本節概述了基本響應計劃的組成部分,分解了在實踐中應如何管理事件。這將能夠制定自己的量身定制的計劃。
無論組織是 10 人還是 10,000 人,制定有關如何處理事件的指南都將幫助組織在真實事件的壓力下做出正確的決策。
花時間制定計劃將確定事件處理能力的差距。
制定事件響應計劃是實現穩健有效的事件管理和技術響應能力的關鍵一步。
內容
制定事件響應 (IR) 計劃
事件管理 (IM)
事件分類
事件分類
上報和決策
核心技術響應
事后審查
劇本和監管問題
事件響應 (IR) - 制定您的計劃
您的網絡安全事件響應計劃應該是事件處理過程的起點。
基本的事件響應計劃應包括:
主要聯系人
IR 團隊/提供商、IT、高級管理人員、法律、公關、人力資源、保險。 始終考慮人員無法聯系的風險 - 理想情況下,包括至少 2 種聯系方式和 2 個或更多人(或組)詳細信息。
升級標準
隨著關鍵決策的過程
基本流程圖或流程
這應該涵蓋整個事件生命周期
至少一個會議號
這應該始終可用于緊急事件呼叫
有關法律或監管要求的基本指南
何時尋求法律支持、人力資源或遵循仔細的證據收集指南
這是一個基本的計劃,討論的大多數主題和信息都應記錄在組織的 IR 計劃中(或旁邊)。
增強 IR 計劃,請注意包括:
在緊急情況下可以輕松使用的簡單清單
用于記錄和跟蹤事件 以及事件后審查的表格,以確保捕獲所有關鍵要素
包括有關 IR 階段的 更多詳細信息以及有關控制、分析、補救和從事件中恢復的更多技術指導
特定類型事件的劇本/指南
除了 IR 計劃外,應該有相互關聯的業務連續性、災難恢復和通信計劃(包括內部 和 外部通信)。
事件響應 - 高級流程
下圖提供了一個高級事件響應流程的示例,其中的指導說明為紅色。
事件管理 - 通訊、監督、跟蹤和記錄
事件管理匯集了指導、通知和支持整體的協調功能響應過程,包括多個方面,包括:
跟蹤、記錄、分配和關聯所有發現、任務和通信。請注意,在隨后可能由監管機構或法院審查的情況下,仔細跟蹤整個響應非常重要。這包括真實或潛在的數據泄露和犯罪活動。
安排定期更新會議或電話,以及相關團隊的參與
將嚴重事件上報給高級管理層
確保適當地傳達事件(向團隊、更廣泛的業務、其他利益相關者)
確保涵蓋從最初發現到關閉的整個事件生命周期。
*在發生敏感事件或由于網絡/電子郵件/電話系統中斷而無法使用正常渠道時,請考慮安全或替代通信的選項。
清晰度至關重要
了解每個人的角色和職責對于確保事件得到管理和成功處理至關重要。
無論涉及誰,都必須有一個協調的中心點,以確保所有調查結果相互關聯并計劃行動。
創建網絡安全事件響應團隊中顯示了一組事件響應團隊角色示例。
仔細記錄事件響應、做出的決定、采取的行動、捕獲(或丟失)的數據對于事后審查非常有用。如果需要向監管機構提供回應證據,則尤其如此。
分類 - 了解事件的類型和嚴重性
了解事件的類型和嚴重性可以確定響應有多緊急,還使組織能夠確保從一開始就涉及正確的人員。
評估事件時需要考慮兩個方面:嚴重性和類別或類型。
通常根據以下情況考慮嚴重性:
1、可用性數據或系統的可用性是否受到影響?(即對業務產出有什么影響?)
2、保密敏感數據是否被訪問、泄露或竊取?
3、正直數據或系統是否已被更改以致無法信任?
綜上所述,應考慮問題的規模、涉及的系統或數據類型以及事件的實際后果。
在量化影響時,擁有詳細說明所有關鍵資產和數據的完整文檔會有所幫助。
嚴重性矩陣
為了幫助組織評估事件的嚴重性,請創建一個示例結果矩陣,按嚴重性進行評級。這些將有助于了解事件響應的嚴重程度、需要參與的人員以及響應是否需要優先于其他活動。
下面是一個示例嚴重性矩陣。應該仔細考慮什么對業務最重要,并根據組織定制示例列:
嚴重性例子
危急
超過 80% 的員工(或幾個關鍵員工/團隊)無法工作
沒有已知解決方案的關鍵系統離線
敏感客戶或個人數據的高風險/明確泄露
?[TBC] 的財務影響
嚴重的聲譽損害 - 可能會長期影響業務
高的
50% 的員工無法工作
泄露個人或敏感數據的風險
非關鍵系統受到影響,或關鍵系統受到已知(快速)解決方案的影響
?[TBC] 的財務影響
潛在的嚴重聲譽損害
中等的
20% 的員工無法工作
可能泄露少量非敏感數據
聲譽風險低
少數非關鍵系統受到已知分辨率的影響
低的
影響最小(如果有的話)
一兩臺非敏感/非關鍵機器受影響
<10% 的非關鍵員工暫時受到影響(短期)
事件的分類
應該確定面臨的事件類型。一些例子包括:
惡意代碼:網絡上的惡意軟件感染,包括勒索軟件
拒絕服務:通常會導致網站大量流量癱瘓,可能適用于電話線、其他面向 Web 的系統,在某些情況下也適用于內部系統。
網絡釣魚:試圖說服某人信任鏈接/附件的電子郵件。
