@Allure
2年前 提问
1个回答

反应性网络风险管理方法包括哪些阶段

GQQQy
2年前

反应性网络风险管理方法包括以下阶段:

  • 遏制损害阶段:遏制攻击造成的损害有助于遏制其他损害。快速保护重要的数据、软件和硬件。最大程度地减少计算机应用资源的中断是一个重要的考虑因素,但是在攻击期间保持系统运行可能会导致比长期运行时更为广泛传播的问题。例如,如果环境感染了蠕虫病毒,可以通过断开服务器与网络的连接来遏制损害。但是,有时断开服务器可能导致更大损害而无益。请使用最好的判断力及对自己网络与系统的了解做出此决定。如果确定没有副作用,或措施的正面效果超过了负面效果,在安全事件期间应通过从网络断开受影响的系统尽快开始实施遏制措施。如果不能通过隔离服务器来遏制损害,确保积极监视攻击者的行动以便能够尽可能快地消除损害。在任何事件中,确保在关闭任何服务器之前保存所有日志文件,以保留这些文件所含的信息,作为以后你(或你的律师)需要的证据。

  • 评估损害阶段:立即制作受到攻击的任何服务器中硬盘的副本,并将这些副本另放他处以便以后鉴定时使用,然后评估损害。应在遏制情形并复制硬盘后尽快确定攻击造成的损害程度,这样便可以尽快恢复组织的运作,同时保留硬盘的副本以便进行调查。如果不能及时评估损害,应当实施应变计划,以便可以维持正常的业务运营和工作效率。此时,组织可能想对事件实施法律行动。但是,应当在事件发生前与有权管辖组织业务的法律实施机构建立并维护工作关系,这样便可在发生严重问题时知道向谁联系及如何与他们协同工作。也应当立即通知相关的法律部门,这样他们便可确定是否可以因损害而向肇事者提起民事诉讼。

  • 确定损害原因阶段:为了确定攻击的起源,必须弄清此次攻击瞄准的是哪些资源,以及它是通过什么安全漏洞来获得访问权或中断服务的。在直接受影响的系统以及向系统传输数据流量的网络设备上检查系统配置、修补程序级别、系统日志和审核记录。这些检查通常有助于发现攻击源于系统中的哪一位置以及还有其他哪些资源受到了影响。应在适当计算机系统上执行此操作,必须使那些驱动器保持为未经使用状态以便进行鉴定,这样执法部门或律师可用这些驱动器来跟踪攻击者并将其绳之以法。如果需要建立一个用于测试的备份以确定损害原因,请从原来的系统建立第二个备份。

  • 修复损坏部分阶段:在多数情况下,非常重要的是要尽快修复损坏部分,以便恢复正常的业务运营,并修复攻击期间丢失的数据。组织的业务连续性计划和步骤应包括此恢复策略。还应有事件响应小组来处理修复和恢复过程,或向负责小组提供恢复过程指导。在恢复期间,需要执行应急步骤以遏制损害的扩展并将损害隔离起来。将修复后的系统投入服务后,请通过确保已解决在事件发生期间被利用的任何漏洞,使系统不会立即被重新感染。

  • 审查响应和更新策略阶段:在文档制作和恢复阶段完成之后,应全面审查整个流程。与小组成员一起讨论哪些步骤成功了,以及出现了哪些疏漏。在任何情况下,都会发现整个过程总是存在需要修改的地方。只有不断完善,才能更好地应对将来可能发生的事件。将不可避免地发现事件响应计划中存在弱点。这是这种事后方法的关键——正在寻求改善的机会。任何缺陷将推动另一轮事件响应规划流程,这样便可更加顺畅地处理将来的事件。