Gartner:响应网络安全事件的3个必备工具
从 Gartner 披露的信息来看,2021 年发生的安全事件平均违规成本达到了 17 年以来的峰值。值得注意的是,安全事件中 10%
是由勒索软件引起,预计这一占比将在 2022 年继续增加。为了更好应对网络安全威胁,安全与风险管理领导者必须提前做好准备。
安全风险管理者应对网络风险时,快速、高效、准确的安全工具必不可少。对此,Gartner
强调,制定事件响应计划、编写详细的响应手册、定期进行桌面演练这三个工具至关重要。通过使用这些工具,企业领导者能够快速采取相应的行动,确保企业安全。接下来,本文详细介绍三个工具的建设情况。
** 制定事件响应计划**
现阶段,网络攻击事件频发,一旦遭受网络攻击,企业往往会被打的措手不及。企业应当做到“未雨绸缪,在晴天时修补屋顶”,在安全防御体系建设时,制定应对网络事件的一般性计划。
1. 绘制流程图,有规可循:
公司制定完善的安全响应计划时,应规定一旦出现安全事件时,有可以遵循的详细步骤。事件责任人(或类似角色)则应确保完整实施所有步骤,并以滚动方式跟踪进展和进行沟通。
2. 定义事件严重等级,分类处理:
企业内部的安全部门一旦监测到安全威胁后,应当对所有安全事件进行分类,并确定严重等级。这样有助于优先处理危险系数最高的事件,一层层往下,条理明确的将所有事件逐级处理。
另外,对安全事件分析、分类后,能够更方便的告知利益相关方事件对企业机构的潜在或现实影响。严重等级还能决定被通知对象、升级路径,以及需要使用的手册。
3. 明确职责,各司其职:
网络安全威胁不仅对企业内部安全防御体系是一个重大考验,更挑战内部安全团队的配合。高效、准确、快速的安全事件响应需要团队合作,这时就要求明晰的职责划分,各司其职,相互配合,更好的处理企业突发的安全事件。
RACI 模型能够明确整个企业机构内有关事件响应的所有角色和相应责任。其中,常见的利益相关方包括C-
suite,法务、隐私和人力资源团队。
** 编制详细的响应手册**
企业制定详细的事件响应计划后,清楚了事件处理的流程,清晰了员工职责,但是怎样处理突发的安全事件?还需要制定特定事件类型的详细指南。
1. 编制响应手册
CSIR 团队应该根据常见或影响巨大的事件类型,编制详细的手册。不同于一般性的安全事件响应计划,该响应手册旨在提供更详细的指导和流程。(以勒索软件为例)。
2. 制定勒索软件响应流程
企业应对勒索软件类型的安全事件时,应当绘制勒索软件响应流程和决策树。该流程可用于制定详细的响应程序、明确职责,并制定 CSIR
团队用于指导其响应工作的其他文件。
3. 详细记录响应流程
在处理勒索软件类型的安全事件时,应当与各主题专家(SME)合作,详细记录勒索软件响应流程。其中主要包括具体的指导、工具、示例、设置等,并应明确每个步骤的责任方。
** 定** ** 期进行桌面演练**
企业怎样检验内部安全防御体系的效果?当然是通过定期的桌面演练了。工作中,制定多部门配合的演练方案,进行事件响应计划常规测试。
1. 设置议程并邀请参与者
事件响应桌面演练应涉及整个企业机构的领导层和决策者,需要多部门协同合作,共同演练。成功的桌面演练要确定具体的目标,并高度结构化,能够涵盖预先确定好的情景。
2. 设定事件情景和场景:
要想实现最高效的网络安全桌面演练,其结构应该设置为一个初始情景(例如,恶意软件),并跟随一系列为事件增加新信息的场景。这种结构复刻了真实事件的不确定性变化。
3. 设计具有挑战性的事件场景
桌面演练应该复制利益相关方在实际攻击中必须解决的挑战性问题。以勒索软件攻击为例,在桌面演练中,参与者需对攻击者的赎金要求做出反应。
设计要点如下:
目前,企业支付赎金后,需要考虑以下几点。只有 65% 的数据能够恢复,且只有 8%
的企业机构能够恢复所有数据;加密文件通常无法恢复;攻击者提供的解密工具可能崩溃或失败;复数据可能需要几个星期;不能保证黑客会删除被盗数据,如果信息有价值,他们可能在以后出售或披露这些信息;支付赎金可能比从备份中恢复数据更容易且更便宜,但这只会鼓励犯罪行为;在某些情况下,支付赎金甚至可能违法。
这时候,需要企业领导者权衡是否为勒索软件支付赎金了。
** 总结:**
现阶段,企业面临的网络安全威胁日益增长,需要加强内部防御体系建设,以确保自身的网络安全。另外,企业同样需要制定完善的响应计划,明确规定安全事件的处理流程、员工职责和应对策略,及时处理突发的安全事件。
最后,日常的模拟演练同样不可或缺,只有充分熟悉应对网络安全事件的流程,才能做到应对时的游刃有余!
参考文章:
https://mp.weixin.qq.com/s/U85aYxe0AYVqndBBNf_Tpg
应对时的游刃有余!
参考文章:
https://mp.weixin.qq.com/s/U85aYxe0AYVqndBBNf_Tpg
最后
分享一个快速学习【网络安全】的方法,「也许是」最全面的学习方法:
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
想要入坑黑客&网络安全的朋友,给大家准备了一份:282G全网最全的网络安全资料包免费领取!
扫下方二维码,免费领取
有了这些基础,如果你要深入学习,可以参考下方这个超详细学习路线图,按照这个路线学习,完全够支撑你成为一名优秀的中高级网络安全工程师:
高清学习路线图或XMIND文件(点击下载原文件)
还有一些学习中收集的视频、文档资源,有需要的可以自取:
每个成长路线对应板块的配套视频:
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
因篇幅有限,仅展示部分资料,需要的可以【扫下方二维码免费领取】