取消
显示结果 
搜索替代 
您的意思是: 
cancel
3157
查看次数
10
有帮助
4
评论
julianchen
Spotlight
Spotlight
194150zp9eo21otx2evp22.jpg

铛,铛!答案揭晓了!这就是上期的花泡茶的样子!大家知道是什么花了吧?
书接上回!
第三阶段:抑制、根除和恢复(要用“深耕”的态度去刨根问底,不要犯那种“你以为的就是你以为的”错误。只有在确认抑制策略成功后方可实施根除与恢复。)
阶段目标:
全面制定执行抑制策略与步骤,采取措施来根除风险,使信息、资产和基础设施恢复正常运转。
目标时间:
开始于发现信息安全事件的24- 48小时之内,可与调查阶段同时进行。不过根据事件的性质不同,如出现了APT攻击的话,则全面抑制、根除和恢复可能需要数小时或数天的时间。
关键行动:
1. 实施和验证抑制。
a. 回顾取证环节的发现和确认安全事件已被充分调查和评估。
b. 根据发现,以点对点的方式,制定具有“时间点”和“里程碑”的抑制策略。
c. 协调相关人员在避免次生破坏的情况下实施抑制。
d. 监控和评估抑制的有效性,验证是否成功。
e. 如果需要改进抑制策略,则可反复迭代,直至最终确认成功。
2. 实施和验证根除与恢复。
a. 根据抑制报告,逐条列出安全漏洞与弱点,并以点对点的方式制定根除策略。
b. 策略制定过程应具有前瞻性,要充分考虑到类似事件的再次发生、其他攻击方式的应对、根除对将来业务运行的影响等方面。
c. 根除与恢复的内容包括:卸载恶意软件、删除被感染且确认不再可用的文件和文件夹、阻止某个或某段IP地址、禁止对某个URL地址的访问、永久禁用或删除某个帐户、修复/重建/更新操作系统或软件。
d. 监控和评估根除的有效性,验证是否成功。
e. 记录执行的整个过程,并形成报告。
第四阶段:通知和公关/外部通信(这不是你一个人的战场,本阶段是很多技术人员的短板,多数情况下会匆忙应对。记住,作家波西格曾说:仓促本身就是最要不得的态度。当你做某件事的时候,一旦想要求快,就表示你再也不关心它,而想去做别的事。)
阶段目的:
将事件全部过程通知到管理层;从公司形象角度配合公关和外部通信。
目标时间:
从上述的第一到三阶段都可以开始,但要尽早。
关键行动:
1. 识别需要通知到的人群,例如:当事人、受影响的客户或雇员、商业银行、信用卡中心和媒体等。
2. 响应小组与PR或市场部门协作,准备一个完备的计划来减轻事件对客户关系的影响。在事件波及一个以上客户或合作方的时候,注意通信的关联性和次序。
3. 响应小组委派专门人员负责对客户、合作方以及外部调查部门提供技术细节解答和支持。
4. 响应小组根据安全事件,对既定合同中涉及的责任条款予以技术核实,并提供必要的解释。
5. 起草在外部网站上和/或呼叫中心热线电话里发布的官方内容,并为各方提供持续的更新,常见问题解答,进一步沟通方式等。
6. 定期监控呼叫中心收到的电话数量和问题类型,提供必要的改进。
7. 如果安全事件发生在第三方服务提供者处,应从技术层面审查相关合同的责任条款,评估赔偿或其他索赔的权利。
第五阶段:事后工作(乔布斯曾说过:Keep looking. Don't settle. 此阶段就像是砌墙,你堆好了砖头、填进了水泥,但总要再给点时间让水泥风干,以及必要的后期修补,墙才能够结实)
阶段目标:
将安全事件和恢复过程进行最终文档化,在放置复发的同时,以供监管部门的检查和必要的诉讼。
目标时间:
第三阶段完成后,可常规化。
关键行动:
1. 评审上述四个阶段的响应和执行效果,分析与原定计划的偏离部分及其原因,并提出改进方案。
2. 安全团队根据事件所涉及的既定服务级别,标注出需要调整和改进之处。
3. 引导内部相关职能部门开展信息安全方面的自查工作,防止类似事件的复发。
4. 安全团队总结经验教训报告,增强日常的监控、改善事件响应演练、有针对性的对其他部门开展培训和意识增强等工作。
总结
通过对上述五个阶段的详解,您应该能看出,我在此所提出的安全事件响应的新思路主要体现在:
1. 增加 “通知和公关/外部通信”阶段,体现沟通与尽责。
2. 每个阶段设定目标时间,有利于团队在进度上的张弛掌控。
3. 各个阶段都通过审查和验证来确认工作的成效。
4. 通过各种报告来实现雁过留痕。
可见,随着各个行业的国际化和规范化,许多企业的日常运营都会受到监管和披露的要求,所以加强沟通与报告显得尤为重要。我们不要做那头只会低头拉车不会抬头看路的老黄牛。
评论
Yanli Sun
Community Manager
Community Manager
感谢版主分享
13nash
Level 8
Level 8
感谢版主分享
byl_qware_com
Level 8
Level 8
感谢分享!学习一下!
yangkai_716
Spotlight
Spotlight
学习了,感谢楼主分享:)
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接