网络安全的10个步骤之事件管理
事件可能对组织的成本、生产力和声誉产生巨大影响。但是,良好的事件管理会在事件发生时减少影响。能够检测并快速响应事件将有助于防止进一步的损害,减少财务和运营影响。在媒体聚光灯下管理事件将减少声誉影响。最后,应在事件发生后学到的知识将意味着可以为未来的任何事件做好更好的准备。
有什么好处?
有效的事件管理可减轻网络事件的影响
经过实践的计划将帮助您在真实事件的压力下做出正确的决定
管理良好的响应,贯穿始终的清晰沟通,与股东和客户建立信任
从事件中学习确定响应能力的差距和问题
该怎么办?
准备响应计划和能力
确保在制定事件响应计划时有合适的人员参与。可能包括 IT 安全团队,但也将包括法律、人力资源和公共关系人员,以及供应商和供应商。高级管理层需要支持关键决策和要素,例如对严重事件的媒体处理。
确保事件响应计划与灾难恢复、业务连续性和危机管理计划相关联,并得到相关功能的支持。当事件严重到足以对业务造成重大中断和/或损害时,这些就会发挥作用。
确保定义和理解每个人的角色和职责,并提供适当的培训。任命并授权特定个人(或事件响应供应商)处理事件,并为他们提供明确的职权范围以做出决策和管理可能发生的任何事件。确保关键人员的联系方式在发生事故时随时可用。
考虑如何检测事件。响应计划应与所有检测方法保持一致,包括员工、供应商和合作伙伴的日志记录、监控和报告。其他第三方(例如进行事件调查或威胁研究的组织)以及偶尔的政府也可能向组织报告事件。所有警报都应发送给负责管理它们的团队,以进行评估和分类。
制定上报给高级管理层的标准,以及需要采取哪些措施才能扩大响应规模。考虑什么对特定组织最重要,以确定事件的严重性,以及应该如何确定其优先级。
确保员工了解可能为特定类型的事件准备的任何手册,并准备好与可能需要参与的任何第三方共享这些手册。可以联系可以授权关键决策(例如使客户数据库或网站脱机)的员工至关重要。如果主要联系人不可用,请考虑确定副手。技术人员(即执行此类操作的人员)必须知道谁可以提供授权,以及如何以及何时联系他们。这适用于供应商以及内部员工。
确定技术团队可以根据最高业务风险自主行动的特定情况,以及在哪些情况下采取早期遏制行动可能会减少特定事件的影响。
确保计划包括基于组织持有的数据类型和数量的法律或监管报告要求的基本指南,以及涵盖整个事件生命周期的流程大纲。示例计划如下所示。
应急计划演练
制定响应计划可确保员工知道如何在事件发生时做出响应,还可以突出计划响应中的任何问题区域。
练习从备份中恢复文件。事件发生后,确保只将干净的数据复制回干净的系统和网络。
在事件期间做出适当的反应(并清晰地沟通)
在事件的遏制阶段不要被卷入过度反应;在决定合适的行动方案之前,可能需要收集更多信息。过度反应会造成比事件本身更大的损害 - 在有针对性的攻击的情况下,攻击者可能会做出反应或将自己更深地埋在网络中。考虑可能采取的任何行动的影响,并与同事讨论。
在整个事件中与利益相关者和客户沟通。清晰的沟通有助于最大限度地减少事件的短期影响,并有助于与客户建立信任,减少事件的长期影响。
仔细记录事件响应、做出的决定、采取的行动、捕获(或丢失)的数据,因为这对于运动后的审查非常有用。如果需要向监管机构提供回应证据,则尤其如此。
将事件中的经验教训融入组织改进中
每次事故后更新响应计划。使用事件来反映企业的安全性 - 了解事件是如何发生的以及什么可以阻止它。事后审查应反馈到响应计划和更广泛的组织中。
特别考虑是否有任何信息对回答有很大帮助,但很难或不可能获得。制定计划,在任何未来攻击之前收集这些数据,并将其添加到日志记录和监控策略中。
不要限制自己只寻找出错的地方。还要考虑响应的哪些方面效果良好,以及原因。这可以提供有关如何改进未来计划的见解。
参考来源:英国国家网络安全中心官网