考虑到任何组织都可能成为网络攻击者的目标,因此明智的做法是,事先制定一个管理网络事件或攻击的策略。
有效的事件响应计划可以将攻击的影响减轻到最低限度。然而,一些错误实践可能会破坏策略的有效性,并将组织系统暴露于进一步的威胁中。
以下是组织应该注意的一些事件响应计划错误及缓解建议。
1. 复杂的响应程序
任何需要实施事件响应计划的情况都绝非乐观的。这样的危机自然会给安全团队带来压力,所以,实施一个简单而全面的策略要比一个复杂的策略容易得多。事先(而非事到临头才去)思考并处理好繁重的工作,可以使应急响应计划更容易实施。
安全团队通常不仅没有最好的精神状态来处理复杂的响应程序,而且也没有奢侈的时间去做这些。对他们来说,这是分秒必争的事情。简单的程序执行起来更快,而在事件响应过程中,时间意味着“生命”,可能关乎组织存亡。
2. 指挥链不清晰
如果组织遇到攻击,安全团队将会如何协调响应过程?组织可能已经在事件响应文档中详细罗列了所有必要的过程,但是如果没有概述操作的顺序,那么它可能不会产生预期的效果。
事件响应计划不会自己执行,而是由人来执行。因此,组织需要按照命令/指挥链为员工分配角色和职责。谁负责领导响应小组?提前做好这些安排有助于在事件发生时迅速采取行动。
3. 没有事先测试备份
备份数据是防止任何形式的数据泄露的主动安全措施之一。如果发生任何事情,组织将有一份数据副本可以依靠。
不过,即使使用可信的备份应用程序或服务,它也可能在网络攻击中遭受故障。因此,不要等到攻击发生时才去查看备份是否有效;否则的话,结果可能会令人失望。
建议在组织控制的环境下测试运行备份数据。组织可以通过道德黑客攻击保存敏感数据的系统来实现这一点。如果备份出现故障,组织将有机会在不丢失数据的情况下解决问题。
4. 使用通用计划
许多网络安全供应商都在市场上提供现成的事件响应计划,组织可以购买这些通用计划以供使用。供应商声称,这些现成的计划可以帮助组织节省时间和资源,因为它们可以立即投入使用。尽管它们可以节省时间,但如果它们不能很好地为组织服务,结果可能会适得其反。
没有两个系统是完全相同的。现成的文档可能适合一个系统,而不适合另一个系统。最有效的事件响应计划是定制的。在定制响应计划中,组织才有机会解决系统的特定条件,并围绕自己的优势构建防御机制。
不过,这并不意味着组织必须从头开始构建响应计划,著名的网络安全框架(如NIST计算机安全事件处理指南)提供了标准化的响应流程,组织可以根据自己独特的网络环境进行细节定制。
5. 对网络环境的了解有限
只有在了解系统的安全环境(包括活动应用程序、开放端口、第三方服务等)后,才能根据系统实际情况定制事件响应计划。这种理解来自于对操作的完全可见性。缺乏可见性会让组织不知道哪里出了问题,也不知道应该如何解决问题。
为此,组织可以通过安装先进的网络监控工具来跟踪和报告所有活动,以了解更多有关操作的信息。这些工具会提供有关平台上的漏洞、威胁和一般活动的实时数据。
6. 缺乏衡量指标
事件响应是一项持续性的工作。为了提高响应计划的质量,组织必须能够衡量其表现。确定具体的绩效指标可以为组织提供衡量的标准基础。
以时间为例。响应威胁的速度越快,恢复数据的效果就越好。除非可以跟踪时间指标,否则组织无法改善时间因素并努力做得更好。
恢复能力是另一个需要考虑的指标。组织的响应计划能恢复哪些数据?该指标可以帮助组织以最佳方式改进缓解策略。
7. 无效的文档
事件响应并非孤军奋战的事情,它需要团队合作。只有当团队成员也可以访问和实现事件响应计划时,事件响应计划才会更有用。因为没有人能够在系统上全天候(24/7)地待机,否则当出现问题时,该人可能会不在旁边。组织是想让团队成员行动起来拯救大局,还是苦等着某一个人?
记录响应计划是标准的做法。问题是:您是否有效地记录了它?只有在文档表达清晰全面的情况下,其他人才能对其进行解读。不要模棱两可,假设他们知道该怎么做。避免技术术语。用最简单的术语把每一步都讲清楚,以便任何人都能理解。
8. 使用过时的计划
组织上次更新事件响应计划是什么时候?组织系统很有可能不再是最初创建用于解决网络事件的文档时的系统。这些变化会使响应策略变得过时且无效,将其应用于危机情况并没有多大帮助。
组织应该将响应计划视为系统的支持文档。随着系统的发展,让它也反映在缓解策略中。当然,要在组织系统发生每一个小的变化后修改计划可能会很累。为了防止修订疲劳,组织可以安排一个定期更新的时间(比如每个月、每3个月等)。
9. 没有优先处理事件
解决所有可能危及系统的问题有助于创建更安全的数字环境,但如果将资源浪费在无关紧要的事情上,则会适得其反。事件是必然会发生的,所以组织需要根据它们的影响来确定它们的优先级,否则,当它们发生时,安全团队将遭受事件疲劳,无法解决严重的威胁。
随机选择优先于其他事件的事件可能会产生误导。相反地,建立可量化的优先级指标才是最佳实践。最关键的数据应该得到最大的关注。此外,组织还可以根据事件与数据集的关系对事件进行优先排序。
10. 孤立的事件报告
系统的各个组件会提供独特的信息,可以增强事件报告工作。虽然每个系统可能不同,但其性能或性能缺失都会影响组织的一般操作。如果响应计划没有考虑到所有这些领域的数据,那么它就会缺乏实质内容。在最好的情况下,它将只处理它所涵盖领域内的问题。
因此,组织应该收集所有数据并将其存储在可以轻松访问和检索所需信息的地方。这可以让组织不遗余力地接触到每一个领域。
结语
组织无法控制网络犯罪分子何时攻击系统,以及他们将如何攻击,但组织可以控制随后发生的事情。响应危机的方式会产生很大的影响。一个有效的事件响应计划会给组织及其防御系统注入一支“强心剂”。组织会被引导去采取有意义的行动,而不是感到孤立无助。
参考及来源:https://www.makeuseof.com/common-incident-response-plan-mistakes/