最后更新于2023年12月9日星期六19:08:38 GMT
与 耶利米杜威, Rapid7事件响应总监.
第一部分:草拟计划
任何与敏感数据打交道的组织都需要检测并响应安全事件. 只在关键时刻求助于外部机构是一种冒险的策略. 创建和测试事件响应(IR)计划将降低风险:通过为最坏的情况做好准备,帮助您的组织以最佳状态执行.
An 事件响应 在应对严重信息安全事件的挑战时,计划是您的主蓝图. 在这个由四部分组成的系列中, 我们将介绍构建和测试IR计划, 分享我们在数千次活动中所学到的经验教训. 在本文中,您将了解组成有效事件响应计划的所有组件.
集结军队
因为组织的每个部分都可能受到网络安全事件的影响, 在起草计划时,你需要让所有的参与者都参与进来.
除了通常的IT和安全嫌疑之外,还要引入法律和公关以及高级领导. 不要止步于此,你还应该包括供应商,比如互联网服务提供商, 外部IT公司, 以及任何可能受到网络安全事件影响的顾问. 这是与供应商确认联系方式和合同协议的好时机. 不要等到事件发生后才发现您的sla不足以及时响应!
让所有这些利益相关者都参与进来,将确保可能受到泄露影响的每个人都知道该做什么,以及IT部门可能产生的影响, 包括那些与合规和其他法规有关的人.
了解地形
下一个, 以获得一个很好的理解资产可能受到破坏的影响, 规划您的网络基础设施, 包括与其他组织的联系.
这将使您的团队更清楚地了解当前的状态. 对网络的攻击主要利用以下三类:漏洞, 配置错误, 和弱/被盗的凭证. 评估你的人际网络, 包括远程工作人员和云服务, 能帮我找出改进的空间吗, 例如网络分段或特权访问管理. 记住,除了公司拥有的资产外,还要包括外部各方拥有或控制的资产.
下一个, 规划你的预防和检测能力, 包括过去渗透测试中涵盖的任何发现. 如果你已经模拟了攻击或内部红队,那就加分了. 有形地显示成功攻击的结果,将架起通常涉及对漏洞进行优先排序的技术对话的桥梁. 这一切都有助于构建投入资源来制作和测试你的游戏的商业案例 事件检测和响应计划.
记录你的缺点
既然你知道你拥有什么,你需要保护什么, 考虑您的组织识别潜在或实际危害的能力. 有一个清晰的, 可重复的调查工作流程意味着团队可以清楚地确定事件的范围,并在正确的各方中快速循环.
首先列出隔离和修复资产的已知限制. 这些可能包括不属于您的安全基础设施保护伞的个人设备或外部供应商资产.
然后,戴上那顶时髦的黑帽子(或连帽衫). 攻击者最有希望的目标是什么? 哪些资产和用户可以访问这些目标—如果关键 凭据被泄露? 事先了解这一点可以帮助您在以后跟踪入侵的程度.
应急计划
如果关键资产下降, 或者需要被关闭, 维持业务连续性的可用选项有哪些? 规划故障转移和备份选项将帮助您决定如何处理受损的数据和系统. 这就是除了IT之外,与业务涉众进行讨论将带来好处的地方.
最后, 当你在起草事故应对计划时, 贵组织的沟通团队是否创建了模板,以便向客户、员工和需要了解的各方解释升级事件的影响. 有了这些沟通的草稿,将大大有助于平息公司内外的紧张情绪.
一旦你起草了事件响应计划, 现在是时候回顾一下,并得到所有相关部门的支持. 我们将在下一篇文章中详细介绍这一点,敬请期待.
要了解Rapid7如何帮助您提高检测能力和事件响应程序,或为您解决所有问题,请浏览我们的 SIEM解决方案 这使您能够在内部检测并响应攻击. 我们还有 管理检测和响应服务 如果您想咨询我们训练有素的专业团队.