CISSP学习笔记-17（事件的预防和响应）.pdf

CISSP学习笔记-17（事件的预防和响应）

知识点

实施事件管理

事件的定义

指的是计算机安全事件

事件响应或事件处理已经成为组织安全部⻔的主要职

通⽤框架

建⽴事件响应能⼒Creationofaresponsecapability;

事件处理和响应Incidenthandlingandresponse;

恢复和回馈Recoveryandfeedback

事件管理的步骤

检测

响应

保护证据

抑制

报告

如果个⼈身份信息(PII受到影响，则还需要把情况通知相关个⼈

恢复

补救

根本原因分析

总结教训

安全事件管理

⽬的:快速恢复

包含⼈、技术和流程

指导所有与事件有关的活动并指导安全⼈员到⼀个预定义和预授权路径的解决⽅案。

描述在事件中所包含的各⽅的⻆⾊和职中所采取的活动。

流程

检测

包含事件的检测、识别和通知等⼦阶段;

根据事件潜在⻛险级别进⾏归类，这受到事件类型、来源(内部事件还是外部事件)、增⻓速度、错误抑制能⼒的影响;

处理假阳性事件(false-positive)/误报时最耗时间的;

如果是真实事件，则需要进⾏分类(基于组织的需求)和分级(确定潜在⻛险的等级或事件的关键度)

响应

调查

调查涉及对相关数据的适当收集，收集的数据将在分析和随后的阶段中使⽤;

管理层必须确定执法部⻔是否参与调查，是否为起诉⽽收集证据，或者是否只修补漏洞;

遏制/抑制/缓解

遏制事件，降低事件的影响

缓解的⽬的是阻⽌或减少事件的进⼀步损害，进⽽开始恢复和修复

适当的遏制措施为事故响应团队争取了对事件根本原因进⾏正确调查和判定的时间;

进⾏数字取证以保存法庭证据

遏制策略(举例:从⽹络中切断病毒源、控制受感染的主机)

遏制措施应当基于攻击的类别、受事故影响的资产以及这些资产的关键程度;

分析和追踪

在分析阶段收集更多的数据(⽇志、视频、系统活动等)，从⽽试图了解事件发⽣的原因，并确定事件的源头是内部还是外部，

以及⼊侵者如何渗透的;

安全专家需要结合正式的培训以及真实经验来作出适当的解释，往往没有⾜够的时间;

追踪往往与分析和检查并⾏，⽽且需要剔除错误线索或故意的欺骗的源头;

另外⽐较重要的是⼀旦追踪到真正的源头时需要做什么。

报告

内部通报发⽣的事件并上报外部相关机构

恢复阶段

将系统恢复或修复到⼀个已知的良好状态。

⽬的是使得业务得以恢复和运⾏、让受影响的系统恢复⽣产，并与其他活动⼀致;

如果最后已知的映像或状态包含有实际造成事件的原因,那么恢复变得⾮常复杂,这种情况下,新得映像应该⽣成,并在应⽤移⼊⽣

产环境前测试

修复⼯作包括:阻⽌敏感端⼝、禁⽤易受攻击的服务或功能、打补丁等。

补救remediation

总结经验教训

事件处理的策略、⻆⾊和职

策略必须清晰简明、并对事件响应/处理团队授权来处理任意和所有的事件

虚拟团队

专职团队

混合模式团队

外包资源

配备⼈员并经过良好培训的事件响应团队

事件处理过程中可能需要升级

响应团队的核⼼领域

团队建⽴好需要进⾏培训并保持最新的培训，需要耗费极⼤的资源

⼩⼼处理公共消息披露

实时监测和预防措施

基本预防措施

保持系统和应⽤程序的及时更新

移除或⾦总不需要的服务和协议

使⽤⼊侵检测和预防系统

使⽤最新版反恶意软件程序

使⽤防⽕墙

执⾏配置和系统管理流程

了解攻击

僵⼫⽹

僵⼫牧⼈

拒