幻小说排行榜,古风名字

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

從NIST看2022年事件響應(yīng)計(jì)劃指南

當(dāng)面對(duì)現(xiàn)實(shí)生活中的網(wǎng)絡(luò)安全威脅時(shí)，很少有組織知道首先要采取哪些步驟來(lái)處理事件并將其對(duì)業(yè)務(wù)的影響降至最低。制定經(jīng)過(guò)深思熟慮的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃(IRP)是讓自己為應(yīng)對(duì)這種情況做好充分準(zhǔn)備的唯一方法。

在本文中，將詳細(xì)探討如何使用NIST事件響應(yīng)框架構(gòu)建完全符合業(yè)務(wù)需求的IRP。

事件響應(yīng)計(jì)劃什么、價(jià)值以及如何構(gòu)建？

什么是IRP？?

事件響應(yīng)計(jì)劃是包含用于處理和減輕安全事件、網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露后果的結(jié)構(gòu)化方法的文檔。

為什么制定事件響應(yīng)計(jì)劃很重要？?

強(qiáng)烈建議任何規(guī)模的企業(yè)使用IRP。在規(guī)劃事件響應(yīng)時(shí)，采用多層方法來(lái)保護(hù)組織的網(wǎng)絡(luò)和資產(chǎn)非常重要。

此外，始終需要在安全性與企業(yè)網(wǎng)絡(luò)和部署系統(tǒng)的生產(chǎn)力之間取得平衡。

用于構(gòu)建示例事件響應(yīng)計(jì)劃的清單

下面，我們探討十個(gè)技巧來(lái)建立或檢查事件響應(yīng)計(jì)劃。進(jìn)一步閱讀詳細(xì)的NIST指南、關(guān)鍵步驟和尋找技術(shù)解決方案的提示。

指定需要遵循的主要事件響應(yīng)要求（NIST、HIPAA、PCI DSS等）以及與業(yè)務(wù)相關(guān)的要求（響應(yīng)時(shí)間、恢復(fù)策略等）。
進(jìn)行安全審計(jì)，以確定公司網(wǎng)絡(luò)和部署系統(tǒng)中的弱點(diǎn)，可以立即解決這些弱點(diǎn)。
定義什么是安全事件。員工需要知道哪些事件被視為安全事件，如何定義其嚴(yán)重性等。
指定將在事件期間負(fù)責(zé)的負(fù)責(zé)人，并決定需要通知哪些各方并參與處理事件。
包括一個(gè)全面的溝通計(jì)劃。IRP必須指定在發(fā)生事件時(shí)首先給誰(shuí)打電話、什么時(shí)候給他們打電話，以及在他們不可用時(shí)聯(lián)系誰(shuí)。
列出組織最有可能面臨或過(guò)去曾面臨的安全事件的簡(jiǎn)短列表。計(jì)劃處理事件的程序。然后一點(diǎn)一點(diǎn)地?cái)U(kuò)大涵蓋的安全事件的范圍。
向IRP添加各種選項(xiàng)：可能的數(shù)據(jù)泄露級(jí)別、事件嚴(yán)重性級(jí)別、受影響端點(diǎn)的類(lèi)型等。
計(jì)劃恢復(fù)方案。整合備份解決方案并指定在發(fā)生安全事件時(shí)應(yīng)遵循的系統(tǒng)恢復(fù)和數(shù)據(jù)恢復(fù)程序。
向有關(guān)當(dāng)局報(bào)告。包括在發(fā)生特定事件時(shí)應(yīng)通知的當(dāng)局列表。例如，歐盟GDPR和美國(guó)加利福尼亞州的 SB1386要求在數(shù)據(jù)泄露的情況下發(fā)布公共通知。
根據(jù)以前的事件改進(jìn)IRP。處理新事件后，深入分析它以使用更有效的響應(yīng)策略、程序和方案更新當(dāng)前的 IRP。

現(xiàn)在，讓我們看看如何為組織構(gòu)建合適的 IRP。在確定如何應(yīng)對(duì)潛在的安全事件時(shí)，首先選擇要遵循的指南。

NIST作為構(gòu)建事件響應(yīng)計(jì)劃的指南

雖然有很多指導(dǎo)方針和現(xiàn)成的網(wǎng)絡(luò)事件響應(yīng)計(jì)劃模板，但并非所有這些模板都適用于所有類(lèi)型的組織。

