获得即时访问
这个蓝图

安全图标

制定和实施安全事故管理计划

创建一个可扩展的事件响应程序,而不打破银行.

  • 被跟踪的事件通常被归类为没有必要适用于组织的现成的反应. 有这么多分类, 跟踪变得低效和难以消化, 允许重大事件被忽视.
  • 事件应对策略的结果没有被正式跟踪或传达, 导致对事件的趋势和模式缺乏全面的了解, 导致再次被同一载体伤害.
  • 如果没有人遵守一个正式的事件响应文档来满足遵从性需求,那么它是没有用的.

我们的建议

关键的见解

  • 你会经历一些事情. 不要依赖现成的回答. 它们太宽泛了,很容易被忽视. 通过开发您自己的特定事件用例,可以节省组织的响应时间和混乱.
  • 定期分析、跟踪和审核事故响应结果. 没有对事件趋势和模式的全面了解, 您可能会再次受到同一攻击载体的攻击.
  • 在危机发生前建立沟通流程和渠道. 不要等到恐慌的时候. 与其他组织合作并交换信息,以应对即将到来的威胁.

影响和结果

  • 有效和高效的事件管理涉及正式的准备过程, 检测, 分析, 容器, 根除, 复苏, 和事后的活动.
  • 该蓝图将介绍开发与您的组织相关的可扩展和系统的事件响应程序的步骤.

开发和实施安全事故管理计划研究 & 工具

从这里开始——阅读执行概要

请阅读我们的简要执行简报,了解为什么你应该开发和实施一个安全事故管理程序, 回顾信息技术的方法, 了解我们可以支持你完成这个项目的四种方式.

3. 维护和优化

通过跟踪指标来管理和改进事件管理流程, 测试功能, 利用最佳实践.


会员推荐

在每一次信息技术体验之后, 我们要求我们的成员量化实时储蓄, 货币的影响, 和 我们的研究帮助他们实现了项目改进. 请参阅我们的顶级成员的经验为这个蓝图和 我们的客户想说什么.

8.6/10


总体影响

$33,932


平均美元救了

31


平均一天救了

客户端

经验

影响

美元了

天救了

Corix基础设施公司.

指导实施

10/10

$37,500

20

Afreximbank

指导实施

8/10

$23,500

110

飞机支持服务有限公司.

车间

10/10

$12,399

20

尼亚加拉地区自治市

车间

7/10

N/A

50

萨斯喀彻温省蓝十字

指导实施

8/10

N/A

5

Hyperloop技术公司.

车间

10/10

$37,199

20

梅西大学

车间

8/10

$61,999

5

OSI Group LLC)

车间

8/10

$30,999

20

绿林城村

指导实施

10/10

$2,479

10

Interdigital通信

车间

9/10

N/A

N/A

第一希望银行

车间

10/10

$12,399

18

PlayPower公司

指导实施

9/10

$30,999

10

多伦多社区住房公司

指导实施

10/10

N/A

N/A

纽约联邦住房贷款银行

指导实施

8/10

N/A

N/A

中心网络

指导实施

10/10

N/A

N/A

STERIS公司

车间

10/10

N/A

N/A

不列颠哥伦比亚省的交通

车间

9/10

$500K

20

内华达县

指导实施

8/10

N/A

7

艾尔德里的城市

指导实施

10/10

$10,000

5

罗斯福管理公司

车间

10/10

$46,499

47

橘子郡卫生区

指导实施

2/10

N/A

N/A

探索博物馆

指导实施

7/10

$2,555

2

丐顾问,公司.

指导实施

10/10

N/A

20

SIG信息技术有限公司

指导实施

10/10

N/A

N/A

亚特兰大

指导实施

8/10

$7,640

10

约翰逊县第一水区

车间

10/10

$619K

120

昆内特县

车间

10/10

N/A

N/A

安大略省金融服务监管局

指导实施

8/10

$10,000

5

Yamana黄金

指导实施

10/10

N/A

N/A

纽约大学阿布扎比分校 ? 阿布扎比

指导实施

10/10

$2,546

20


现场研讨会:制定并实施安全事件管理计划

现场研讨会提供了一种简单的方法来加速您的项目. 如果你不能自己做这个项目, 一个引导实现是不够的, 我们提供低成本的现场交付我们的项目车间. 我们将带您完成项目的每个阶段,并确保您有一个路线图,以成功地完成项目.

单元1:准备你的事故反应计划

目的

  • 理解事件响应的目的.
  • 形式化程序.
  • 确定关键玩家和升级点.

关键好处

  • 对事件响应重要性的共同理解.
  • 各种业务单位开始意识到他们在事件管理程序中的角色.
  • 正式的文档.

活动

输出

1.1

评估当前事件管理程序的过程、义务、范围和边界.

  • 对事件景观的理解
1.2

确定响应团队和升级点的关键角色.

