掌握安全事件响应的黄金一小时
发布时间:2022-03-23 04:31:22 所属栏目:安全 来源:互联网
导读:对于计算机安全事件响应(CSIRT)团队来说,必须时刻准备好应对突发的网络安全事件。根据过去的处置经验,在严重安全事件后,把握好第一个小时的时间窗口无比重要。当事件发生后,快速制定应急方案,充分调动内外部团队资源,并让所有成员搞清楚自己的分工是一
对于计算机安全事件响应(CSIRT)团队来说,必须时刻准备好应对突发的网络安全事件。根据过去的处置经验,在严重安全事件后,把握好第一个小时的时间窗口无比重要。当事件发生后,快速制定应急方案,充分调动内外部团队资源,并让所有成员搞清楚自己的分工是一项艰巨但重要的任务。此刻,保持头脑冷静、行动周全对于成功处理安全事件至关重要,而如果陷入到焦虑不安的恐慌中,将会严重影响事件响应团队做出正确的决策。 通过对成功应急案例的分析,本文总结了把握安全事件响应黄金一小时的几个关键点,可以帮助企业提升安全事件响应的效果。 要点一:快速了解事件相关信息 在严重安全事件突然发生后,如果要充分利用好最关键的黄金一小时,不仅需要现场的预案与准确处置,更需要事先全面了解资产和潜在对手,提前设置好处置任务的优先级,这样才能在需要时迅速做出决策,并在必要时通过使用排除法来发现真相。 要点二:和时间赛跑,跳过卡住的问题 警铃响起,安全团队需要迅速冷静下来,准备回答第一个问题:“我在第一个小时应该做什么?”严重事件的第一个小时又叫危机阶段,其特点是混乱、恐慌、赶到现场和陷入僵局。但是训练有素的安全分析师会展开细致入微的调查工作。 另一方面,在许多情况下,分析师可能往往信息不全、无法在有限的时间内实施解决方案以及缺少相应的权限。在这种情况下,事件响应团队必须清楚地表述其专业知识,并推动工作开展下去。 在进行调查和根本原因分析时,事件响应团队常常陷入寻找遗失的线索这种困境。这又导致怀疑和犹豫。在严重事件后的第一个小时,时间很宝贵。就像参加时间限定的考试一样,先跳过卡住的问题。 如今,由于很多企业组织广泛采用了威胁检测和响应技术,事件响应遏制流程常常得到简化,这类技术或产品,甚至只需按一下按钮,即可快速实现网络遏制功能。然而,如果使用传统的网络遏制工具,其效果可能并不那么容易实现,此时安全人员需要尽快找到稳妥并可靠的实现办法。 我们起初以为一款IT操作工具是攻陷指标。但最终排除所有可能性,推翻了这种猜测,得出了Web服务存在固有的安全漏洞这一结论。 有时在事后分析期间,安全分析师在了解事件相互之间的关系时可能遇到挫折。但只要有足够的耐心和合理的心态,真相总会浮出水面。 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |