今年,企業將在損失控制成本上花費超過8萬億美元,而風險管理不善將導致重大財務損失。 不幸的是,鑑於當前線上生態系統面臨的挑戰,作為合作核心的政策制定和意識建設的傳統方法如果不協同工作,就會分崩離析。
在本文中,我們將探討在網路安全事件中實現協作的首要考慮因素、良好協作的細微差別以及對組織的好處。
雖然在網路安全事件中協作的必要性是顯而易見的,但用於實現協作的手段和方法通常需要一種更清晰、標準化的方法,這需要基於一些關鍵決策的綜合戰略來支援。 這些決策必須考慮到每個網路安全事件調查複雜性的三個特徵。
1.網路安全事件的二級或三級影響網路安全事件的影響超出了最初的違規行為。 想想暴露的無數資料記錄,或者幾天或幾周的生產力損失,或者影響收入和***的業務和聲譽損失。 這些是網路安全攻擊對大型組織的二階和三階影響,有時比初始事件本身更具災難性。
旨在應對任何事件的流程應同樣關注二階及以上的影響,而不僅僅是堵塞漏洞。 除了為穩健的事件管理而制定的核心流程工作流和協議外,還應在此規劃階段完成工作。
2.動態攻擊面由於網路配置錯誤或惡意軟體入侵計算機而導致的事件時有發生,而社會工程技術進一步增加了此類攻擊的可能性。 因此,組織經常受到來自外部或內部的攻擊,影響任何職能或業務部門。 因此,參與事件管理的關鍵利益相關者應該代表組織結構中的跨職能層次結構,而不是只有網路安全調查技能的孤立團隊。
3.採用技術的風險作為使用者日常工作流的一部分,安全事件始終是系統與使用者之間互動的結果。 在某些情況下,例如電子郵件,由於每個人都有乙個電子郵件位址,因此威脅的範圍適用於整個組織。 組織在選擇網路安全工具和技術時必須謹慎,以確保不會為威脅開啟另一條戰線。 最好專注於利用技術來自動化流程,從而加快事件管理工作,並提供有價值的見解,以提前防範威脅。
協作的關鍵決策圍繞著建立高效的流程和協議、選擇正確的利益相關者以及選擇正確的工具和技術來阻止事件並快速防禦潛在威脅。 當發現網路安全事件時,團隊通常會分成多個團隊,從第一響應者開始,然後是處理對組織資產、客戶和其他領域的影響的特定領域響應團隊。 這些團隊之間的協作分為四個階段。
第 1 階段:控制在這一點上,團隊的主要目標是控制事件造成的損害。 這需要第一響應小組進行初步評估,以確定事件的原因、嚴重程度和程度。 根據初步評估報告,通知專業響應團隊並開始檢查組織的各個領域(例如 IT、運營、法律和合規性),以確定攻擊的程度、受影響的系統和資料以及對組織的潛在影響。 這些小組還負責提高工作人員對事件的認識,並在隨後的階段尋求志願者的幫助。
第 2 階段:隱瞞隱蔽階段的特點是在響應小組之間共享特定資訊。 它是事件響應計畫的基礎,旨在確定根本原因並收集相關資料以了解傳播情況。 根據事件響應計畫,團隊必須調動資源,通過關閉受影響的系統、隔離受損資產和實施緩解措施來隱藏攻擊面。
第 3 階段:解釋到目前為止,您可能已經採取了足夠的措施來防止事件造成進一步的損害。 在構思階段,進行徹底的調查,以破譯整個事件鏈及其第一、第二和後續影響。 最終目標是制定和執行事件補救計畫,其中可能包括從備份中恢復系統、修補漏洞或實施其他安全措施。
第 4 階段:征服事件得到補救後,工作還沒有結束。 響應團隊將齊聚一堂進行事後審查,並評估響應過程以減輕任何進一步的影響。 最重要的是在這個階段從錯誤中吸取教訓,防止將來發生類似事件。 這包括根據從這一特定事件中吸取的經驗教訓進行審計和更新現有流程和協議。
雖然協作在處理網路安全事件中的重要性是不可否認的,但要將這種文化融入組織的 DNA 需要付出一些努力。 一些最佳實踐可以幫助確保協作繼續進行並順利執行。
其中一種策略是保留事件日誌。 它可以用作網路安全事件響應演習中模擬事件協作的藍圖。 此類演習還可以與從威脅情報平台獲得的資料一起組織,以促進在識別潛在威脅時進行協作。
最後,必須通過定期對員工進行事件處理培訓,使他們了解組織流程的最新情況,從而使協作成為一種泛組織責任。 這將使他們能夠在危機時期快速有效地做出反應,從而最大限度地減少事件響應團隊的負擔。