從頭開(kāi)始創(chuàng)建事件響應(yīng)程序與構(gòu)建內(nèi)部威脅程序一樣具有挑戰(zhàn)性。對(duì)于每個(gè)組織，最有效的事件響應(yīng)方案的選擇將取決于特定的IT環(huán)境、組織面臨的威脅以及組織的業(yè)務(wù)需求。

但是，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)提供了一系列指南，每個(gè)組織都可以將其用作構(gòu)建其事件響應(yīng)計(jì)劃的基準(zhǔn)。

特別是，可以遵循計(jì)算機(jī)安全事件處理指南800-61修訂版2的建議來(lái)有效管理潛在的網(wǎng)絡(luò)安全事件。

根據(jù)NIST事件管理指南，事件響應(yīng)計(jì)劃應(yīng)包括以下主要階段：

每個(gè)階段都包括組織應(yīng)考慮添加到其IRP的多個(gè)步驟。讓我們仔細(xì)看看這些階段。

準(zhǔn)備?

組織應(yīng)在網(wǎng)絡(luò)安全事件實(shí)際發(fā)生之前做好應(yīng)對(duì)準(zhǔn)備，并提前計(jì)劃所有必要的響應(yīng)程序。準(zhǔn)備階段還包括首先計(jì)劃如何防止數(shù)據(jù)泄露或攻擊發(fā)生。

檢測(cè)分析?

組織必須能夠檢測(cè)網(wǎng)絡(luò)事件，并擁有適當(dāng)?shù)墓ぞ吆图夹g(shù)來(lái)收集、記錄和分析與事件相關(guān)的數(shù)據(jù)。為了更輕松地完成這項(xiàng)任務(wù)，NIST指定了八個(gè)攻擊向量（見(jiàn)下文）并列出了網(wǎng)絡(luò)安全事件的最常見(jiàn)跡象。

必要時(shí)，組織還應(yīng)該能夠根據(jù)事件的影響和可恢復(fù)性確定事件的優(yōu)先級(jí)，然后將違規(guī)情況通知有關(guān)當(dāng)局。

遏制、根除和恢復(fù)?

組織必須能夠有效地處理攻擊、消除威脅并開(kāi)始恢復(fù)受影響的系統(tǒng)和數(shù)據(jù)。

在這些階段，收集有關(guān)事件的證據(jù)以供日后用于解決事件和法律訴訟也很重要。

事后活動(dòng)?

在有效處理安全事件后，組織應(yīng)使用從事件中獲得的信息來(lái)改進(jìn)其當(dāng)前的IRP。

NIST網(wǎng)絡(luò)安全框架的最佳之處在于它既靈活又適應(yīng)性強(qiáng)，因此大企業(yè)和小企業(yè)都可以有效地實(shí)施它。讓我們看看如何為組織構(gòu)建符合NIST的IRP。

實(shí)施符合NIST的事件響應(yīng)計(jì)劃的提示

NIST為構(gòu)建有效的IRP提供了非常詳細(xì)的事件響應(yīng)指南。這里的主要問(wèn)題是信息太多，可能會(huì)發(fā)現(xiàn)自己在推薦中迷失方向。

以下是NIST事件響應(yīng)清單，其中包含五個(gè)必須采取的步驟，以確保事件響應(yīng)計(jì)劃同時(shí)滿(mǎn)足NIST要求和組織的需求。

1. 建立網(wǎng)絡(luò)安全事件響應(yīng)小組

或者至少選擇負(fù)責(zé)的人員。?

無(wú)論組織規(guī)?；蚬ぷ黝I(lǐng)域如何，在規(guī)劃IRP時(shí)首先要做的就是創(chuàng)建一個(gè)網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊(duì)(CIRT)。

CIRT負(fù)責(zé)在安全事件期間協(xié)調(diào)關(guān)鍵資源和團(tuán)隊(duì)成員，以便將攻擊的影響降至最低，并盡快恢復(fù)所有操作。

CIRT的主要職能是：

定義事件響應(yīng)策略和程序
及時(shí)處理網(wǎng)絡(luò)安全事件
調(diào)查和分析以前的事件
創(chuàng)建事件報(bào)告能力并建立必要的溝通
培訓(xùn)員工并提高對(duì)網(wǎng)絡(luò)安全威脅及其緩解措施的認(rèn)識(shí)
改進(jìn)當(dāng)前的事件響應(yīng)計(jì)劃

CIRT的成員數(shù)量取決于公司的規(guī)模、潛在的數(shù)據(jù)丟失和地理范圍。但是，請(qǐng)務(wù)必指定一名負(fù)責(zé)響應(yīng)和處理事件的團(tuán)隊(duì)負(fù)責(zé)人。?

