Gartner | 响应网络安全事件的3个必备工具

近日,Gartner发布了响应网络安全事件工具手册,提醒企业安全与风险管理者未雨绸缪,提前做好应对网络安全事件的准备。
2021年的平均违规成本达到了17年以来的峰值,10%的破坏事件由勒索软件引起——这一数字比2020年高出一倍。——《IBM 2021年数据泄露成本报告》

近日,Gartner发布了响应网络安全事件工具手册,提醒企业安全与风险管理者未雨绸缪,提前做好应对网络安全事件的准备。以下是Gartner本次强调的三个必备工具。

01

▌制定事件响应计划

应对网络事件的一般性计划

▶ 绘制响应流程图

事件响应计划应规定事件发生时需有序遵循的详细步骤。事件责任人(或类似角色)则应确保完整实施所有步骤,并以滚动方式跟踪进展和进行沟通。

▶ 定义事件严重等级

所有的安全事件都必须进行分类并确定严重等级。这有助于指导事件升级、明确服务级别协议,并以其他方式告知利益相关方事件对企业机构的潜在或现实影响。严重等级还能决定被通知对象、升级路径,以及需要使用的手册。

 明确职责

高效的事件响应需要团队合作。RACI模型能够明确整个企业机构内有关事件响应的所有角色和相应责任。其中,常见的利益相关方包括C-suite,法务、隐私和人力资源团队。

02

▌编制详细的响应手册

处理特定事件类型的详细指南

▶ 编制响应手册

CSIR团队应该根据常见或影响巨大的事件类型(如本例所示的勒索软件)编制详细的手册。该响应手册旨在提供详细的指导和流程,不同于一般性的安全事件响应计划。

▶ 制定勒索软件响应流程

绘制勒索软件响应流程和决策树。该流程可用于制定详细的响应程序、明确职责,并制定CSIR团队用于指导其响应工作的其他文件。

▶ 详细记录响应流程

与各主题专家(SME)合作,详细记录勒索软件响应流程。其中应包括:具体的指导、工具、示例、设置等,并应明确每个步骤的责任方。

03

▌定期进行桌面演练

实施事件响应计划的常规测试

▶ 设置议程并邀请参与者

事件响应桌面演练应涉及整个企业机构的领导层和决策者。而成功的桌面演练要确定具体的目标,并高度结构化,能够涵盖预先确定好的情景。

▶ 设定事件情景和场景

要想实现最高效的网络安全桌面演练,其结构应该设置为一个初始情景(例如,恶意软件),并跟随一系列为事件增加新信息的场景。这种结构复刻了真实事件的不确定性变化。

▶ 设计具有挑战性的事件场景

桌面演练应该复制利益相关方在实际攻击中必须解决的挑战性问题。

利用塞讯验证的安全度量验证平台,您可以选择预设的勒索软件验证场景,它包含了基于勒索软件的不同攻击阶段的不同攻击手法,包括侦察、初始访问、恶意DNS请求、C&C回连、信息收集、横向移动、数据上传、恶意文件投放、勒索软件执行等。
这些阶段包含塞讯验证安全实验室收集到的所有类型的勒索软件的行为,完全一比一真实模拟不同勒索软件全部的攻击手法与恶意样本,您也可以基于这些攻击手法和阶段自定义你需要包含的阶段和类型。
 

最终可以持续验证您在防勒索软件传播和防勒索软件执行的各种安全手段,确保它们可以持续保持较高的防御能力,同时也可以让事件响应团队对这些模拟的攻击进行响应、溯源、分析,确保他们的响应流程是正确有效的,并锻炼溯源、分析的能力,从而有效地应对未来可能出现的同类型事件。

| 参考来源
https://mp.weixin.qq.com/s/U85aYxe0AYVqndBBNf_Tpg