- 网络安全与攻防策略:现代威胁应对之道(原书第2版)
- (美)尤里·迪奥赫内斯 (阿联酋)埃达尔·奥兹卡
- 1192字
- 2021-04-30 12:34:52
2.1.2 创建事件响应流程
虽然事件响应流程会因公司及其需求的不同而有所不同,但在不同的行业中,事件响应流程的一些基本方面并无差异。
图2-2显示了事件响应流程的基本领域。
图2-2 事件响应流程及其基本领域
创建事件响应流程的第一步是建立目标,换句话说,就是回答问题:流程的目的是什么?虽然这看起来可能是多余的,因为依据它的名称似乎不言而喻,但重要的是,你必须非常清楚流程的目的,以便每个人都知道该流程试图实现的目标。
一旦定义了目标,就需要处理范围问题。同样,可以回答这样一个问题,在本例中是:这一流程适用于谁?
虽然事件响应流程通常在公司范围内有效,但在某些情况下也可以局限于部门范围。因此,是否将其定义为公司范围的流程,这一点很重要。
每家公司对安全事件可能有不同的看法,因此,必须对安全事件的构成有一个定义,并提供示例以供参考。
除定义之外,公司还必须创建自己的词汇表,其中包含所用术语的定义。不同的行业会有不同的术语集,如果这些术语与安全事件相关,则必须将其记录在案。
在事件响应流程中,角色和职责至关重要。如果没有适当等级的权威,整个过程就会面临风险。
当考虑以下问题时,事件响应中权威等级的重要性就显而易见了:谁有权没收一台电脑以进行进一步调查?通过定义具有此权威等级的用户或组,可以确保整个公司员工都知道这一点,并且如果发生事件,他们不会质疑执行策略的调查组。
另一个需要回答的重要问题是关于事件的严重性。什么可以用于定义危急事件?危急程度决定了资源分配,这就引出了另一个问题:当事件发生时,你将如何分配人力资源?应该将更多资源分配给事件“A”还是分配给事件“B”?
为什么?这些只是一些应该回答的问题示例,以便定义优先级和严重程度。要确定优先级和严重程度,还需要考虑业务的以下方面:
·事件对业务的功能影响:受影响的系统对业务的重要性将直接影响事件的优先级。受影响系统的所有利益相关者都应该意识到这一问题,并在确定优先事项时发表自己的意见。
·受事件影响的信息类型:每次处理个人身份信息(Personal Identifiable Information,PII)时,你的事件将具有高优先级。因此,这是事件发生时首先要核实的因素之一。
·可恢复性:在初步评估之后,可以估计需要多长时间才能从事件中恢复过来。根据恢复时间的长短,再加上系统的危急程度,这可能会将事件的优先级提高到很高的严重程度。
除了这些基本领域外,事件响应流程还需要定义如何与第三方、合作伙伴和客户交互。
例如,假设发生了一起事件,在调查过程中发现客户的PII被泄露,公司将如何向媒体披露这一点?在事件响应流程中,与媒体的沟通应与公司的数据泄露安全政策保持一致。在新闻稿发布之前,法律部门也应该参与进来,以确保声明不引发法律问题。在事件响应流程中,参与执法的程序也必须一并记录。在记录这一点时,请考虑物理位置,即事件发生的位置、服务器所在的位置(如果合适的话)以及状态。通过收集这些信息,将更容易确定管辖权并避免冲突。