特別注意CIRT培訓(xùn)：每個(gè)CIRT成員都應(yīng)該了解組織的關(guān)鍵網(wǎng)絡(luò)安全政策和程序，以及他們?cè)诎l(fā)生攻擊時(shí)的具體責(zé)任。

2. 提前計(jì)劃所有程序

提前計(jì)劃至關(guān)重要。?

如果發(fā)生網(wǎng)絡(luò)安全事件，CIRT需要確切知道如何以最小的損失處理它。但是，不僅需要制定而且還需要在實(shí)際事件發(fā)生之前對(duì)計(jì)算機(jī)安全事件響應(yīng)計(jì)劃進(jìn)行實(shí)戰(zhàn)測(cè)試。

CIRT在規(guī)劃階段需要完成四項(xiàng)主要任務(wù)：?

首先，需要確定哪些事件被視為網(wǎng)絡(luò)安全事件。然后，為每種類(lèi)型的潛在事件制定事件響應(yīng)計(jì)劃。

在其計(jì)算機(jī)安全事件處理指南中，NIST指定了攻擊向量列表，并建議為使用相同攻擊向量的事件開(kāi)發(fā)通用事件響應(yīng)方案。

常見(jiàn)的攻擊媒介包括：

外部或可移動(dòng)媒體（例如，受感染的USB設(shè)備）
設(shè)備丟失或被盜（丟失的公司筆記本電腦或授權(quán)令牌）
Web（從Web應(yīng)用程序執(zhí)行的攻擊）
電子郵件攻擊（帶有惡意網(wǎng)站鏈接的電子郵件）
冒充（欺騙和中間人攻擊）
不當(dāng)使用（訪問(wèn)濫用）
損耗（蠻力攻擊）
其他（所有其他攻擊）

接下來(lái)，根據(jù)其影響確定可能的威脅和攻擊的優(yōu)先級(jí)。畢竟，當(dāng)更大的漏洞仍未解決時(shí)，浪費(fèi)時(shí)間來(lái)管理輕微的攻擊是沒(méi)有意義的。

NIST事件響應(yīng)計(jì)劃提供了三個(gè)基于影響的標(biāo)準(zhǔn)來(lái)確定事件的優(yōu)先級(jí)：

NIST事件嚴(yán)重程度取決于幾個(gè)因素：

(1) 功能影響決定了特定事件對(duì)業(yè)務(wù)運(yùn)營(yíng)的影響。

功能影響分為四個(gè)級(jí)別：

無(wú)——對(duì)組織的系統(tǒng)沒(méi)有功能影響
低——組織的系統(tǒng)基本不受影響
中等——組織無(wú)法提供某些服務(wù)高——組織不能為所有用戶(hù)提供至少一項(xiàng)關(guān)鍵服務(wù)

(2) 信息影響取決于事件期間泄露的信息的重要性和敏感性。

信息影響也有四類(lèi)：

無(wú)——沒(méi)有數(shù)據(jù)泄露
隱私泄露——敏感的個(gè)人身份信息被泄露
專(zhuān)有違規(guī)——可能泄露商業(yè)秘密
完整性損失——數(shù)據(jù)可能被更改

(3) 可恢復(fù)性影響是衡量組織從事件中完全恢復(fù)所需的資源。

可恢復(fù)性影響也有四個(gè)級(jí)別：

定期——不需要額外的資源
補(bǔ)充——需要額外的資源，但組織可以預(yù)測(cè)總體恢復(fù)時(shí)間
延長(zhǎng)-無(wú)法預(yù)測(cè)恢復(fù)時(shí)間
不可恢復(fù)——組織無(wú)法從事件中恢復(fù)