  • 已确定的事件响应小组
1.3

正式的文档.

  • 安全事件管理章程
  • 安全事件管理策略
1.4

优先处理需要准备的事件.

  • 优先事件的列表
  • 安全事故管理的一般计划
  • 安全事件响应RACI图

模块2:开发特定于事件的运行本

目的

  • 记录清楚的响应程序 优先考虑的事件.

关键好处

  • 当事故发生时,清晰的反应程序被记录下来,以实现高效和有效的恢复.

活动

输出

2.1

对于每一个最重要的事件, 记录从检测到分析的工作流程, 容器, 根除, 复苏, 和事后分析.

  • 最多5个特定于事件的运行本

模块三:维护和优化程序

目的

  • 确保响应程序是现实和有效的.
  • 确定衡量计划成功的关键指标.

关键好处

  • 实时运行安全事件,确保角色和职责是已知的.
  • 理解如何衡量项目的成功.

活动

输出

3.1

有限范围的桌面练习.

  • 完成桌面演习
3.2

讨论关键指标.

  • 确定的关键成功指标

制定和实施安全事故管理计划

创建一个可扩展的事件响应程序,而不打破银行.

分析的角度

无论你是否准备好,安全事故都会发生. 勒索软件和数据泄露只是所有组织都要面对的几个首要威胁. 提前制定反应计划可以为你节省更多的时间和精力. 当事故发生时,不要浪费时间决定如何补救. 而, 主动确定你的应对团队, 优化你的响应程序, 并跟踪指标,这样你就可以随时采取行动.

席琳Gravelines,
高级研究分析师
安全、风险 & 合规信息技术研究小组

Céline Gravelines的图片

席琳Gravelines,
高级研究分析师
安全、风险 & 合规信息技术研究小组

我们对问题的理解

本研究的目的是

  • 一名首席信息官,负责处理以下事项:
    • 在对事故进行事后处理时,对时间和金钱的低效利用, 对业务收入和工作流程产生负面影响.
    • 来自管理层的阻力,无法充分制定正式的事件响应计划.
    • 事件未结束,导致再次受到同一媒介的伤害.

这项研究将帮助你

  • 开发一个一致的、可伸缩的、可用的事件响应程序,而不是资源密集型的.
  • 以正式的方式跟踪和沟通事件响应.
  • 随着时间的推移,减少事件的总体影响.
  • 从过去的事件中学习,以改进未来的响应过程.

这项研究也会有所帮助

  • 负责下列事项的业务涉众:
  • 改善工作流程,并在发生安全事故时管理操作,以减少对业务的不利影响.
  • 确保符合事件响应遵从性要求.

这项研究将帮助他们

  • 有效地分配资源,以改善事件频率方面的响应, 响应时间, 和成本.
  • 有效地向用户传达期望和责任.

执行概要

情况

  • 安全事故不可避免, 但是如何处理这些问题可以成就一个组织,也可以毁掉一个组织. 糟糕的事件响应会对业务实践产生负面影响, 包括工作流程, 收入, 和公众形象.
  • 大多数组织的事件响应都是临时性的 在最好的情况下. 一个正式的管理计划很少被开发或坚持, 导致消防响应效率低下,资源配置效率低下.

并发症

  • 被跟踪的事件通常被归类为没有必要适用于组织的现成的反应. 有这么多分类, 跟踪变得低效和难以消化, 允许重大事件被忽视.
  • 事件应对策略的结果没有被正式跟踪或传达, 导致对事件的趋势和模式缺乏全面的了解, 导致再次被同一载体伤害.
  • 如果没有人遵守一个正式的事件响应文档来满足遵从性需求,那么它是没有用的.

决议

  • 有效和高效的事件管理涉及正式的准备过程, 检测, 分析, 容器, 根除, 复苏, 和事后的活动.
  • 该蓝图将介绍开发与您的组织相关的可扩展和系统的事件响应程序的步骤.

信息技术的见解

  • 你会经历一些事情. 不要依赖现成的回答. 它们太宽泛了,很容易被忽视. 通过开发您自己的特定事件用例,可以节省组织的响应时间和混乱.
  • 定期分析、跟踪和审核事故响应结果. 没有对事件趋势和模式的全面了解, 您可能会再次受到同一攻击载体的攻击.
  • 在危机发生前建立沟通流程和渠道. 不要等到恐慌的时候. 与其他组织合作并交换信息,以应对即将到来的威胁.

