介绍 :
在网络安全领域,事件管理可以定义为识别,管理,记录和分析与现实世界中的网络安全相关的安全威胁和事件的过程。这是在网络灾难发生之后或在IT基础架构中发生网络灾难之前非常重要的一步。这个过程包括知识和经验。良好的事件管理可以减少网络破坏的不利影响,并可以防止发生网络攻击。它可以防止损害大量数据。没有良好的事件响应计划的组织可能会成为网络攻击的受害者,在这种情况下,组织的数据可能会受到破坏。
ISO / IEC标准27035给出了网络安全事件管理的五步过程。这些过程如下。
步骤1 :
事件管理过程从警报开始,该警报报告已发生的事件。然后是事件响应团队(IRT)的参与。准备处理事件。
第2步 :
通过监视和报告所有事件来识别潜在的安全事件。
第三步:
评估已确定的事件,以确定减轻风险的适当后续步骤。
第四步 :
通过包含,调查和解决事件来响应事件(基于步骤3的结果)。
步骤5:
学习并记录每次事件的关键要点。
安全事件管理的一些技巧:
- 每个组织都需要针对安全事件管理流程制定良好且成熟的计划,实施最佳流程对于制定全面的安全事件管理计划非常有用。
- 创建包含支持政策的安全事件管理计划,其中包括有关如何检测,报告,评估和响应事件的适当指导。它应该准备好清单。该清单将包含基于威胁的操作。安全事件管理计划必须根据需要不断更新,包括安全事件管理程序,特别是从先前事件中吸取的教训。
- 建立一个事件响应小组(IRT),该小组将负责明确定义的角色和职责。 IRT还包括财务,法律,沟通和运营等职能角色。
- 始终为安全事件管理程序创建常规培训和模拟演练。这改善了IRT的功能,并使他们保持警惕。
- 始终在发生任何安全事件后执行事件后分析,以从任何成功和失败中学习,并在需要时对程序和事件管理过程进行必要的调整。
事件响应的必要部分:
始终养成收集证据和分析取证的习惯,这是事件响应的必要部分。对于这些情况,需要进行以下操作。
- 制定明确的政策以收集证据,以确保证据正确无误并足以使其在法庭上可被接受。
- 同样重要的是,需要具有根据需要进行分析,报告和调查的司法鉴定的能力。
- IRT的人员必须接受网络取证,功能技术方面的培训,并且还必须具备法律和治理方面的知识。
笔记 –
为了减少恢复成本,潜在的责任,最重要的是减少对受害人的伤害(无论是在个人层面还是在组织层面),一个强大的事件管理流程非常重要。