В статье «Улучшение потенциала в чрезвычайных ситуациях 7 — общее резюме и улучшение» упоминается, что при построении операций по обеспечению безопасности предприятия оно обычно проходит три этапа развития: использование ручного труда или охранных компаний для предоставления услуг, стандартизация обработки инцидентов безопасности. и автоматический ответ:
В этой серии статей основное внимание будет уделено распространенным инцидентам безопасности и стандартным методам их устранения, а именно: СОП по обработке инцидентов безопасности.
Из-за ограниченности платформы и личного видения автора, хотя обобщенная СОП претерпела множество повторных операций, обобщений и доработок, в ней все равно будут ошибки или недостатки. Пожалуйста, не стесняйтесь просветить меня, как других читателей. первоначальное намерение поделиться.
Обзор инцидентов безопасности
Здесь мы цитируем определение из «Национального плана действий в случае инцидентов в области кибербезопасности». Инциденты в области кибербезопасности относятся к ущербу, причиненному сетям и информационным системам или содержащимся в них данным из-за человеческого фактора, дефектов или сбоев программного и аппаратного обеспечения, стихийных бедствий и т. д., и имеют последствия. Негативное воздействие на общество можно разделить на инциденты вредных программ (MI), инциденты сетевых атак (NAI), инциденты уничтожения информации (IDI), инциденты безопасности информационного контента (ICSI), отказы оборудования и объектов (FF), катастрофические инциденты ( DI) и другие инциденты (OI), это более официальные методы классификации. В реальной работе они более дифференцированы в зависимости от организационных функций или содержания работы. Например, в отделе безопасности есть группа по борьбе с вторжением и группа по безопасности данных, которые соответствуют ежедневным операциям по инцидентам сетевой безопасности и инцидентам безопасности данных.
1.2 Принципы классификации инцидентов
1.3 операции по инцидентам безопасности
Для инцидентов безопасности, вызванных внешними атаками, необходимо провести углубленный анализ каждого инцидента, чтобы найти недостатки и внести улучшения. Однако инциденты безопасности, вызванные инсайдерами, от мониторинга возникновения до последующих операций, представляют собой операции с одним событием, которые имеют ограниченный защитный или предупреждающий эффект. Чтобы еще больше увеличить влияние инцидента, мы проводим унифицированное управление инцидентами безопасности хостов и данных, создаем механизм расчета и пропаганды оценки рисков безопасности на уровне департаментов, а также организуем отдельных лиц и отделы, которые нарушают правила, для участия в красных линиях безопасности. обучение по вопросам безопасности и экзамен для снижения вероятности повторного правонарушения.
02
—
Обработка инцидентов безопасности
В соответствии с требованиями «отвечает тот, кто отвечает, несет ответственность тот, кто управляет, несет ответственность тот, кто ее использует», бизнес-отдел, отдел пользователей и операционный отдел информационной системы являются отделами, непосредственно ответственными за координацию и распоряжение. информационной системы, а руководитель отдела является первым ответственным лицом. Все отделы должны хорошо координировать и взаимодействовать во время утилизации, внедрить систему ответственности за работу по утилизации на основе разделения труда и сотрудничества, а также обеспечить выполнение обязанностей.
При возникновении инцидента кибербезопасности, требующего межведомственной координации, все подразделения должны работать вместе в соответствии с принципом «сначала решение проблем, потом процедуры», чтобы стремиться к быстрому восстановлению системы и минимизации потерь.
В соответствии с разными уровнями событий должны быть установлены разные требования к времени реагирования, сводному обзору, поощрениям и наказаниям:
При возникновении информационного инцидента первостепенной задачей является своевременная остановка потерь и быстрое восстановление бизнеса. Своевременное прекращение убытков включает контроль или устранение неблагоприятных последствий, вызванных инцидентом. Восстановление бизнеса должно основываться на реальных сценариях и снова предоставлять услуги после того, как инцидент будет эффективно локализован или устранен. никто не должен сдерживать или разрешать в соответствии с Процессом Все операции по утилизации представляют собой стандартные действия, которые можно разделить на пять общих этапов.
При получении информации о тревоге сотрудники службы безопасности на переднем крае должны оценить информацию и выполнить ее в соответствии с соответствующей СОП. Однако информация о тревогах поступает из широкого круга источников, включая отзывы внутреннего и внешнего персонала компании, различные тревожные сигналы от датчиков, уведомления от вышестоящих надзорных подразделений и поступления в Центр реагирования на чрезвычайные ситуации (SRC). Все инциденты, связанные с безопасностью, регистрируются. сначала обрабатывается сотрудниками службы безопасности, работающими на переднем крае. Если в процессе обработки проблемы обнаруживаются или возникают сомнения, они передаются на вторую линию, а вторая линия инициирует углубленные меры реагирования безопасности в зависимости от фактической ситуации.
Анализ событий – это весь процесс утилизации Ключевым моментом также является сложность,В Безопасность существует множество типов событий.,Более серьезное испытание способностей эксплуатационного персонала службы безопасности.,С точки зрения фактического содержания оперативной работы и управления рисками,Разделите события безопасности в зависимости от сложности обработки:
После анализа и оценки инцидента безопасности необходимо сделать предварительное заключение об инциденте и сообщить о нем соответствующим руководителям или организациям безопасности на разных уровнях, чтобы получить больше ресурсной поддержки и принятия решений, а также способствовать более тщательному рассмотрению инцидента. быстро
Инциденты безопасности рассматриваются в основном с трех аспектов: отслеживание и сбор доказательств, внешние связи с общественностью, а также остановка потерь и восстановление бизнеса.
Каждый инцидент должен стать возможностью для возрождения системы безопасности и построения более безопасной сетевой среды. Углубитесь в причину инцидента, проверьте механизм защиты, протестируйте стратегию мониторинга безопасности и проанализируйте ситуацию, основываясь на анализе и кратком изложении инцидента, выведите отчет об инциденте. Более важным является не только причина. инцидента, но и ряд последующих улучшений, которые могут улучшить текущий уровень. Ниже приведен шаблон отчета об инциденте безопасности:
сеть Обработка инцидентов безопасностилист отчета
название события | |||||
---|---|---|---|---|---|
Идентификатор события | уровень события | ||||
Дата отчета | обнаружить источник | ||||
Обзор воздействия | Уровень воздействия события | ||||
Описание внешних воздействий: Описание внутренних воздействий: | |||||
Информация о системе | |||||
Системный IP | Продолжительность воздействия | ||||
ответственное лицо | Ответственный за команду | ||||
критическое время события | |||||
время открытия | |||||
Время первоначальной проверки безопасности | |||||
Время исправления ошибок | |||||
Время проверки безопасности | |||||
процесс обработки инцидентов | |||||
Процесс утилизации | Этапы утилизации | Участники | |||
1 | |||||
2 | |||||
анализ воздействия | |||||
юридические последствия | никто | ||||
влияние на бизнес | никто | ||||
Влияние данных | |||||
риск безопасности | никто | ||||
другой | никто | ||||
Анализ причин | |||||
Классификация причин | □Оборудование и средства □Прикладная система □Персонал □Процесс □Внешние факторы | ||||
Анализ причин | |||||
Последующие улучшения |