数据泄露给各行各业带来了巨大的成本

基准公司按行业分类的人均成本(以美元计算)

这是一个柱状图,显示了基准公司按行业分类的人均成本(以美元衡量). 这些公司, in decreasing order of cost: Health; Financial; Services; Pharmaceutical; Technology; Energy; Education; Industrial; 娱乐; Consumer; Media; Transportation; Hospitality; 零售; 研究; 公共

2018年,每份泄露记录的平均数据泄露成本创下148美元的历史新高.
(资料来源:IBM,“2018年数据泄露成本研究”)

受数据泄露影响的系统百分比
1%
没有影响
19%
1 - 10%的影响
41%
11 - 30%的影响
24%
31 - 50%的影响
15%
> 50% impacted
因数据泄露而损失的客户百分比
61% 失去了
< 20%
21% 失去的20 - 40% 8% 失去了
40-60%
6% 失去了
60-80%
4% 失去了
80-100%
因数据泄露而损失的客户百分比
58% 失去了
<20%
25% 失去了
20-40%
9% 失去了
40-60%
5% 失去了
60-80%
4% 失去了
80-100%

来源:思科,《澳博体育app下载》

定义什么是安全事件管理

这一事件

引起的不属于服务标准操作一部分的任何事件, 或可能导致, 的中断, 或者减少, 服务的质量.

安全事件:

A 安全事件 会发生这样的事情吗 有可能 对资讯保安有影响.

  • 垃圾邮件是一个安全事件,因为它可能包含恶意软件的链接.
  • 组织每天可能会受到数千或数百万个可识别的安全事件的袭击.
  • 这些通常由自动化工具处理,或者只是简单地记录下来.

安全事件:

A 安全事故 这是一个安全事件吗 结果 如数据丢失等损坏.

  • 事故还可以包括不涉及损害但存在切实风险的事件.
  • 例如, 员工点击通过过滤的垃圾邮件链接可能会被视为事件.

这不是你是否会发生安全事故的问题,而是什么时候发生

日益复杂和普遍的威胁终于引起了企业领导人的注意. 准备一个不可避免的事件响应程序.

  1. 一个正式的事件响应程序降低了数据泄露的平均成本(人均) $148 to $134,而第三方的参与增加了成本 $13.40.
  2. 美国的组织损失了平均水平 of $7.9100万年 每个数据违反 由于顾客流失和商誉的减少. 加拿大和英国也纷纷效仿 $1.57$1.3900万年分别.
  3. 73% 外来者的入侵, 50% 是犯罪集团干的吗 28% 涉及内部演员.
  4. 55% 许多公司不得不处理后果,比如数据泄露后的声誉损害.
  5. 数据泄露的平均成本会增加 100万美元 如果不被发现 > 100 days.

(来源:IBM, “2018 Cost of Data Breach Study”; 威瑞森, 2017年数据泄露调查报告”; 思科, 《澳博体育app下载》)

威胁演员的例子

黑客技术的扩散和黑客工具的商品化使更多人成为威胁行为者. 例子包括:
  • 有组织犯罪集团
  • 孤独的网络犯罪
  • 竞争对手
  • 国家
  • 黑客行为主义者
  • 恐怖分子
  • 前雇员
  • 国内情报服务
  • 现任员工(恶意和意外)

事件管理程序的好处

有效的事件管理可以帮助你做到以下几点:

改善效果
开发结构化流程,以增加整个事件响应团队和项目的流程一致性. 揭露运营上的弱点和从消防到创新的过渡团队.

提高威胁检测、防范、分析和响应能力
通过一个结构化和智能驱动的事件处理和补救框架,提高您的压力姿态.

提高可见性和信息共享
促进内部和外部的信息共享,以实现良好的决策.

建立并明确责任和职责
在整个事件响应计划中建立明确的问责制, 并确保服务交付中涉及的所有任务和流程的角色责任.

控制安全成本
有效的事故管理操作将为您的补救过程提供可见性, 通过错误诊断问题和减少事故减少成本.

识别持续改进的机会
提高对当前绩效水平的可见性,并通过整体测量计划准确地识别持续改进的机会.

影响

短期:
  • 精简的安全事件管理程序.
  • 形式化和结构化的响应过程.
  • 业务差距和倡议的全面清单.
  • 详细的响应运行本,预定义必要的操作协议.
  • 遵从性和遵守审计.
长期:
  • 减少事故成本和补救时间.
  • 加强预防、检测、分析和应对工作之间的业务协作.
  • 安全压力态势增强.
  • 改善与主管之间关于业务相关安全风险的沟通.
  • 保持声誉和品牌价值.

事件管理对于任何规模的组织都是必不可少的

您的事件可能不同,但标准的响应可以确保实际的安全性.

某些法规和法律要求事件响应是组织中的强制性流程.

