最常用的事件响应计划方法是什么
最常用的事件响应计划方法是:
准备:准备阶段是事件响应计划的开始,它总结了在网络安全事故发生前进行的所有活动。该阶段的核心是制定事件响应的工作流程。重要的是,事件响应计划过程中创建的文档并不是被创建后就再也不会被使用了,而是会成为安全运营团队内部可以持续使用和更新的文档。当企业开始制订事件响应计划时,通常会重新评估当前的安全控制措施,并将其与行业和供应商的最佳实践进行比较,在这个过程中可以帮助企业发现未知的薄弱点。企业在处理网络安全事件的过程中会不断成熟并积累更多的经验,这会帮助企业进一步优化事件响应计划。尽管团队中的个人会经历不少网络攻击和服务中断,然而这些都可以成为团队学习的机会。
检测和分析:在检测和分析阶段,安全运营团队需要确认网络安全事件是否真实存在,并在得到确认后迅速确定该网络安全事件的影响范围。团队需要能够快速确定某个特定活动是由实际员工发起的,还是由潜在攻击者模仿员工行为发起的。例如,当Microsoft Word在一个终端启动时,并不意味着攻击者正在执行恶意动作,世界上几乎所有的企业都在使用Microsoft Word,这一类型的个人行为是恶意攻击的可能性很小。但是,在分析过程中,如果发现Microsoft Word是被PowerShell脚本拉起后台执行的,就不太可能是正常的员工行为了。而这只是需要详细分析细节的大量情况中的一个。
抑制:抑制阶段是事件响应计划中最重要的阶段之一。在此阶段的执行过程中,很有可能会导致服务的中断,但为了确保不会造成进一步的损害,这一步至关重要。在此阶段,安全团队将尝试控制局势。如果不对安全事件进行抑制,结果将会产生很高的风险,除了短期损害之外,还可能会造成指数级的中长期损害。请想象这样一个不包含抑制阶段的网络攻击场景:安全团队恢复IT服务,但是该服务一恢复便再次遭受攻击。这是因为在进行服务恢复之前,网络安全事件并未得到有效抑制。
根除和恢复:根除和恢复是两个单独的过程,尽管它们可能会同时发生。通过根除,企业可以确保与网络安全事件相关的所有组件被移除,例如删除恶意软件、删除钓鱼攻击中收到的电子邮件、禁用受危害的账户。恢复过程是企业期望安全团队尽快执行的过程,但重要的是不要匆忙,保持冷静,并遵循事件响应计划。请记住,在进行恢复时,需要确保在恢复后攻击者不会立刻再次破坏它。此步骤包括将系统恢复到可操作阶段,还包括对系统进行加固以确保相同的攻击模式不会再次起作用。
事后处理:结束服务中断并使业务得以恢复运行固然重要,但解决网络安全事件后进行事后调查也同样重要。网络安全是一个持续学习和提升的过程,只有汲取以往的经验教训,企业才能真正提高其网络安全实践的成熟度。在事后处理阶段,团队对网络安全事件进行回顾,深入了解网络安全事件最初是如何发生的,可以采取哪些措施来防止网络安全事件的发生,以及如何改进事件响应的方法。事后处理阶段的发现直接影响着准备阶段的执行方式。