安全事件应急响应处理指南

=Start=

缘由:

study hard, improve every day

正文:

参考解答:
技术•沟通•操作•法律

本应急响应技巧和准备指南用以减少伤害和保证使命达成。

首要原则——不要造成二次伤害

医护的关键原则同样适用于这里的网络安全应急响应——不要造成二次伤害。

大体内容

事前准备(Preparation)

  • Technology·技术
  • Operations·运营
  • Legal·法务
  • Communications·沟通

事中处理(During an Incident)

  • Operations·运营
  • Technology·技术
  • Legal·法务
  • Communications·沟通

核心/要点

  • Preparation pays off – Preparing for a major incident can reduce damage to the organization, as well as reduce incident cost and management difficulty.(提前准备:对重大事件的准备可以有效减少对公司的损害,以及降低事故成本和管理难度。)
  • Operationalize your incident management processes – Managing major cybersecurity incidents must be part of standard business risk management processes.(事件处理流程化:处理主要的网络安全事件必须是标准业务风险管理流程的一部分。)
  • Coordination is critical – Effective cybersecurity incident management requires collaboration and coordination of technical, operations, communications, legal, and governance functions.(协调至关重要:有效的网络安全事件处理需要技术,运营,沟通,法律和治理功能的协作和协调。)
  • Stay calm and do no harm in an incident – Overreacting can be as damaging as underreacting.(保持冷静,在处理过程中不要造成额外伤害:反应过度可能和反应不足一样有害。)
具体内容

事前准备

  • Technology·技术
    • protect
    • detect
    • respond
      • general preparations(大体准备)
      • investigation preparations(调查准备)
      • recovery preparations(恢复准备)
  • Operations·运营
    • critical preparations(关键准备)
    • hallmarks of a strong response program(强反应计划的标记)
    • key lessons learned(关键经验教训)
    • organizational preparedness self-assessment(组织准备自我评估)
    • core strategy and alignment(核心战略和调整)
    • security operations(安全操作)
  • Legal·法务
    • 指定法律上的网络领导;
    • 审查政策和公共声明;
    • 制定安全事故响应计划;
    • 在法律指导下进行网络安全评估和测试;
    • 定期召开董事会简报会;
    • 管理第三方供应商;
  • Communications·沟通
  • 在与处理安全事件相关的所有主要成本和风险中,对品牌和声誉的潜在打击以及客户信任的丧失可能是最具破坏性的。除了影响声誉,管理不善和安全事件传达不当可能会影响员工的士气,并导致监管压力和诉讼。
  • 明确沟通负责人,并确保他了解响应过程和网络安全;
  • 制定安全事故响应计划的沟通部分,包括明确的责任人和批准程序;
  • 映射可能需要接收关于事件的通信的利益相关者,包括客户,媒体,合作伙伴,监管机构,员工和供应商;
  • 为公司最关心的主要类型的事件撰写一些媒体材料;
  • 对所有应急响应事故处理的相关人员进行一次实战演练,以测试他们将会在事件发生时做出的反应。

事中处理

核心/关键

    • 保持镇定(专注于优先考虑最有效的行动)
    • 不要产生二次伤害(确认你的操作是事先设计好的,不会导致数据丢失、业务关键功能丢失、证据丢失等更严重的问题)
    • 准确(确认你向公众和客户分享的任何内容是正确和真实的)
    • 在必要时申请帮助
  • Operations·运营
    • 调查阶段
      • 成功的关键因素
      • 提示/技巧
    • 恢复阶段
      • 成功的关键因素
      • 提示/技巧
  • Technology·技术
    • 调查阶段
      • 成功的关键因素
      • 提示/技巧
    • 恢复阶段
      • 成功的关键因素
      • 提示/技巧
  • Legal·法务
    • 网络安全事件在法规遵从性,法定和合同通知义务以及管理随后的诉讼和监管执法程序和调查的风险方面存在各种挑战。因此,法律顾问在事件响应,以及主动的网络安全程序开发,部署和执行方面越来越重要。早期聘请法律顾问指导调查可以大大帮助确定这些义务和管理监管机构,原告,股东和行业团体的法律风险。
    • Maintain Confidentiality and Protect Privilege.
    • Identify Legal Statutory, Contractual, and Other Obligations.
    • Take Care Regarding Post-Breach Actions/Statements.
    • Engage Law Enforcement.
    • Keep Executives/Board Members Adequately Informed.
  • Communications·沟通
    • 成功的关键因素
    • 其它的沟通行为
参考链接:

=END=

声明: 除非注明,CrazyOf.me文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://crazyof.me/blog/archives/3223.html

《安全事件应急响应处理指南》上有3条评论

  1. 【应急响应】Linux应急响应中的姿势
    http://vinc.top/2016/08/22/linux%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E4%B8%AD%E7%9A%84%E5%A7%BF%E5%8A%BF/

    需要先确认开放的端口和对外提供的服务,与运维或业务方确认出现的异常情况。
    1、首先通过网络层防火墙或者iptables封禁一切不需要的端口。
    2、分析入侵的可能方式
    3、查看进程
    4、查看网络连接
    5、几个经常被放置病毒的目录,/tmp, /var/tmp, /dev/shm,所有用户都可读,可写,可执行
    6、history查看历史操作记录,这里有几点建议
    7、对于2进制的病毒文件,可以通过file判断文件类型,然后使用strings查看一些特征

    8、那么确认被拿了Root后,又该怎么办,检查哪些内容。
    1)查看开机启动项
    2)查看定时任务
    3)检查被替换的命令

发表评论

电子邮件地址不会被公开。 必填项已用*标注