网络事件的范围可以从轻微的停电到全面的网络攻击。无论事件规模如何,制定明确的指导方针都可以帮助组织制定有效且标准化的响应计划。
系统管理、审计、网络和安全 (SANS) 研究所是提供网络安全培训、研究和认证的领先组织之一。他们在该领域数十年的经验使他们在 2012 年发布了他们的网络安全框架,即事件处理手册。自发布以来,SANS 框架已被公认为最全面的事件响应方法之一,并已被全球许多有影响力的组织实施。
以下是 SANS 框架的事件响应过程的六个步骤:
一、准备
准备工作就是让您的团队准备好尽可能快速有效地处理事件。当您采取的每一步都可能影响结果时,准备并制定应对计划将使世界变得不同。
准备过程涉及制定政策,这些政策是明确的书面原则或实践。然后将这些策略纳入响应计划,以指导您的组织在整个事件中的行动。响应计划的很大一部分是事件的优先级,这应该基于业务影响。高影响事件更有可能引起高层管理人员的注意。
二、鉴别
识别过程通常涉及从日志文件、入侵检测系统和其他来源收集信息,以确定是否存在偏离规范的情况。请记住,偏差并不一定意味着事件。非 IT 员工也可以帮助识别事件,主要是当他们的系统行为异常时。
三、遏制
确定事件后,重点应转向控制和最小化其影响。这个阶段有几个步骤:
1. 短期遏制
此步骤的主要目的是最大程度地减少事件并阻止它造成进一步的损害(例如,将受感染的设备与组织的网络断开连接)。
2. 系统备份
在擦除受影响的系统之前,有必要拍摄一张显示系统在感染期间的状态的取证图像。法医图像可以在刑事案件中派上用场,并防止将来发生类似的事情。
3. 长期遏制
最后一步是临时修复受影响的系统,以便可以使用它并防止生产暂停。这可以通过安装安全补丁和其他措施来防止未来升级。
四、根除
根除是擦除系统以删除任何恶意内容的阶段。这通常是通过使用系统在生产中使用之前的原始磁盘映像重新构想系统来完成的,“新”系统应配备足够的工具和强大的安全措施,以防止未来的攻击。
五、恢复
恢复过程将使受影响的系统重新投入生产,但只有在仔细测试、监控和验证它们不会导致再次感染之后。必须拥有必要的工具来测试、监控和验证系统,以确保其功能齐全且干净。系统的用户应该有一个设定的测试周期,以及恢复操作的时间和日期。
六、得到教训
SANS 框架的最后阶段只能通过前五个阶段的持续和详细的文档来实现。然后可以将文档编译成一份报告,总结事件并回答事件发生的时间、原因和方式。该报告的主要目标是帮助组织从事件中吸取教训。它可以帮助提高员工绩效,并成为未来类似事件中的参考点。最好召开一次经验教训会议,简明扼要地总结事件并概述未来的行动方案。
文章链接: https://www.mfisp.com/9021.html
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
