《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 事件管理-构建:网络安全事件响应团队 (CSIRT)

事件管理-构建:网络安全事件响应团队 (CSIRT)

2021-10-27
来源:祺印说信安
关键词: 安全事件

  网络安全事件响应小组 (CSIRT) 由处理事件响应的人员组成,可能包括内部和外部团队,并且可能因事件的性质而异。

  核心团队通常是IT或网络安全人员。扩展团队可能包括其他能力,例如公关、人力资源和法律。

  团队不必全职致力于IR。拥有一个“虚拟”CSIRT,在需要时将其他日常工作的人聚集在一起,更具成本效益。

  特设 CSIRT 团队

  如果要采用这种方法,至关重要的是对 CSIRT 至关重要的人员能够在必要时将安全事件处置优先于日常工作。

  结构和成员

  团队的位置将取决于组织的性质。可以选择“中央”或“分布式”模式,取决于是否有可能或希望在多个关键位置拥有IR员工。许多组织将拥有一个中央 IR团队(例如在总部/主要办公室位置),并由其他位置的IT或IR员工提供分布式支持。

  角色和职责

  网络安全事件响应小组 (CSIRT) 可能需要多个角色,以确保有效管理和协调事件。

  属于以下这些标题:

  政府和执法部门

  高级/行政管理

  事件经理

  技术负责人/恢复经理

  危机管理、业务连续性、灾难恢复

  调查员和分析师、网络安全专家

  IT和基础设施

  其他部门,包括法律、公关、人力资源和客户服务

  事件期间所需的角色

  下图详细说明了事件期间所需的核心角色。

  有些人可能扮演多个角色,但如果要顺利处理事件,则必须说明责任并在需要时可用。

  列出了可选角色,引入外部团队和其他业务管理功能。

  中央协调

  有一个协调的中心点是至关重要的。承担此责任的人不必是网络安全专家。他们的作用是确保管理、跟踪和关联所有行动和发现,并将事件传达给所有利益相关者。

  最好将事件响应的某些方面外包——从技术到公关和法律支持。但重要的是,内部人员可以监督、建议和做出影响业务的决策(根据专业供应商的建议)。

  确保可用性

  始终为“代表”提供服务——如果关键人物不在时,他们将提供掩护。

  这适用于响应团队和任何供应商的所有方面,如果他们只有一个可以执行某些任务的关键人员。

  覆盖时间和激增支持

  需要事件响应覆盖的时间将取决于业务性质和风险偏好。选择需要平衡风险和预算,因为延长工作时间可能会产生大量相关成本。

  在确定承保范围时,应考虑以下因素:

  将如何处理从当天开始而不能在一夜之间发生的事件?

  是否可以在无法等到下一个工作日的工作时间之外检测到事件?

  需要什么保障?仅工作日、延长营业时间还是 7*24小时?

  有什么风险?是否需要官方的随叫随到支持,或者这样做的成本是否大于风险?

  使用供应商是否合适?日日跟进类型的模型可能吗?

  兼职保险的实用性

  如果仅在紧急事件期间提供扩展保险,则需要考虑实际情况。例如,如果租用了办公楼,那么在发生事故时,该办公楼是否可以 7*24全天候使用?

  员工可能需要食物和住宿,以及产生人工成本。如果工作时间特别长,或者如果事件持续很长时间,可能还需要设计安排一种轮班工作模式。意味着可能需要不止一个内部人员能够胜任每个关键角色协调响应。

  供应商注意事项

  应该审查所有供应商,以确定在事件发生期间可能需要谁的支持。

  这可以是从基础设施和云托管到外部公关公司的任何内容。与供应商合作,确保他们能够在需要时提供支持。根据合同,即使是工作时间的支持也可能受到供应商的限制。

  团队技能和经验

  CSIRT所需的技能和经验将根据的业务性质以及决定在内部构建多少IR能力而有所不同。但是,有些做法可以使任何组织受益。

  保持安全意识

  利用威胁源以及最新的网络安全新闻和事件报告,可以提高一般安全意识和知识,还可以提醒当前对部门和组织的威胁。

  确保执行团队了解威胁及其在事件中可能扮演的角色。特别是,应该明确他们可能需要做出的关键决策,当然前提通常信息有限的。

  锻炼

  找出差距并磨练反应的最佳方法之一是根据现实生活场景进行演练。外部专家推动这些演练有很大的好处,可以提供全新的视角并提供公正的建议,将有助于最大限度地从这些事件中获益。

  演练的范围可以从深入的技术/战术到战略和管理级别的响应。非常值得在各个级别进行演练,以确保企业的各个方面都了解他们在发生事故时的角色和责任。

  任何练习的关键,无论是内部运行还是由外部供应商运行,都需要记录和分配经验教训,以推动整个组织的改进。

  训练

  为关键员工提供特定培训可以显着提高组织对网络事件的准备程度。该领域有专门的培训课程,许多提供商将能够根据组织业务需求提供定制的培训和简报会。

  1基本的:对于目标不明确且大多数响应都是外包的组织 -  使用 网络事件/意识简报来加深理解

  2改进:对于那些需要提高内部能力的人,可以考虑将一般 网络调查 和/或事件管理培训作为起点

  3先进的:对于打算在内部构建完整 IR 功能的人员,可以学习一系列课程,包括取证和入侵分析(针对主机和网络)以及恶意软件分析。对技术恢复负责人或首席调查员的特定培训将有助于培养发现和处理复杂、复杂事件的能力。

  执行意识

  在执行层面建立意识和经验与在技术层面建立意识和经验同样重要,因为这些角色需要做出紧急的关键决策。

  考虑谁将能够承担某些关键角色(例如响应期间的事件经理)以及谁将被要求做出关键决策也很重要。

  确保在关键员工不在的情况下或在长时间的事件响应期间需要休息时任命代表也很重要。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。

相关内容