這種三層方法足夠靈活，可以被任何組織采用。

完成所有分類(lèi)工作后，就該開(kāi)始規(guī)劃響應(yīng)不同類(lèi)別網(wǎng)絡(luò)安全事件的標(biāo)準(zhǔn)程序了?？紤]為最常見(jiàn)的事件類(lèi)型（例如系統(tǒng)故障、拒絕服務(wù)、入侵和間諜軟件感染）制定遏制策略和標(biāo)準(zhǔn)操作程序(SOP)。

在SOP中，指定CIRT在發(fā)生特定事件時(shí)使用的技術(shù)流程、技術(shù)、檢查表和表格。

有關(guān)建立適當(dāng)響應(yīng)程序的進(jìn)一步指導(dǎo)，可以參考NIST特別出版物800-86，將取證技術(shù)集成到事件響應(yīng)中的指南。

3. 監(jiān)控用戶(hù)和網(wǎng)絡(luò)活動(dòng)

如果你能看到它，你就可以管理它。?

防止?jié)撛诠舻淖罴逊椒ㄖ皇潜O(jiān)視網(wǎng)絡(luò)上發(fā)生的一切?？紤]部署用戶(hù)活動(dòng)監(jiān)控解決方案來(lái)解決內(nèi)部威脅和與分包商相關(guān)的安全風(fēng)險(xiǎn)問(wèn)題。

通過(guò)關(guān)注個(gè)人用戶(hù)的活動(dòng)和網(wǎng)絡(luò)上的活動(dòng)，可以：

及早檢測(cè)并終止攻擊
收集證據(jù)和有價(jià)值的數(shù)據(jù)以供進(jìn)一步分析

更進(jìn)一步，可以實(shí)施具有行為用戶(hù)監(jiān)控功能的解決方案。使用 AI 驅(qū)動(dòng)的技術(shù)，此類(lèi)解決方案可以檢測(cè)到受監(jiān)控基礎(chǔ)設(shè)施內(nèi)的異常和與基線用戶(hù)行為的偏差。不要忘記通過(guò)制定內(nèi)部威脅事件響應(yīng)計(jì)劃來(lái)減輕自己組織的風(fēng)險(xiǎn)。

在選擇正確的用戶(hù)活動(dòng)監(jiān)控解決方案時(shí)，請(qǐng)尋找一個(gè)同時(shí)配備靈活事件響應(yīng)系統(tǒng)的解決方案。能夠設(shè)置自定義實(shí)時(shí)警報(bào)并自動(dòng)化至少一些 SOP 將確保及時(shí)響應(yīng)網(wǎng)絡(luò)安全事件。

4. 注意備份和恢復(fù)策略

沒(méi)有人愿意丟失有價(jià)值的數(shù)據(jù)。?

恢復(fù)策略是任何 IT 事件響應(yīng)計(jì)劃的關(guān)鍵部分。

就像處理事件一樣，最好在實(shí)際發(fā)生任何違規(guī)行為之前考慮從事件中恢復(fù)，并針對(duì)不同場(chǎng)景編寫(xiě)數(shù)據(jù)恢復(fù)過(guò)程的詳細(xì)示例。

可以從確定哪些數(shù)據(jù)對(duì)組織業(yè)務(wù)最有價(jià)值開(kāi)始，并額外注意其保護(hù)。這在發(fā)生現(xiàn)實(shí)生活中的網(wǎng)絡(luò)安全事件時(shí)應(yīng)該關(guān)注什么：將立即需要恢復(fù)哪些數(shù)據(jù)以及哪些資產(chǎn)可以在第二天甚至下周恢復(fù)而不會(huì)對(duì)業(yè)務(wù)造成任何損害。

關(guān)于組織從網(wǎng)絡(luò)安全攻擊或數(shù)據(jù)泄露中的恢復(fù)， CIRT 需要牢記兩項(xiàng)主要任務(wù)：?