遵循标准的例子 描述
联邦信息安全现代化法案 (FISMA)
  • 组织必须有“检测程序”, 报告, 以及对安全事件的反应”(2002).
  • 他们还必须“将当前和潜在的信息安全威胁和漏洞告知机构信息系统的操作员”.”
联邦信息处理标准 (FIPS)
  • “各组织必须:(i)为组织信息系统建立业务事故处理能力,包括充分的准备, 检测, 分析, 容器, 复苏, 用户响应活动.”
支付卡行业数据安全标准 (PCI DSS v3)
  • 12.5.3:“建立, 文档, 分发安全事件响应和升级程序,确保及时有效地处理所有情况.”
健康保险便携性和责任法案 (HIPAA)
  • 164.308: Response 和 Reporting – “Identify 和 respond to suspected or known 安全事故s; mitigate, 在可行的范围内, harmful 效果s of 安全事故s that are known to the covered entity; 和 文档 安全事故s 和 their outcomes.”

安全事件管理适用于所有垂直行业

例子:
  • 金融
  • 保险
  • 医疗保健
  • 公共管理
  • 教育服务
  • 专业服务
  • 科技服务

维护一个整体的安全操作程序

传统的安全操作中心(soc)无法解决数据源之间的差距, 网络控制, 和人力资本. 部门之间的可见性和协作有限, 导致不支持组织最佳利益的孤立决策.

安全行动是信息技术称之为 威胁的协作环境, 在什么情况下,成员必须积极合作,以应对影响组织品牌的网络威胁, 业务操作, 以及日常的技术基础设施.

预防: 纵深防御是抵御未知和不可预测攻击的最佳方法. 勤奋的补丁和漏洞管理, 端点保护, 强有力的以人为中心的安全(在其他策略中)是必不可少的. 检测: 有两种类型的公司——那些被入侵并且知道的公司, 还有那些被入侵却不知道的人. 确保监控, 日志记录, 事件检测工具已经就位,并且适合您的组织需求.
分析: 未经解释的原始数据不能提高安全性,而且会浪费时间、金钱和精力. 建立分层的操作流程,不仅可以丰富数据,还可以提供对威胁情况的可见性. 回复: 组织不能再依赖于一个特别的反应-不要等到恐慌的状态. 在详细的事件运行手册中形式化您的响应过程,以减少事件补救的时间和工作.

信息技术公司的事件响应蓝图是四项安全行动计划之一

设计和实现一个漏洞管理程序 脆弱性管理
漏洞管理围绕着识别, 优先级, 以及漏洞补救. 漏洞管理团队寻找需要修补和补救的漏洞.
  • 缺陷追踪工具
  • 漏洞扫描工具RFP模板
  • 渗透测试RFP模板
  • 漏洞缓解过程模板
将威胁情报集成到您的安全操作 脆弱性管理
漏洞管理围绕着识别, 优先级, 以及漏洞补救. 漏洞管理团队寻找需要修补和补救的漏洞.
  • 威胁情报成熟度评估工具
  • 威胁情报RACI工具
  • 威胁情报管理计划模板
  • 威胁情报政策模板
  • 威胁情报警报模板
  • 威胁情报警报和简报节奏时间表模板
发展基础安全操作流程 操作
安全操作包括基于内部和外部数据源的相关性对事件进行实时监控和分析. 这也包括基于影响的事件升级. 这些分析师不断地调整和调整规则并报告阈值,以进一步帮助确定哪些指标在操作的分析阶段最有影响.
  • 安全操作成熟度评估工具
  • 安全操作事件优先级工具
  • 安全运作效率计算器
  • 安全操作政策
  • 内部和. 外包决策工具
  • seccrimewaresecurity 操作 RACI工具
  • 安全操作TCO & ROI比较计算器
制定和实施安全事故管理计划 事件反应(IR)
有效和高效的事件管理涉及正式的分析过程, 容器, 根除, 复苏, 和事后的活动. 事件响应团队协调根本原因和事件收集,同时促进从事件中吸取教训. 事件响应可以提供有价值的威胁数据,将特定指标与威胁行为者或活动联系起来.
保安事故管理政策
  • 保安事故管理计划
  • 事件响应成熟度评估工具
  • 安全事故运行簿优先级工具
  • 安全事件管理RACI工具
  • 各种事件管理运行手册

了解事件响应如何与相关流程相关联

信息技术资源:
业务连续性计划 制定业务连续性计划
灾难恢复计划 创建大小合适的容灾恢复计划
安全事件管理 制定和实施安全事故管理计划
事件管理 事件和问题管理
服务台 标准化服务台

制定和实施安全事故管理计划-项目概述

1. 准备 2. 操作 3. 维护和优化
最佳实践工具 1.1确立驱动因素、挑战和利益.

1.2检查安全事件的情况和趋势.

1.3了解您的安全义务、范围和边界.

1.4评估你当前的过程,找出差距.

1.制定安全事故管理章程.

1.6识别关键客户并建立呼叫上报树.

1.制定安全事故管理政策.

2.1了解事件响应框架.

2.理解Runbooks的目的.

2.3对特定事件运行手册的开发进行优先级排序.

2.开发优先级最高的运行手册.

2.5填写根本原因分析模板.

