公告:美国CN2服务器1Gbps带宽 免备案不限内容  立即购买

安全事件响应之五步进阶_图林云IDC资讯

yun 4 0 条

========================

正文开始

常言道:屋漏偏逢连夜雨,我同学所供职的公司最近真是祸不单行。月头遭遇了与合作商讨论对接的网站被莫名灌入了海量的垃圾帖子和信息之后;月中某位好奇害死猫的销售部员工点开了不明邮件的链接,导致了存有重要销售数据的文件被勒索软件锁定且高度加密;而月底则又有某位员工在离职之时批量导出项目文件和邮件,其高流量致使内网一度瘫痪、业务全部中断的恶果。他和所在的团队被迫持续地既充当“救火队员”又当“炊(bei)事(le)班(hei)长(guo)”,风风火火地经历了数个不眠之夜,可到头来还是被公司管理层责备。  怎么说呢?我觉得此事既在情理之中,又在意料之外。多年来,我们信息安全应急响应团队身处于整个管控环节的末端,只有在安全事件发生之后才能被告知到。因此长期以来我们所形成的固定思维便是:唯有精湛的技术和第一时间到达现场的热情才能体现我们的价值。可是现如今,无论是技术水平还是企业生存环境都已经发生了翻天覆地变化,我们光靠那种传统的“猛虎式”的快速响应显然只会给本来“干燥氛围”带去“火星”,而往往产生所谓的“次生事件效应”。但是,如果我们能够在注重沟通与报告的基础上,有计划、分步骤地以“蚁群式”协作推进,则会在带去“湿润空气”的同时,收获到让各方都能满意的效果。  下面我从新的角度,提出实现安全事件管控能力的五步走流程(见下图)。在每一步里,我都罗列了阶段目标、目标时间和关键行动。不过要提醒大家注意的是:所谓每个阶段的目标时间都并非是固定的,它们将完全取决于安全事件的性质、严重程度和团队的完成进度。而关键行动,也并非需要强制性地去逐条执行。
=========================
图林云美国CN2 G口带宽不限流量免备案不限内容服务器

  第一阶段:识别和分类(兄弟们,有人要搞事情,撸起袖子,加油冲过去吧!)  阶段目标:  识别潜在或正在发生的信息安全事件,初步确定波及范围和严重程度,进行事件的初始分类,保全第一手证据,激活事件反应小组,并按需引入相关领域的专家。  目标时间:  发现安全事件后立即进入该阶段,并以24 - 48小时内完成为目标。  参考文档:  1. 紧急联系人列表  2. 严重性矩阵参考表  3. 第一阶段动作分解检查表  4. 预设安全事件报告模板  关键行动:  1. 当事员工应当立即向直属领导报告任何可疑的安全事件,直属领导参考《紧急联系人列表》的内容将事件升级到安全团队。  2. 安全团队应采取措施保护证据,具体内容包括:指导员工在不关闭电源的情况下断开被感染的系统连接,保存的截屏图像、日志文件、以及其他潜在的有用信息。  3. 安全团队应进行初步的技术分析,根据《严重性矩阵参考表》评估事故的严重性。  4. 安全团队应为该安全事件创建或分配一个唯一的案件号,以便后期跟踪。  5. 安全团队应根据《预设安全事件处置流程》或临时对策采取必要、合理的措施来初步抑制事件的持续。团队应注意减少所影响到的个人和系统的损失,并最大限度保全证据或信息。其中,预设安全事件处置流程至少应涵括如下安全事件类型:  ·端点及移动计算设备的恶意软件感染  ·移动计算设备的遗失或被盗  ·DDoS攻击  ·网站被篡改与渗透  ·鱼叉式网络钓鱼或捕鲸  ·目标性社会工程学  更详尽的分类请见下图:
正文结束


发表我的评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址