(1) 數(shù)據(jù)恢復(fù)。如果沒(méi)有備份系統(tǒng)，將很難快速應(yīng)對(duì)網(wǎng)絡(luò)安全事件。如果組織面臨網(wǎng)絡(luò)安全事件，部署數(shù)據(jù)丟失防護(hù)工具并創(chuàng)建備份將幫助組織安全地恢復(fù)所有關(guān)鍵業(yè)務(wù)信息。

為了更好地保護(hù)關(guān)鍵數(shù)據(jù)，請(qǐng)選擇結(jié)合了本地和基于云的服務(wù)的混合備份解決方案。此外，考慮通過(guò)為 NIST 合規(guī)性部署身份和訪問(wèn)管理解決方案來(lái)限制對(duì)敏感數(shù)據(jù)的訪問(wèn)。

如果確實(shí)發(fā)生了安全事件，請(qǐng)確保備份受影響的系統(tǒng)，以便可以保留其當(dāng)前狀態(tài)以進(jìn)行取證。

(2) 服務(wù)恢復(fù)。以下兩個(gè)步驟對(duì)于在事件發(fā)生后將組織的系統(tǒng)恢復(fù)到正常運(yùn)行至關(guān)重要：

檢查網(wǎng)絡(luò)以確認(rèn)所有系統(tǒng)都在運(yùn)行。
重新認(rèn)證在事件期間可能受到影響的任何系統(tǒng)或組件可操作。

可能還需要為被入侵賬戶(hù)的用戶(hù)重置密碼，并阻止可能啟用入侵的賬戶(hù)和后門(mén)。

5. 更新事件響應(yīng)計(jì)劃時(shí)要關(guān)注什么

總是有改進(jìn)的余地。?

根據(jù) NIST 的說(shuō)法，組織應(yīng)至少每年審查一次事件響應(yīng)計(jì)劃。但是，鑒于新的網(wǎng)絡(luò)安全威脅不斷出現(xiàn)，更明智的做法是更頻繁地檢查和更新此計(jì)劃，尤其是對(duì)于大型公司而言。

每當(dāng)業(yè)務(wù)面臨重大變化時(shí)，無(wú)論是進(jìn)入新領(lǐng)域還是更改內(nèi)部基礎(chǔ)架構(gòu)，這些變化都應(yīng)反映在IRP 中。

與業(yè)務(wù)相關(guān)的新攻擊向量和安全威脅
本地和行業(yè)網(wǎng)絡(luò)安全要求的更新和變更
從以前的攻擊和違規(guī)中吸取的教訓(xùn)
可以改進(jìn)的事件處理程序和解決方案

例如，如果組織是新的網(wǎng)絡(luò)安全威脅的潛在目標(biāo)，則為此類(lèi)攻擊準(zhǔn)備足夠的事件響應(yīng)方案非常重要。計(jì)劃、測(cè)試和記錄與新威脅相關(guān)的所有程序和恢復(fù)工具。

檢查組織中處理現(xiàn)實(shí)事件的方式也很重要。這樣的分析可以告訴我們當(dāng)前的策略是否良好，以及可以采取哪些措施來(lái)防止此類(lèi)事件再次發(fā)生。

結(jié)論

制定事件響應(yīng)計(jì)劃對(duì)于任何規(guī)模的組織和企業(yè)都至關(guān)重要。

雖然有現(xiàn)成的事件響應(yīng)計(jì)劃模板，但根據(jù)內(nèi)部調(diào)查構(gòu)建自定義事件響應(yīng)計(jì)劃以反映組織特定要求并構(gòu)建自己的內(nèi)部威脅響應(yīng)計(jì)劃會(huì)更有益。

為了使這個(gè)過(guò)程更容易一些，組織可以參考常見(jiàn)的安全標(biāo)準(zhǔn)和流行的準(zhǔn)則，例如 NIST 提供的那些。根據(jù) NIST 標(biāo)準(zhǔn)制定事件響應(yīng)計(jì)劃時(shí)，組織應(yīng)涵蓋NIST 事件響應(yīng)過(guò)程的四個(gè)主要階段：?

準(zhǔn)備
檢測(cè)分析
遏制、根除和恢復(fù)
事后活動(dòng)

在這些階段的每一個(gè)中，都應(yīng)指定一組工具和程序來(lái)處理特定的攻擊向量或特定的安全問(wèn)題。?

網(wǎng)頁(yè)題目：從NIST看2022年事件響應(yīng)計(jì)劃指南
標(biāo)題URL：http://fisionsoft.com.cn/article/dhhdgjp.html