2.6定制事后回顾问题跟踪工具,将经验总结会议中有用的问题标准化.

2.7填写安全事件报告模板.

3.1进行桌面练习.

3.初始化一个安全事件管理度量程序.

3.利用最佳实践进行持续改进.

引导实现 了解事件响应流程, 定义你的安全义务, 范围, 和边界.

制定事件管理章程,RACI和事件管理政策.
使用这个框架来制定一个一般的事件管理计划.

优先级和开发优先级最高的运行手册.
发展和促进桌面练习.

创建一个事件管理度量程序, 并评估事故管理计划的成功.
现场车间 模块1:
做好事故应变准备
模块2:
处理事件
模块3:
检查和沟通安全事故
阶段1的结果:
  • 正式的涉众的支持
  • 保安事故管理政策
  • 保安事故管理约章
  • 电话升级树
  • 阶段2的结果:
    • 一个广义的事件管理计划
    • 按优先顺序排列的事件列表
    • 最优先事件的详细运行手册
    阶段3的结果:
    • 用于对安全事件度量进行基准测试的形式化跟踪系统.
    • 优化安全事故管理流程的建议.

    车间概述

    联系您的帐户代表或电子邮件 研讨会@InfoTech.com 的更多信息.

    车间第一天 车间第二天 车间第三天 车间第四天 车间第五天
    活动
    • 开场和介绍.
    • 每周活动和结果的高层概述.
    • 了解安全事件响应管理的好处.
    • 形式化涉众的支持.
    • 评估您当前的流程、义务和范围.
    • 开发RACI图.
    • 定义影响和范围.
    • 确定威胁升级协议的关键人物.
    • 制定安全事件响应策略.
    • 制定一般的安全事件响应计划.
    • 优先考虑特定于事件的运行簿开发.
    • 了解事件响应流程.
    • 开发一般的和特定于事件的呼叫升级树.
    • 为你最优先的事件制定具体的运行手册.g. ransomware).
      • 检测到事件.
      • 分析这一事件.
      • 包含事件.
      • 根除根源.
      • 从事故中恢复过来.
      • 进行事后分析和沟通.
    • 为你的下一个优先事件制定具体的运行手册:
      • 检测到事件.
      • 分析这一事件.
      • 包含事件.
      • 根除根源.
      • 从事故中恢复过来.
      • 进行事后分析和沟通.
    • 确定要跟踪和报告的关键指标.
    • 制定事后活动文档.
    • 了解内部和外部沟通的最佳实践.
    • 最终确定在研讨会期间创建的关键交付物.
    • 向关键利益相关者展示安全事件响应程序.
    • 研讨会执行报告和汇报.
    • 完成主要可交付成果.
    • 安排随后的分析师电话.
    • 进度反馈的电话.
    可交付成果
    • 安全事故管理成熟度检查表-初步
    • 安全事件管理RACI工具
    • 保安事故管理政策
    • 一般事件管理计划
    • 安全事故管理手册
    • 开发优先级
    • 运行本的优先列表
    • 了解事故处理流程
    • 两个事件的特定事件运行簿(包括威胁升级标准和Visio工作流)
    • 与响应团队讨论要点
    • 两个事件的特定事件运行簿(包括威胁升级标准和Visio工作流)
    • 与响应团队讨论要点
    • 安全事件度量工具
    • 事后回顾问题跟踪工具
    • 事后报告分析模板
    • 根本原因分析模板
    • 事后回顾问题跟踪工具
    • 沟通计划
    • 车间总结文档
  • 所有的最终可交付成果
  • 指导实现的测量值

    参与GIs不仅能提供有价值的项目建议,还能显著节省成本.

    GI 目的 测量值
    第一节:准备

    理解事件响应程序的必要性.
    制定事故应对政策和计划.
    围绕事件进行分类.
    建立你的计划实现路线图.

    使用我们的分类指南和模板节省的时间、价值和资源: 2 fte *2天*$80,000/年= $1,280
    使用我们的分类指南和模板节省的时间、价值和资源:
    2 fte *5天*$80,000/年= $3,200

    第二部分:操作

    优先级运行书和开发过程,以创建自己的事件响应程序:

  • 检测
  • 分析
  • 包含
  • 根除
  • 恢复
  • 事后的活动
  • 使用我们的指导节省的时间、价值和资源:
    4 fte *10天*$80,000/年= $12,800 (如果在内部完成)

    使用我们的指导节省的时间、价值和资源:
    1名顾问*15天* 2,000元/天= $30,000 (如由第三者提供)
    第三部分:维护和优化 开发适当的报告方法,并创建与关键方沟通事件响应的模板. 使用我们的指导、模板和桌面练习节省的时间、值和资源:
    2 fte *3天*$80,000/年= $1,920
    总成本 只是为了启动一个事故响应程序. $49,200

    保险 company put 事件响应 aside; executives were unhappy

    组织实施ITIL, 但是正式的程序设计变得不那么重要,而变得更加特别.

