如何正确响应安全事件

在当今这个信息技术高度发达的时代,每一个组织和机构都要时刻准备着与信息安全威胁作斗争。在这场没有硝烟的信息化战争中,企业或组织不应该孤身奋战,而是应该与某些安全技术合作,以共同应对日趋复杂的安全风险。这将关系到自身网络系统的完整性,所以其重要性不言而喻。

你可能会认为,你们公司已经部署了应对计算机病毒、硬件故障和数据泄漏等安全事件的应急方案。但你要知道的是,你迟早会遇到一些意想不到的安全事件,这是任何企业或组织都无法避免的。当这类事件发生之后,我们应该怎样去正确地处理这些安全应急事件呢?

\

我们应该做好充足的准备,每一个企业和组织都应该根据自身特点来评估和处理这些安全事件。需要提醒大家的是,为了正确地响应安全威胁事件,则很有可能要迫使企业改变当前所采用的网络技术或工作方式,不过为了信息的安全,这样的“牺牲”还是可以接受的。

那么我们到底应该怎么做呢?接下来,我会在文章中列举出几个可以衡量安全事件响应策略的因素,希望你可以时刻谨记这些原则,并将它们用于工作实践中。

安全事件的严重性和分类

安全威胁事件会带来怎样的后果呢?先看看下面两种情况:

  1. 病毒感染了一台计算机,导致这台计算机目前暂时无法正常使用;

  2. CryptoLocker感染了一台服务器,导致企业的生产数据无法正常读取和使用;

很明显,这两个事件都需要技术人员迅速对其进行处理。事件1可能影响的只是一个人,而事件2影响的则是整个企业。毫无疑问,我们应该优先处理被感染的服务器。除此之外,如果企业同时发生了这两种安全事件,那么的确应该重新考虑一下自身所部署的安全防御策略了。

安全事件与基础设施攻击事件

CryptoLocker会让企业无法正常运作下去,而这一恶意软件也表明你的系统中存在严重的安全问题。不过其他的一些安全事件同样也有可能让你的工作无法正常进行下去,但这类安全威胁并不会影响到企业数据的完整性。

\

关注安全新闻的人想必都知道,美国域名服务器供应商Dyn近期曾遭受了一次大规模的分布式拒绝服务(DDoS)攻击,此次攻击导致美国东海岸地区的大量用户无法正常上网。尽管如此,但是公司和用户的数据仍然是安全的。不过我们依然要部署相应的安全策略来应对这种威胁,因为这类威胁将会给企业带来严重的经济损失。

安全事件响应中的“三R”原则:报告(REPORTING)、负责(RESPONSIBILITY)和资源(RESOURCES)

无论这一安全事件由谁负责处理,在遵循3R原则的企业中,每一个人都应该清楚并且了解这个策略的意义。当我们在面对安全事件时,当我们需要报告并且响应安全事件时,每一个人都应该清楚自己到底应该怎么做。

当用户尝试自己来处理这些安全问题时,一定要按照正确的方法来进行,否则将会引起更加严重的后果。还有一点一定要注意,当安全事件发生之后,不要急于追究此次安全事件发生的原因,因为这将有可能产生很多你不希望看见的负面影响。

除此之外,任何事件响应策略都应该考虑到方案执行过程中所需的资源。如果方案设计得非常好,但是企业却没有足够的人力资源和物力资源去实施的话,这样的安全事件响应策略又有什么意义呢?

了解自身缺陷,做出合理的选择

正是因为你在事件响应策略中定义了企业在面对安全事件时应该怎样去做,所以你应该要确保应对方案中的各方已经准备好随时去应对安全事件。比如说,如果你的公司缺少一位专业的IT技术人员,那么你就应该直接告诉你的第三方服务提供商,并且提前设计好相应的应急预案。

\

请记住,当我们在对事件作出响应时,我们已经身处危险地带了。所以请不要犹豫不决了,赶紧让安全专家来处理这些问题,如果处理不当,那么后果会更加严重。

告知

当安全事件发生之后,哪些人应该知道这一事件呢?这只是企业内部的问题吗?如果只是企业内部的问题,那么企业内的哪些员工应该知道这件事情呢?这次事件是否会对企业的客户、合作伙伴、以及其他第三方组织产生影响呢?他们应该知道这件事情吗?

你应该仔细考虑这次的安全事件会对哪些人产生影响,这是非常重要的。与此同时,你应该将有关此次事件的详细信息告知他们,无论是出于道德因素还是法律因素,你都应该这样做。除此之外你也应该注意到,这些事件将有可能影响到你与他人所签订的各种协议。

测试

这一方面就不需要进行过多的解释了。在事件响应策略制定完成之后,我们要对企业的执行力进行测试,只有通过测试才能够验证方案的有效性。你要确保所有的安全保护技术都通过了测试,让企业应急响应团队的成员知道自己的职责所在,并且根据企业当前的情况来对之前制定的响应策略进行修改。

当事件解决之后,你要对企业的安全响应策略进行修改和完善,以应对新的安全威胁。不仅如此,当你在根据企业环境制定响应的策略时,也要保证响应策略的灵活性,因为你将面对的很可能是各种各样未知的因素。