如何創建網絡安全事件響應計劃:分步指南

已發表: 2022-05-07

通過網絡安全事件響應計劃管理數據洩露並減輕損失。

處理網絡攻擊的成本不斷上升可能會嚴重影響中小型企業 (SMB),尤其是在他們沒有正確的檢測和恢復計劃的情況下。

根據 Gartner 的研究,到 2023 年,網絡物理系統 (CPS) 攻擊對企業的財務影響預計將超過 500 億美元。 該成本包括保險、訴訟、賠償、監管罰款和聲譽損失。 Gartner 還預測,到 2025 年,75% 的首席執行官 (CEO) 將對 CPS 事件承擔個人責任。

為此,制定網絡安全事件響應計劃將幫助您的小型企業準確監控系統、檢測任何安全事件並實施預防或恢復方法以減輕損失。

在本文中,我們將分五個步驟解釋如何創建網絡安全事件響應計劃。 但在我們深入細節之前,讓我們先了解什麼是網絡事件響應計劃,以及為什麼您應該為您的小型企業製定一個計劃。

什麼是網絡安全事件響應計劃?

網絡安全事件響應計劃是一組記錄在案的指令,可幫助企業快速有效地檢測網絡攻擊,隔離任何受影響的系統或網絡(以響應攻擊),並從造成的損失中恢復。

由於網絡攻擊會影響您的組織跨職能部門,因此您設計的計劃應考慮所有職能和部門,包括人力資源、財務、客戶服務、法律、供應鏈、員工溝通和業務運營。

網絡安全事件響應計劃如何運作?

以下是有和沒有網絡安全事件響應流程的兩家企業之間的快速比較。 雖然兩者都受到相同攻擊的影響,但企業 B 可以通過適當的規劃來減少影響。

業務A

(沒有 CIRP)

業務B

(有一個 CIRP)

檢測到安全事件但不確定如何響應。

檢測安全事件及其類型。

需要幾個小時來準備一份詳細的申報報告。

與首席信息安全官和事件響應專家確認後,迅速宣布事件。

由於事件識別和聲明需要時間,安全漏洞蔓延到除了最初受影響的系統之外的其他業務流程。

立即將受影響的系統、用戶和對象與其他業務流程隔離開來。

沒有法醫合作夥伴為法律團隊收集證據和恢復建議。

致電法醫合作夥伴收集攻擊證據和恢復建議。

因證據不足無法追回,造成損失。

及時的恢復使企業免於虧損。

創建網絡安全事件響應計劃的步驟

第 1 步:制定行動計劃

制定行動計劃是整個事件響應計劃過程的主力。 計劃文件應具有以下要素:

使命宣言

任務說明清楚地定義了事件響應計劃過程的目的,使您和其他利益相關者能夠了解正在完成的工作的範圍。 由於參與規劃過程的每個利益相關者可能都不是安全和風險專家,因此任務說明(解釋了術語和定義)將幫助他們保持一致並在需要時做出關鍵決策。

以下是一些使命宣言的例子:

  • 防禦網絡安全威脅
  • 建立事件響應團隊
  • 調查網絡攻擊及其類型,並聲明其對業務的影響
  • 收集攻擊證據並與執法部門合作,檢查是否有任何法律法規受到影響

明確的角色和職責

明確定義利益相關者的角色和職責將使規劃過程具有高度的前瞻性——每個人都會有一個工作方向,不會有任何混亂。 您可以通過創建驅動、負責、諮詢和知情 (DACI) 圖表來定義角色和職責。

DACI 圖(也稱為 RACI 圖)定義了在哪個階段涉及哪些利益相關者以及他們應該做什麼。 它作為每個利益相關者所扮演的功能角色的可視化表示。 這是一個免費的 DACI 模板,可幫助您入門。

D – 司機

推動任務的個人(例如,CISO)

A – 負責任的

對任務的成功負責的個人(例如,項目經理)

C – 已諮詢

需要諮詢信息或確認的個人(例如,主題專家)

我 - 知情的

需要了解任務進度和更新的個人(例如,領導力)。

第 2 步:收集資源以支持您的計劃

一旦你完成了計劃,下一步就是收集工具和資源來支持你的計劃。 例如,如果您發現數據洩露 一種數據安全漏洞,其中對業務至關重要的數據被未經授權的用戶竊取、刪除或移動。 作為潛在風險,您應該準備好數據丟失防護軟件等工具。

確保您配備正確資源的一些基本要素是:

安全監控用例

安全監控構成了按時實施計劃和準確檢測事件的基礎,使其成為流程中的關鍵步驟。 研究用例(業務中以前使用的事件監控方法的實時示例)並在您當前的監控流程中實施經過驗證的方法,不僅可以提高您的風險承受能力,還有助於規劃響應目標。

檢測安全問題

找到合適的資源來檢測和修復跨業務功能的安全問題與擁有用例一樣重要。 您可以使用事件管理軟件來記錄、報告各種 IT 相關事件並確定其優先級,從數據安全漏洞到系統故障。 該軟件會為 IT 人員分配工單,並在出現問題時立即向利益相關者發送通知,以將停機時間降至最低。

第三步:把東西放在一起

下一步是將您迄今為止在規劃和收集資源方面所做的所有努力工作。 您在此步驟中的大部分工作都用於界定和理解收集的數據,並將其與準備好的行動計劃的不同階段保持一致。 目標是檢查您的團隊是否準備好開始製定安全事件響應計劃。

專業提示:確保參與構建網絡安全事件響應計劃的每個團隊成員都應具備了解實時系統響應、數字取證、威脅情報以及內存和惡意軟件分析的技能和知識。

步驟#4:執行構建過程

一切就緒後,您就可以開始製定網絡安全事件響應計劃了。 確保已將已確定的計劃和資源很好地傳達給您的事件響應團隊成員和其他利益相關者。 這將有助於減少安全事件的影響。

制定網絡安全事件響應計劃

第 5 步:學習、優化和即興創作

現在您已經制定了網絡安全事件響應計劃,是時候分析整個構建過程、記錄學習成果(包括錯誤和成功)並使用它們來進一步優化和改進構建過程。 優化可以是任何東西,從使用一組不同的資源到讓更多的團隊成員參與計劃制定過程。 但是,這一切都取決於您的網絡安全事件響應計劃是如何制定的。

優化可以伴隨一輪學習和培訓練習,以進一步微調流程並最大限度地提高團隊效率。

制定網絡安全事件響應計劃是最好的防禦機制

擁有 CIRP 可以幫助您的安全團隊主動和統一地響應事件,從而增強他們的事件響應能力。 您所需要的只是決定工作流程的正確資源、工具和行動計劃。

所以,今天就開始製定您的網絡安全事件響應計劃吧!

想了解更多關於網絡安全的信息? 查看這些附加資源:

  • 頂級網絡安全軟件工具
  • 提高小型企業網絡安全的 4 個專家提示
  • 如何通過網絡安全發展您的業務?
  • 11 個網絡安全認證,讓您為萬維網之戰做好準備
  • 7 種常見的網絡攻擊類型