    情况

    • 特别的流程导致了管理层对组织对数据泄露的无效反应的不满.
    • 因为缺乏正式的流程, 需要开发一个全新的安全团队, 花费人们的职位.

    挑战

    • 缺乏对安全事件进行分类和分类的标准.
    • 需要彻底改革这个长期存在但无效的计划意味着试图改变人们的观念, 哪些是耗时的.
    • 服务台对安全不是很了解.
    • 新的事件响应程序需要与数据分类政策和业务连续性保持一致.
    • 缺乏与MSSP票务系统的集成.

    下一个步骤:

    • 需要让涉众购买一个新项目.
    • 开始建立分类/报告程序.

    跟随这个案例研究到第1阶段

    第一阶段

    准备

    制定和实施安全事故管理计划

    第一阶段:准备

    第一阶段 第二阶段 第三阶段
    准备 操作 优化

    这个阶段将带领你完成以下活动:

    1.1确立驱动因素、挑战和利益.
    1.2检查安全事件的情况和趋势.
    1.3了解您的安全义务、范围和边界.
    1.4评估你当前的过程,找出差距.
    1.制定安全事件管理章程.
    1.识别关键客户并建立呼叫上报树.
    1.制定安全事件管理策略.

    这一阶段包括以下参与者:

    • CISO
    • 安全团队
    • IT人员
    • 商业领袖

    这一阶段的结果

    • 正式的涉众的支持.
    • 保安事故管理政策.
    • 保安事故管理章程.
    • 电话升级树.

    第一阶段概述

    电话1 - 或电子邮件 GuidedImplementations@InfoTech.com 的更多信息.

    您可以自己完成这些步骤,或者请我们来完成指导实现. 指导实现是一系列2-3个咨询电话,帮助您执行项目的每个阶段. 他们被列入大多数顾问会员.

    指导实施1:准备事故响应
    计划完成时间:3周
    步骤1.1-1.3了解事件响应 步骤1.4-1.开始开发你的程序
    从一个分析师的开场电话会议开始:
  • 讨论您当前的事件管理状态.
  • 与分析师一起回顾发现的问题:
  • 审查文件.
  • 然后完成这些活动……
    • 建立您的安全义务、范围和边界.
    • 确定正式事件响应的驱动因素、挑战和好处.
    • 检查任何现有的文档.
    然后完成这些活动……
    • 讨论进一步的事件响应要求.
    • 确定升级和通知的关键角色.
    • 发展政策.
    • 开发计划.

    用这些工具 & 模板:
    安全事故管理成熟度检查表-初步 信息安全要求收集工具

    用这些工具 & 模板:
    保安事故管理政策
    保安事故管理计划
    第一阶段结果 & 见解:

    现成的事件响应解决方案通常包含太多的覆盖范围:包含了太多不适用于组织的无关案例, 这让你很难从所有的事件中筛选出你关心的. 开发与相关事件相对应的特定事件用例,以快速识别响应过程,并在由不同的人处理时消除歧义.

    打破僵局:什么是 安全事故 为你的组织?

    1.1个白板练习——60分钟

    如何对服务台、IT/基础设施和安全之间的各种事件类型进行分类?

    • 用各种事件填充便利贴,并将它们分配给适当的团队.
      • 谁拥有补救措施? 其他团体何时参与? 什么是分诊/升级流程?
      • 需要通知的其他组(e.g. 网络保险、法律、人力资源、公关)?
      • 事件之间有相关性吗?
      • 我们在这个项目的范围内包括哪些内容?

    1.1确立完成这个项目的驱动因素、挑战和好处

    不要让您的痛点和阻滞剂妨碍您使用安全事件管理的许多好处.

    司机

    由于没有遵循事件管理的正式流程,您目前面临着哪些问题和威胁?

    挑战

    为什么这个新项目还没有开始? 是什么阻止了管理层的加入?

    好处

    开发和遵循事件响应计划会给业务带来什么好处? 这样做的好处必须大于阻碍,才值得.

