如何创建网络安全事件响应计划:分步指南

已发表: 2022-05-07

通过网络安全事件响应计划管理数据泄露并减轻损失。

处理网络攻击的成本不断上升可能会严重影响中小型企业 (SMB),尤其是在他们没有正确的检测和恢复计划的情况下。

根据 Gartner 的研究,到 2023 年,网络物理系统 (CPS) 攻击对企业的财务影响预计将超过 500 亿美元。 该成本包括保险、诉讼、赔偿、监管罚款和声誉损失。 Gartner 还预测,到 2025 年,75% 的首席执行官 (CEO) 将对 CPS 事件承担个人责任。

为此,制定网络安全事件响应计划将帮助您的小型企业准确监控系统、检测任何安全事件并实施预防或恢复方法以减轻损失。

在本文中,我们将分五个步骤解释如何创建网络安全事件响应计划。 但在我们深入细节之前,让我们先了解什么是网络事件响应计划,以及为什么您应该为您的小型企业制定一个计划。

什么是网络安全事件响应计划?

网络安全事件响应计划是一组记录在案的指令,可帮助企业快速有效地检测网络攻击,隔离任何受影响的系统或网络(以响应攻击),并从造成的损失中恢复。

由于网络攻击会影响您的组织跨职能部门,因此您设计的计划应考虑所有职能和部门,包括人力资源、财务、客户服务、法律、供应链、员工沟通和业务运营。

网络安全事件响应计划如何运作?

以下是有和没有网络安全事件响应流程的两家企业之间的快速比较。 虽然两者都受到相同攻击的影响,但企业 B 可以通过适当的规划来减少影响。

业务A

(没有 CIRP)

业务B

(有一个 CIRP)

检测到安全事件但不确定如何响应。

检测安全事件及其类型。

需要几个小时来准备一份详细的申报报告。

与首席信息安全官和事件响应专家确认后,迅速宣布事件。

由于事件识别和声明需要时间,安全漏洞蔓延到除了最初受影响的系统之外的其他业务流程。

立即将受影响的系统、用户和对象与其他业务流程隔离开来。

没有法医合作伙伴为法律团队收集证据和恢复建议。

致电法医合作伙伴收集攻击证据和恢复建议。

因证据不足无法追回,造成损失。

及时的恢复使企业免于亏损。

创建网络安全事件响应计划的步骤

第 1 步:制定行动计划

制定行动计划是整个事件响应计划过程的主力。 计划文件应具有以下要素:

使命宣言

任务说明清楚地定义了事件响应计划过程的目的,使您和其他利益相关者能够了解正在完成的工作的范围。 由于参与规划过程的每个利益相关者可能都不是安全和风险专家,因此任务说明(解释了术语和定义)将帮助他们保持一致并在需要时做出关键决策。

以下是一些使命宣言的例子:

  • 防御网络安全威胁
  • 建立事件响应团队
  • 调查网络攻击及其类型,并声明其对业务的影响
  • 收集攻击证据并与执法部门合作,检查是否有任何法律法规受到影响

明确的角色和职责

明确定义利益相关者的角色和职责将使规划过程具有高度的前瞻性——每个人都会有一个工作方向,不会有任何混乱。 您可以通过创建驱动、负责、咨询和知情 (DACI) 图表来定义角色和职责。

DACI 图(也称为 RACI 图)定义了在哪个阶段涉及哪些利益相关者以及他们应该做什么。 它作为每个利益相关者所扮演的功能角色的可视化表示。 这是一个免费的 DACI 模板,可帮助您入门。

D – 司机

推动任务的个人(例如,CISO)

A – 负责任的

对任务的成功负责的个人(例如,项目经理)

C – 已咨询

需要咨询信息或确认的个人(例如,主题专家)

我 - 知情的

需要了解任务进度和更新的个人(例如,领导力)。

第 2 步:收集资源以支持您的计划

一旦你完成了计划,下一步就是收集工具和资源来支持你的计划。 例如,如果您发现数据泄露 一种数据安全漏洞,其中对业务至关重要的数据被未经授权的用户窃取、删除或移动。 作为潜在风险,您应该准备好数据丢失防护软件等工具。

确保您配备正确资源的一些基本要素是:

安全监控用例

安全监控构成了按时实施计划和准确检测事件的基础,使其成为流程中的关键步骤。 研究用例(业务中以前使用的事件监控方法的实时示例)并在您当前的监控流程中实施经过验证的方法,不仅可以提高您的风险承受能力,还有助于规划响应目标。

检测安全问题

找到合适的资源来检测和修复跨业务功能的安全问题与拥有用例一样重要。 您可以使用事件管理软件来记录、报告各种 IT 相关事件并确定其优先级,从数据安全漏洞到系统故障。 该软件会为 IT 人员分配工单,并在出现问题时立即向利益相关者发送通知,以将停机时间降至最低。

第三步:把东西放在一起

下一步是将您迄今为止在规划和收集资源方面所做的所有努力工作。 您在此步骤中的大部分工作都用于界定和理解收集的数据,并将其与准备好的行动计划的不同阶段保持一致。 目标是检查您的团队是否准备好开始制定安全事件响应计划。

专业提示:确保参与构建网络安全事件响应计划的每个团队成员都应具备了解实时系统响应、数字取证、威胁情报以及内存和恶意软件分析的技能和知识。

步骤#4:执行构建过程

一切就绪后,您就可以开始制定网络安全事件响应计划了。 确保已将已确定的计划和资源很好地传达给您的事件响应团队成员和其他利益相关者。 这将有助于减少安全事件的影响。

制定网络安全事件响应计划

第 5 步:学习、优化和即兴创作

现在您已经制定了网络安全事件响应计划,是时候分析整个构建过程、记录学习成果(包括错误和成功),并使用它们来进一步优化和改进构建过程。 优化可以是任何东西,从使用一组不同的资源到让更多的团队成员参与计划制定过程。 但是,这一切都取决于您的网络安全事件响应计划是如何制定的。

优化可以伴随一轮学习和培训练习,以进一步微调流程并最大限度地提高团队效率。

制定网络安全事件响应计划是最好的防御机制

拥有 CIRP 可以帮助您的安全团队主动和统一地响应事件,从而增强他们的事件响应能力。 您所需要的只是决定工作流程的正确资源、工具和行动计划。

所以,今天就开始制定您的网络安全事件响应计划吧!

想了解更多关于网络安全的信息? 查看这些附加资源:

  • 顶级网络安全软件工具
  • 提高小型企业网络安全的 4 个专家提示
  • 如何通过网络安全发展您的业务?
  • 11 个网络安全认证,让您为万维网之战做好准备
  • 7 种常见的网络攻击类型