请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1376|回复: 4

【和巨廉一起漫谈企业信息安全运维】 -- 安全事件应急响应新思路(下)

[复制链接]
发表于 2017-10-27 19:45:56 | 显示全部楼层 |阅读模式


铛,铛!答案揭晓了!这就是上期的花泡茶的样子!大家知道是什么花了吧?

书接上回!

第三阶段:抑制、根除和恢复(要用“深耕”的态度去刨根问底,不要犯那种“你以为的就是你以为的”错误。只有在确认抑制策略成功后方可实施根除与恢复。)

阶段目标:
全面制定执行抑制策略与步骤,采取措施来根除风险,使信息、资产和基础设施恢复正常运转。

目标时间:
开始于发现信息安全事件的24-  48小时之内,可与调查阶段同时进行。不过根据事件的性质不同,如出现了APT攻击的话,则全面抑制、根除和恢复可能需要数小时或数天的时间。

关键行动:
1. 实施和验证抑制。
a. 回顾取证环节的发现和确认安全事件已被充分调查和评估。
b. 根据发现,以点对点的方式,制定具有“时间点”和“里程碑”的抑制策略。
c. 协调相关人员在避免次生破坏的情况下实施抑制。
d. 监控和评估抑制的有效性,验证是否成功。
e. 如果需要改进抑制策略,则可反复迭代,直至最终确认成功。


2. 实施和验证根除与恢复。
a. 根据抑制报告,逐条列出安全漏洞与弱点,并以点对点的方式制定根除策略。
b. 策略制定过程应具有前瞻性,要充分考虑到类似事件的再次发生、其他攻击方式的应对、根除对将来业务运行的影响等方面。
c.  根除与恢复的内容包括:卸载恶意软件、删除被感染且确认不再可用的文件和文件夹、阻止某个或某段IP地址、禁止对某个URL地址的访问、永久禁用或删除某个帐户、修复/重建/更新操作系统或软件。
d. 监控和评估根除的有效性,验证是否成功。
e. 记录执行的整个过程,并形成报告。

第四阶段:通知和公关/外部通信(这不是你一个人的战场,本阶段是很多技术人员的短板,多数情况下会匆忙应对。记住,作家波西格曾说:仓促本身就是最要不得的态度。当你做某件事的时候,一旦想要求快,就表示你再也不关心它,而想去做别的事。)

阶段目的:
将事件全部过程通知到管理层;从公司形象角度配合公关和外部通信。

目标时间:
从上述的第一到三阶段都可以开始,但要尽早。

关键行动:
1. 识别需要通知到的人群,例如:当事人、受影响的客户或雇员、商业银行、信用卡中心和媒体等。


2. 响应小组与PR或市场部门协作,准备一个完备的计划来减轻事件对客户关系的影响。在事件波及一个以上客户或合作方的时候,注意通信的关联性和次序。


3. 响应小组委派专门人员负责对客户、合作方以及外部调查部门提供技术细节解答和支持。


4. 响应小组根据安全事件,对既定合同中涉及的责任条款予以技术核实,并提供必要的解释。


5. 起草在外部网站上和/或呼叫中心热线电话里发布的官方内容,并为各方提供持续的更新,常见问题解答,进一步沟通方式等。


6. 定期监控呼叫中心收到的电话数量和问题类型,提供必要的改进。


7. 如果安全事件发生在第三方服务提供者处,应从技术层面审查相关合同的责任条款,评估赔偿或其他索赔的权利。

第五阶段:事后工作(乔布斯曾说过:Keep looking. Don't settle.  此阶段就像是砌墙,你堆好了砖头、填进了水泥,但总要再给点时间让水泥风干,以及必要的后期修补,墙才能够结实)

阶段目标:
将安全事件和恢复过程进行最终文档化,在放置复发的同时,以供监管部门的检查和必要的诉讼。

目标时间:
第三阶段完成后,可常规化。

关键行动:
1. 评审上述四个阶段的响应和执行效果,分析与原定计划的偏离部分及其原因,并提出改进方案。


2. 安全团队根据事件所涉及的既定服务级别,标注出需要调整和改进之处。


3. 引导内部相关职能部门开展信息安全方面的自查工作,防止类似事件的复发。


4. 安全团队总结经验教训报告,增强日常的监控、改善事件响应演练、有针对性的对其他部门开展培训和意识增强等工作。

总结

通过对上述五个阶段的详解,您应该能看出,我在此所提出的安全事件响应的新思路主要体现在:

1. 增加 “通知和公关/外部通信”阶段,体现沟通与尽责。

2. 每个阶段设定目标时间,有利于团队在进度上的张弛掌控。

3. 各个阶段都通过审查和验证来确认工作的成效。

4. 通过各种报告来实现雁过留痕。

可见,随着各个行业的国际化和规范化,许多企业的日常运营都会受到监管和披露的要求,所以加强沟通与报告显得尤为重要。我们不要做那头只会低头拉车不会抬头看路的老黄牛。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2017-10-30 10:46:09 | 显示全部楼层
感谢版主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-11-4 21:09:14 | 显示全部楼层
感谢版主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-3-14 15:50:14 | 显示全部楼层
感谢分享!学习一下!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-3-19 20:57:05 | 显示全部楼层
学习了,感谢楼主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-6-19 22:16 , Processed in 0.088643 second(s), 45 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表