    典型的痛点包括:

    • 易受风险影响
    • 对受损和损失的资产进行昂贵的维修
    • 停机时间的资源
    • 浪费时间和精力追溯修补可预防的安全问题
    • 法律和合规后果
    • 声誉损失

    典型的挑战包括:

  • 时间限制
  • 预算限制
  • 业务中断
  • 缺乏明确的ROI
  • 过度自信: “We have the best technical defenses; we won’t face harmful incidents.”
  • 典型的好处包括:

    • ↓停机时间
    • ↓重复/重复出现的事件
    • ↓声誉损失
    • ↑资产保护
    • ↑生产力
    • ↑法规遵从性
    • ↑防备
    • ↑用户满意度

    1.2威胁载体和攻击类型的范围很广

    拒绝服务

    27%

    网络和系统可用性的折衷. 大多数目标行业包括:
    • 娱乐
    • 专业服务
    • 公共

    滥用特权

    18%

    恶意使用内部资源. 常用用例包括:
    • 医疗工作者窃取PII
    • 内部驱动的公共管理数据泄露

    Crimeware

    16%

    恶意软件与主要基于电子邮件的交付:
    • Ransomware
    • C2利用
    • 蠕虫

    网络应用程序的攻击

    15%

    利用代码级漏洞以及阻挠应用程序机制. 演员的策略包括:
    • 偷来的凭证
    • SQLi
    • 蛮力

    物理盗窃

    14%

    信息资产丢失(由于错位或恶意). 最常见的目标行业包括:
  • 公共
  • 医疗保健
  • 各种各样的错误

    6%

    危及安全资产属性的无意操作. 例子包括:
    • 交错货物
    • 发布错误
    • 处理错误

    网络间谍

    0.7%

    未经授权的恶意网络访问. 大多数目标行业包括:
    • 制造业
    • 公共
    • 专业

    销售点(POS)

    0.5%

    对POS终端和控制器进行远程攻击. 最常见的目标行业包括:
    • 住宿 & 食品服务
    • 零售

    支付卡撇油器

    0.2%

    被植入资产以读取支付卡的略读设备. 设备包括:
    • 自动取款机
    • 加油站
    • POS终端

    其他的一切

    2%

    任何不属于其他类别的事件:
    • 网络钓鱼
    • 碳足迹
    • 电话窃听丑闻
    (来源:威瑞森,《澳博体育app下载》)

    根据威瑞森的“2017年数据泄露调查报告”,88%的攻击属于10个领域.”

    理解为什么您的组织应该关注安全事件管理

    一个无效的事件管理过程可能会导致生产力的丧失, 更多的停机时间, 以及更高的支持成本.

    这张图片显示了与糟糕的事件管理相关的各种成本. 的 headlines are: 公司ident resolution takes too long; 公司idents don’t get fixed properly initi所有y; 公司idents get escalated too quickly; 公司idents are 不 prioritized correctly at intake.

    了解任何类型的安全事件如何影响您的安全程序资源

    今天,安全资源的处理方式与其他IT项目资源的处理方式一样.

    你有年度预算分配, 你看看你必须要做的项目, 你看你认为你的安全姿势应该是什么, 你分配时间, 钱, 以及处理这些问题的资源.

    理解什么构成安全事件:

    • 传统的安全事故 包括恶意软件检测、系统可用性损失或数据泄漏.
    • 安全事件也可以发生 IT扩张或增长 安全计划没有计划到的. 如果业务或IT进行了一些没有预先保护的IT系统更改, 它可以对安全程序资源具有相同的效果.
    该图包含一个折线图,显示缓解和控制支出随时间的变化情况, 比较被动缓解态势的较高成本与主动缓解态势的较低成本

    建立统一的威胁协作环境

    安全行动是信息技术称之为 威胁的协作环境, 在什么情况下,成员必须积极合作,以解决影响组织品牌的威胁, 操作, 和技术基础设施.

    事件响应
    • 管理事件升级和响应.
    • 协调根本原因和事件收集.
    • 促进事后的经验教训.
    制定和实施安全事故管理计划
    脆弱性管理
    • 管理系统补丁和风险接受.
    • 进行脆弱性评估和渗透测试.
    设计和实现一个漏洞管理程序
    威胁情报
    • 收集和分析外部威胁数据.
    • 与同行、行业和政府保持联系.
    • 发布威胁警报、报告和简报.
    将威胁情报集成到您的安全操作
    安全操作
    • 实时监控和分类事件.
    • 将事件升级到事件管理团队.
    • 调优和调整规则并报告阈值.
    发展基础安全操作流程

    信息技术的最佳实践

    确保信息在威胁协作环境中自由流动——每个功能都应该如此 用于饲料提高下一个.

    使用安全事件管理清单快速评估当前流程

    然而,并不是每一个度量对于一个成功的事件管理过程都是必要的, 巨大的差距表明需要改进事件管理的地方.

    1. 准备

    • 事件管理倡议得到高级管理层的支持.
    • 正式的事件响应策略包含在企业安全策略中.
    • 成立专责小组处理保安事故.
    • 一个正式的事件响应过程被记录下来.
    • 员工/用户意识到他们的角色和责任.
    • 员工知道什么时候和向谁升级事件.

    2. 操作

    • 有事故检测的控制装置(如.g. 国内流离失所者,杀毒软件).
    • 所有事件的证据都被保存、保护和记录下来.
    • 事件在被发现后被分类.
    • 对事件信息进行分析.
    • 有适当的控制措施来控制事件(例如.g. 沙盒).
    • 当事件的原因消除后,进行脆弱性评估.
    • 恢复后包括恢复常规操作的确认.
    • 实行组织间的信息共享/协作.
    • 对事件进行尸检.
    • 重大事件发生后,会召开一次吸取教训的会议.

