近日,Gartner发布了响应网络安全事件工具手册,提醒企业安全与风险管理者未雨绸缪,提前做好应对网络安全事件的准备。以下是Gartner本次强调的三个必备工具。
01
▌制定事件响应计划
▶ 绘制响应流程图
▶ 定义事件严重等级
所有的安全事件都必须进行分类并确定严重等级。这有助于指导事件升级、明确服务级别协议,并以其他方式告知利益相关方事件对企业机构的潜在或现实影响。严重等级还能决定被通知对象、升级路径,以及需要使用的手册。
▶ 明确职责
高效的事件响应需要团队合作。RACI模型能够明确整个企业机构内有关事件响应的所有角色和相应责任。其中,常见的利益相关方包括C-suite,法务、隐私和人力资源团队。
02
▌编制详细的响应手册
处理特定事件类型的详细指南
▶ 编制响应手册
CSIR团队应该根据常见或影响巨大的事件类型(如本例所示的勒索软件)编制详细的手册。该响应手册旨在提供详细的指导和流程,不同于一般性的安全事件响应计划。
▶ 制定勒索软件响应流程
绘制勒索软件响应流程和决策树。该流程可用于制定详细的响应程序、明确职责,并制定CSIR团队用于指导其响应工作的其他文件。
▶ 详细记录响应流程
与各主题专家(SME)合作,详细记录勒索软件响应流程。其中应包括:具体的指导、工具、示例、设置等,并应明确每个步骤的责任方。
03
▌定期进行桌面演练
实施事件响应计划的常规测试
▶ 设置议程并邀请参与者
事件响应桌面演练应涉及整个企业机构的领导层和决策者。而成功的桌面演练要确定具体的目标,并高度结构化,能够涵盖预先确定好的情景。
▶ 设定事件情景和场景
要想实现最高效的网络安全桌面演练,其结构应该设置为一个初始情景(例如,恶意软件),并跟随一系列为事件增加新信息的场景。这种结构复刻了真实事件的不确定性变化。
▶ 设计具有挑战性的事件场景
桌面演练应该复制利益相关方在实际攻击中必须解决的挑战性问题。
最终可以持续验证您在防勒索软件传播和防勒索软件执行的各种安全手段,确保它们可以持续保持较高的防御能力,同时也可以让事件响应团队对这些模拟的攻击进行响应、溯源、分析,确保他们的响应流程是正确有效的,并锻炼溯源、分析的能力,从而有效地应对未来可能出现的同类型事件。