虽然有些网络事件可能无法避免(例如零日攻击),但其他网络事件是可以预测的,可以通过适当的措施避免或显著减少。这些措施可以称为事件响应 (IR) 准备。IR 准备是一组定期流程、程序和技术,可帮助组织人员主动、系统地思考可能发生的安全事件,准备在初始阶段检测和响应这些事件,并尽量减少已确认事件造成的损失和成本。良好的 IR 准备可以让组织做好响应事件的准备,同时提高其安全性和成熟度。 IR准备之旅
网络威胁和事件一直存在,犯罪分子的手段和技术也日新月异,因此每个组织都必须做好准备应对这些威胁。这种准备可以通过 IR 准备之旅来完成。虽然步骤可能因每个组织的成熟度而异,但以下部分给出了该旅程的蓝图。一起看看Check Point事件响应小组 (CPIRT) 提供的指南,该指南基于他们在响应活跃事件和协助组织准备响应方面的丰富经验,以及网络安全行业和其他专家主导的组织(如国家标准与技术研究所 (NIST) 和 CISA)所见的其他最佳实践。CPIRT建议按顺序完成这些IR准备步骤,并定期重新审视,以适应组织、网络威胁形势以及新的网络防御知识和实践的变化
图 1 – 事件响应准备历程
1-资产跟踪/管理:
简而言之,你无法保护你不知道自己拥有的东西——这是大多数网络安全专家都承认的基本事实。然而,许多组织仍然不知道他们的关键资产,保留了本应不活跃的资产,这些资产仍然可以访问他们的环境,并将内部资源暴露给公众。公司的政策(例如执行不力的自带设备 (BYOD) 政策)进一步加剧了这种情况,这些政策允许外部资产访问公司的资源,而无需对它们进行核查。资产跟踪可以通过免费和付费系统来实现,并得到内部政策、适当培训和全公司承诺的支持。对于任何希望确定从何处开始或评估其当前资产管理实践中的差距的组织来说,国家标准与技术研究所 SP1800-5 指南等资源提供了一个极好的起点。2- 框架采用
一旦组织对其资产有了更好的了解,就值得讨论和采用统一的网络安全框架。采用特定框架有助于通过行业最佳实践简化安全环境的路线图。它可以作为关注安全操作的特定标准的指南,也可以作为精确的内部基准。首先,NIST 的网络安全框架(通常称为 CSF)对于任何希望标准化其网络安全政策、流程和程序的公司来说都是一个很好的起点。还有其他类似的区域或行业特定框架,但大多数都基于 CSF 或受到 CSF 的严重影响。3- 资产保护/部署-检测-响应
采用统一的网络框架后,下一个关键步骤是采用流程、程序和技术来帮助监控和检测任何已知的来袭威胁。例如,在 2023 年,只有 33% 的违规行为是在安全团队和工具的共同努力下发现的;其余的检测只是由于运气和攻击者出于财务和其他恶意动机的自我披露 {IBM 违规报告 2023}。组织至少应为所有关键资产部署端点检测和响应 (EDR) 解决方案,目标是将覆盖范围扩大到所有设备和网络出口节点。一旦所有资产都得到覆盖,请确保它们得到正确配置,并由训练有素的团队持续监控,随时准备对攻击的最早迹象做出响应。这可以由内部团队管理,也可以通过专用的外部托管检测和响应 (MDR) 服务进行管理。4-补丁和漏洞管理
如果不定期更新和升级,任何系统或保护措施最终都会出现漏洞,威胁者可以利用这些漏洞并访问组织的资产。每家公司都应采用修补系统来跟踪新发现的漏洞并尽快修补。修补系统不仅应考虑可用的更新和升级,还应考虑任何已知漏洞的严重性及其对组织及其资产的潜在影响。5- 事件响应计划
组织的 IR 响应应以书面和动态的事件响应计划 (IRP) 的形式进行。IRP 不仅应书面记录,还应由组织最高层批准。通过创建和记录 IRP,组织应建立响应团队并确定主要利益相关者;建立和审查 IR 外部支持团队的现有第三方联系人和安排;整合响应工具包、响应模板、网络保险和其他缓解措施。精心制定的 IRP 应该简单、高效,不仅能反映组织的环境和需求,而且也能成为应对实时事件的主要指南。6-培训
人才是组织的最佳资产。使用技术、完善流程和程序的人员是决定事件是小事件还是大灾难的关键。因此,组织中所有员工都必须接受培训,成为安全方面的资产而不是负债。所有培训都应根据人员的角色和职责量身定制,定期进行,切合实际。培训可以包括网络意识培训、网络钓鱼和其他常见威胁意识,以及诸如 IR 响应演习(桌面)之类的复杂培训。7- 安全措施审计与测试
一旦实施上述措施,重要的是定期审查所有资产,由内部团队评估保护措施并由外部团队测试,并在模拟事件(桌面演习)中执行事件响应计划和剧本。然后应审查所有经验教训和发现的任何差距,以改进安全措施。主动实施上述步骤可能具有挑战性且成本高昂,特别是对于已经捉襟见肘的网络安全人员而言。然而,当与潜在的财务损失、声誉损害和恢复费用相权衡时,事件响应准备可提供丰厚的投资回报,与对实际事件做出反应的成本相比,这是一笔划算的交易。对于希望采取主动方式做好事件响应 (IR) 准备的组织,无论规模大小,都有各种资源可供协助。这些资源包括地方和联邦支持,提供技术和财政援助。— 欢迎关注
还没有评论,来说两句吧...