什麼是事件回应?
事件回应 (IR) 是識別、修復和從安全事件中恢復的做法。 組織應該有 IR 策略和團隊,以確保對潛在的網絡攻擊快速、正確的響應。
事故應變服务的需求
網絡攻擊正在增加,對各行業的各種規模的公司構成威脅。 任何組織都可能成為资料外洩或勒索软体攻擊的受害者,並且需要擁有有效管理网路安全事件所需的工具和流程。
事件回应非常重要,因為它允許組織確定事件的範圍和影響,並採取措施來修復事件。 事件回应人員將調查入侵,控制和修復受感染的系統,並在消除威脅後恢復正常操作。
如果組織準備妥善處理资料外洩或其他网路安全事件的成本,事件回应可能會對资料外洩或其他网路安全事件的成本產生巨大影響。
事件回应階段
事件回应的目標是讓組織從對潛在的入侵(除其存在之外)的少或完全無知道,進而完成修復。
实现这个目标的过程分為六个主要阶段:
- 準备:準備是有效事件回应,並將网络安全事件的成本和影響降到最低的關鍵。 為了準備事件回应,組織應建立事件回应小組,並定義並測試一個事件回应計劃,其中概述如何處理事件回应程序的每個階段。
- 检测和分类:事件回应首先對事件進行分類,以確保它是网路安全事件,在採取遏制行動之前收集和保存任何可用的證據,並分配正確的分類和優先級,以確保組建资源充足的團隊。
- 遏制:安全團隊使用前一階段收集的信息,並可能使用有關網路攻擊技術的情報來製定遏制計劃。 遏制可能涉及隔離一個或多個系統、應用防火墙規則或 IDS 簽章、為端点保護产物添加雜湊值、停用帳戶或隔離整個網路。 目標是減少事件造成的損害,並確保網路或系統不會進一步受到損害。
- 补救/消除:在过程中的這個階段,事件回应小組已進行了完整的調查,並認為它對發生的事情已完全了解。 然後,事件應變人員會努力移除受入侵的系統中的所有感染痕跡。 這可能包括恶意软体删除和持久性机制的删除,或从乾净的备份中完全擦除和还原受影响的电脑。
- 恢復时间:根除後,事件回应團隊可能會掃描或監視受感染的系統一段時間,以確保恶意软体已完全消除。 完成此操作後,電腦將透過解除與公司網路其他部分的隔離來恢復正常運作。
- 学习的经验:网络安全事件發生是因為出現問題,重要的是要記住,事件回应並不總是完美的。 事件得到補救後,事件回应者和其他利害關係人應進行回顧,以確定事件回应計畫中可以修復的安全缺口和缺陷,以減少未來事件發生的可能性並改善未來的事件回应。
事件类型和網路威脅
組織面臨各種安全事件。 一些最常見的事件類別包括:
雖然這些技術中的許多技術都有共同目標(例如竊取企業數據),但它們通過各種方式實現這些目標,並對企業系統產生不同的影響。 組織應針對這些安全威脅,以及預期遇到的任何其他安全威脅制定事件應變計劃。
事件回应流程與技術
事件回应策略的一些關鍵要素包括:
- 事件减少:確保有安全控制,以減少組織發生的事件數量,是任何事件響應團隊的目標。 一直會有事故,這就是為什麼準備和測試控制以及計劃應對將有助於減少事件的影響以及網絡事件數量的原因。
- 事件调查技巧:組織越快地確定安全事件的原因和詳細信息,就越快就可以隔離和修復。 定義調查安全事件的程序有助於支持快速修復,並確保事件不會被錯誤分類或忽略。
- 事件回应手冊:勒索软体攻擊和 DDoS 攻擊是截然不同的威脅,需要獨特的回应。 組織應該有手冊來處理主要类型的安全事件,確保事件響應人員不會感到困惑,並嘗試找出在網絡攻擊中該怎麼做。
- 事件响应技术和工具:為了執行事件侦测和應變活動,安全分析師需要存取某些工具和技術。 在定義這些流程並確定關鍵能力之後,組織可以取得並訓練事件回应人員,瞭解支援企業事件回应活動所需的工具。
黑料不打烊 事件回应服务
大多數組織(不論規模和行業為何)都將成為網絡攻擊的目標,並會遇到安全事件。 發生這種情況時,即時封鎖和補救活動對於最大程度地減少組織中斷和安全事件的總成本,至關重要。
但是,許多組織缺乏有效事件回应所需的资源和技能。
黑料不打烊 事件回应全天候 (24x7x365) 為遭遇安全事件的組織提供協助。 如果您的組織遭受網絡攻擊,請通過我们的热线联繫。 黑料不打烊 也提供主動式服务,協助組織管理未來安全事件的風險。 如需有關您將獲得的福利的更多信息,。