未經授權的訪問:未經授權的人(內部或外部)訪問系統、賬戶、數據——例如訪問某人的電子郵件或帳戶。
內部人員:員工的惡意或意外行為導致安全事件。
數據泄露:丟失/被盜的設備或硬拷貝文件、未經授權的訪問或從網絡中提取數據(通常與上述一些相關聯)。
有針對性的攻擊:專門針對企業的攻擊 - 通常是由老練的攻擊者發起的(通常包括上述幾個類別)。
類別矩陣
與嚴重性一樣,創建不同類別的矩陣非常有用。
可以通過在每個類別旁邊添加不同嚴重性事件的示例來增強這一點。這將有助于指導和告知回應。
圖片
上報 - 決策和權力
升級
通常,矩陣用于確定事件的嚴重性或優先級。嚴重性級別將告知需要多快處理事件以及可能需要將其上報給誰。
例如,一個高危或危急的事件很可能總是需要上報到 CIO 或董事會級別。低優先級事件很可能由 IT 安全團隊單獨處理。應該記錄上報聯系人是誰,以及他們的聯系方式(包括非工作時間)以及上報需要多快發生。
當局
升級到的人必須有權做出關鍵決定。例如,當決策可能導致重大業務影響時,例如使關鍵服務或系統脫機。
確定有權(或擁有授權)做出此類決定的人員,并確保上報流程酌情包括這些關鍵人員。如果主要聯系人不可用,考慮代理和使其他人能夠做出決定的流程也很重要。
除了通用指南之外,確定技術團隊應根據最高業務風險自主行動的特定情況以及早期采取遏制措施可能會減少特定事件的影響的特定情況可能很有用。
核心響應 - 事件響應周期
技術響應能力中詳細考慮了分析、遏制、修復和恢復四個核心響應階段。
但是,此處提供了每個階段的簡要說明。
分析
遏制/緩解
修復/根除
恢復
在整個響應過程中,應跟蹤所有任務和發現。調查結果和分析應該相互關聯,重新確定響應行動的優先級。
在某些情況下,響應需要升級或降級。
事件后審查和關閉 - 從事件中學習
事后審查應包括:
事件本身的教訓
是否有安全改進可以防止事件發生或啟用早期檢測?
考慮可以防止或檢測到此事件的戰術修復以及可能只能在多個事件中識別的戰略解決方案。例如,無效的治理流程導致通過以前未記錄的、面向互聯網的資產進行多次入侵。
特別是,是否有任何信息對您的回答有很大幫助,但很難或不可能獲得?制定計劃,在未來發生任何攻擊之前收集這些數據。
回應的教訓
響應是否成功且有效?
有沒有可以更好地處理的元素?
是否有可能有用但不可用的數據(例如,正確的日志,或在響應早期被覆蓋的內容?)。保留響應期間活動的記錄將有助于此審查。
問題
應該跨人員、流程和技術能力考慮這些問題。
例如:
是否有相關數據和工具可用于進行分析?
流程和溝通是否運作良好?
是否有合適的人參與并有權做出必要的決定?
劇本
劇本(或運行手冊)是詳細的響應計劃,通常側重于特定的事件類型。
典型的劇本示例包括“惡意軟件感染”、“網絡釣魚電子郵件”、“數據泄露”等。
我們建議從前 3-5 種最有可能和高風險的事件類型開始。要確定這些是什么,請查看之前影響組織的事件,并利用與您所在行業和所在國家/地區相關的威脅情報和一般網絡安全新聞。
還應該考慮那些適用于全球的威脅,例如主要的勒索軟件攻擊。
至少,應該記錄一組簡單的說明,這些說明至少涵蓋每個事件的前幾個小時,因為這些可能是最關鍵和時間緊迫的。
手冊說明應包括:
與誰聯系 - 技術團隊、供應商、高級管理人員,以及在需要時何時與法律、人力資源、公關聯系
如何理解/分類事件(與此類事件相關的細節)
減少影響/防止進一步影響的指南 - 特定類型的遏制或緩解行動
必要時保留證據或數據的步驟
增強的劇本
還可以包括更多的事件類型和額外的指導階段。例如,關于分析、如何完全補救和從事件中恢復、如何以及何時關閉以及如何執行事件后審查的指導。
應該考慮法律、媒體和監管方面的問題。或者,IR 團隊的劇本可能只包含有關何時與這些團隊合作的指導,他們可能在這方面有自己的詳細指導。
如果合適,還可以在事件管理和編排系統中實施和嵌入劇本。
法律和監管要求
無論業務類型如何,位于英國或歐盟或在英國或歐盟開展業務,都需要遵守GDPR和DPA法規。在中國,則需要遵守《網絡安全法》《數據安全法》等法律法規。
幾乎所有組織都將保存員工及其客戶的個人數據。該行業可能還有特定的監管要求,并且可能存在基于任何合同協議的特定客戶報告要求。
這方面的最低準備工作應包括參與法律咨詢和記錄:
根據企業持有的數據類型和數量(包括供應商持有的任何數據),什么構成可報告事件
何時以及如何獲得法律支持
需要額外的步驟。例如,保存證據或記錄所采取的行動
為了進一步改善這一點,還應考慮以下幾點:
創建可用于任何監管報告的表格
舉辦研討會,重點關注援引法律/監管要求的場景,并演練適當的步驟
執法和取證
如果決定進行任何法律訴訟(例如起訴犯罪分子),則還需要聘請相關執法機構。這(以及任何民事案件)可能需要謹慎處理證據。
