有许多风险和威胁管理解决方案可以通过自动响应来帮助您的组织处理低级安全事件。但是,包括高级持续威胁在内的高层威胁需要事件响应小组配备并准备迅速采取行动。
该事件响应团队可以是安全运营中心内的常设团队,也可以是应要求进入的外部团队。无论事件响应团队来自哪里,您的事件响应计划都必须定义事件响应团队的角色和职责。
在本文中,我们将讨论事件响应计划的不同阶段以及事件响应团队的不同角色和职责。但是在此之前,让我们简要地讨论事件响应。
什么是事件响应?
事件响应是一个通用术语,描述了组织处理网络攻击和数据泄露所遵循的特定过程。事件响应的主要目标是有效管理事件,以限制造成的损害,并确保将恢复时间和成本保持在最低水平。
因此,组织必须至少制定事件响应策略。该事件响应策略或计划应定义对组织而言是什么事件。它必须提供一个清晰且有指导性的过程,组织在发生事件时必须遵循。除此之外,事件响应策略还必须指定负责事件管理的领导,员工或团队。
事件响应计划的阶段
以下是制定有效的事件响应计划的六个不同阶段。
1.准备
事件响应计划的第一阶段是为不可避免的数据泄露做好准备。准备工作可帮助企业确定事件响应团队对事件的响应能力。此阶段通过提供培训并为他们配备所需的工具,使事件响应团队为应对潜在威胁做好了准备。
2.鉴别
事件响应计划的第二阶段是识别。它涉及检测和确定特定事件是否应被企业及其严重性视为安全漏洞。
3.遏制
事件响应计划的第三阶段是遏制。它通过隔离受感染的系统来确保事件不会对组织造成进一步的破坏,从而帮助事件响应团队控制安全漏洞事件。
4.根除
事件响应计划的第四阶段是根除。在此阶段,团队将检测事件的原因,然后采取必要的措施消除所有受影响系统的威胁。
5.恢复
事件响应计划的第五阶段是恢复。在此阶段,事件响应团队将恢复受影响的系统并确保没有威胁存在。
6.得到教训
事故响应计划的第六阶段是吸取的教训。在此阶段,事件响应团队分析事件日志,更新事件响应策略,并完成事件文档。
事件响应团队的角色和职责
以下是事件响应团队的不同职能及其基本职责。话虽如此,没有什么是一成不变的。因此,这些责任在一家公司之间可能会大相径庭。
团队负责人:团队负责人负责与团队协调所有事件响应活动。
沟通:沟通者管理公司内部以及与其他有关第三方的沟通。
首席调查员:首席调查员收集并收集证据并确定攻击原因。他/她指导事件响应团队中的其他分析人员实施服务和系统恢复。
分析师:事件响应团队中的分析师通过提供事件的威胁情报和背景信息,为首席调查员提供支持。他/她在不同的受感染系统上执行深度尸检。
法律代表:事件响应团队必须具有法律代表,以处理源于事件的潜在刑事指控。
发生任何带有ECIH认证的事件做好准备
EC-Council的认证事件处理程序(ECIH)计划是一项综合的专家级计划,从财务和声誉角度出发,传授组织有效地处理违规后果所必需的知识和技能,以减少事件的影响。