请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 677|回复: 5

【和巨廉一起漫谈企业信息安全运维】 -- 安全事件应急响应新思路(上)

[复制链接]
发表于 2017-10-25 17:52:10 | 显示全部楼层 |阅读模式
本帖最后由 julianchen 于 2017-10-25 17:59 编辑

1055960473.jpg

话说今年的十一长假,我去魔都周围的一个岛上一边农家乐,一边整理了今年夏天给大家做公开课的讲义,特将干货分享出来供大家回顾。上述图片是我在农家乐拍的,大家猜猜看这些是什么花?
下面我从新的角度,提出实现安全事件管控能力的五步走流程(见下图)。在每一步里,我都罗列了阶段目标、目标时间和关键行动。不过要提醒大家注意的是:所谓每个阶段的目标时间都并非是固定的,它们将完全取决于安全事件的性质、严重程度、和团队的完成进度。而关键行动,也并非需要强制性地去逐条执行。
1.png
                              
第一阶段:识别和分类(兄弟们,有人要搞事情,撸起袖子,加油冲过去吧!)
阶段目标:
识别潜在或正在发生的信息安全事件,初步确定波及范围和严重程度,进行事件的初始分类,保全第一手证据,激活事件反应小组,并按需引入相关领域的专家。
目标时间:
发现安全事件后立即进入该阶段,并以24 - 48小时内完成为目标。
参考文档:
1.      紧急联系人列表
2.      严重性矩阵参考表
3.      第一阶段动作分解检查表
4.      预设安全事件报告模板
关键行动:
1. 当事员工应当立即向直属领导报告任何可疑的安全事件,直属领导参考《紧急联系人列表》的内容将事件升级到安全团队。
2. 安全团队应采取措施保护证据,具体内容包括:指导员工在不关闭电源的情况下断开被感染的系统连接,保存的截屏图像、日志文件、以及其它潜在的有用的信息。
3.  安全团队应进行初步的技术分析,根据《严重性矩阵参考表》评估事故的严重性。
4.  安全团队应为该安全事件创建或分配一个唯一的案件号,以便后期跟踪。
5.  安全团队应根据《预设安全事件处置流程》或临时对策采取必要、合理的措施来初步抑制事件的持续。团队应注意减少所影响到的个人和系统的损失,并最大限度保全证据或信息。其中,预设安全事件处置流程至少应涵括如下安全事件类型:
·端点及移动计算设备的恶意软件感染
·移动计算设备的遗失或被盗
·DDoS攻击
·网站被篡改与渗透
·鱼叉式网络钓鱼或捕鲸
·目标性社会工程学
更详尽的分类请见下图:
2.png
6. 安全团队应记录事件和相应所采取的措施,并保留技术措施的日常记录,直至事件被解决。
7. 安全团队按需激活和组建事件响应小组,分配职责,并让组员明确安全事件的状态、严重性,且明确沟通渠道与方式。
8. 响应小组回顾并填写《第一阶段动作分解检查表》。
第二阶段:调查和取证(木已成舟,匆忙恢复的话,不但可能事倍功半,甚至可能造成忙中出错。像柯南那样think twice,利用调查来对事件进行深入分析,磨刀不误砍柴工。)
阶段目标:
通过进行调查与取证,识别根本原因并着手恢复。
目标时间:
开始于发现信息安全事件的24小时之内。根据事件的性质,该阶段可能在几小时或几天内完成,或可能持续几个月(一般不超过3个月)。根据复杂程度,响应小组可能需要多轮复查。
关键行动:
1.  响应小组应与取证专家交流,确保控制策略不会在无意中删除证据或对彻底的调查与修复过程造成阻碍。
2. 使用预设的和经测试的流程进行调查取证,主要包括:
a. 在网络逻辑上阻断进出可疑设备的网络流量,必要时更改启动或登录密码等。
b. 在物理上更换锁芯,检查或更新门禁卡设置等。
3. 妥善保存收集到的证据,主要包括:
a. 保留所有相关日志、电子和实物文档。所有的文档都应该清楚、真实且有时间特征。
b. 日志和记录应遵循适当的证据链的实时监护程序。
4. 响应小组通过开始初步的调查工作,并与业务或资产所有人的沟通,评估如下方面:
a. 定位根本原因:如是否是外部黑客攻破了系统;哪些登录名/密码被黑掉了;丢失的具体设备或被破坏的基础设施;恶意软件是病毒、蠕虫还是木马;网络攻击是DDoS、扫描还是嗅探;物理盗窃的具体位置;恶意员工或承包商是谁;社会工程(如钓鱼)的具体手段。
b. 人员与部门的受影响程度,
c. 丢失、破坏或暴露的数据与资产的数量与程度。
d. 对人员、数据和资产的残留威胁的严重程度。
e. 如果安全事件发生在第三方服务提供者处,应及时联系以获取初步报告,并请求定时地更新进展。
5. 向管理层报告取证、调查和评估的结果。





  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2017-10-26 09:11:50 | 显示全部楼层
安全要自上而下,领导重视,就好办
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-10-26 13:24:06 | 显示全部楼层
这是什么花?野花
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-10-26 13:25:05 | 显示全部楼层
其实说到底领导愿不愿意砸钱,出了事情老板就开始怪人
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-10-29 17:12:04 | 显示全部楼层
有了“网络安全法”,领导们就要掂量一下了,坐牢还是花钱,孰轻孰重!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-10-30 10:45:19 | 显示全部楼层
感谢版主精华分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-12-13 07:29 , Processed in 0.097955 second(s), 48 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表