    3. 维护和优化

    • 事件响应程序定期更新.
    • 对安全事件度量进行跟踪,并将其用作未来改进的基准.
    • 定期与管理层沟通相关事件.
    • 公共关系沟通计划是在发生重大安全事件时制定的.
    • 定期进行桌面练习和模拟.

    完成 安全事故管理成熟度检查表 -定期初步想象你的进步

    1.2安全事故管理成熟度检查表-初步- 20分钟

    利用信息技术的 安全事故管理成熟度检查表-初步.

    此图像包含安全事件管理成熟度检查表工具的截图

    1.使你的计划与公司的目标和义务相一致

    安全领导人面临的一个共同挑战是学会用对业务主管有意义的术语表达他们的计划.

    明确安全操作程序的重要性,使之与决策者的总体战略相一致.

    资源和资金通常依赖于安全计划与业务目标的一致性.

    企业的目标和目标可以分为三个主要的部分:

    1. 企业的义务
      组织的主要目标和职能. 例子包括客户保留、增长、创新和客户体验.
    2. 消费者的义务
      内部和外部利益相关者的需要和要求. 示例包括易用性(外部)、数据保护(外部)和场外访问(内部).
    3. 合规义务
      组织遵守强制性和/或自愿性标准的要求. 例如HIPAA、PIPEDA和ISO27001.

    不要带着安全的心态来处理上面的列表——要从业务的角度出发,并相应地调整您的安全工作.

    信息技术的最佳实践

    开发安全操作策略是一项积极主动的活动,它使您能够在任何即将到来的业务项目或行业趋势之前, 而不是在之后做出反应. 考虑尽可能多的可预见变量!

    确定您的程序范围和边界

    您必须定义所有与安全相关的职责领域. 完成后,您应该清楚地了解您想要确保的内容.

    问问你自己:
    责任的义务止于何处?

    组织的范围和边界可以分为四个主要的桶:

    1. 物理范围
      安全操作程序负责的物理位置. 示例包括办公地点、远程访问和客户/供应商.
    2. IT系统
      必须由安全操作程序保护的网络系统. 示例包括完全拥有的系统、IaaS、PaaS和远程托管的SaaS.
    3. 组织范围
      将受安全操作程序影响的业务单位/部门/部门. 例如用户组、部门、子公司等.
    4. 数据范围
      业务处理的数据类型,以及每种数据的隐私/临界级别. 例子包括绝密、机密、私人和公共.

    这也包括什么是 范围内. 对于一些外包服务或地点,您可能不负责安全. 在某些业务部门中,您可能无法控制安全流程. 确保你在一开始就清楚地说明哪些内容将被包括在内,哪些内容将被排除在安全考虑之外.

    参考信息技术的安全战略:目标、义务和范围活动

    明确地理解安全性如何与核心业务任务保持一致,对于制定战略计划和履行业务推动者的角色至关重要.

    下载并完成信息安全目标、义务和范围活动(第1节.3)在信息技术安全策略研究出版物内. 如果之前已经完成了,花点时间回顾一下你的结果.

    目标 & 义务
    通过每张幻灯片进行讨论,讨论安全操作支持业务的方式, 客户, 和合规需求.

    项目范围 & 边界
    评估您当前的组织环境. 记录当前的IT系统、关键数据、物理环境和部门.

    如果没有明确定义的公司战略, 以下问题可以帮助你明确目标:

    • CEO传达的信息是什么?
    • 投资和项目的主题是什么?
    • 衡量高层领导的标准是什么?

    信息技术的机会

    有关如何完成目标和义务活动的更多信息,请参考 第一节.3 信息技术的蓝图, 建立资讯安全策略.

    完成资讯保安要求收集工具

    的下列标签填写 信息安全要求收集工具.

    在选项卡1. 目标和义务:
  • 记录所有业务、客户和合规义务. 确保每个项目都反映了总体业务战略和 不是 以安全为目的.
  • 在第二列中,确定支持该义务的相应安全活动.
  • 此图像包含“资讯保安要求收集工具”的选项卡1的截图, 这将提示用户在一列中记录业务义务, 以及支持业务的安全义务.
    选项卡2. 范围和边界:
  • 记录物理范围内/外的所有细节, IT, 组织, 和数据透视图.
  • 完成附属的列以进行全面的范围评估.
  • 作为讨论指南,请参考在此之前的第一阶段的考虑事项幻灯片.3.
  • 此图像包含“资讯保安要求收集工具”的标签2的截屏.

    为了事件响应计划的目的, 请忽略表3中的风险承受活动.

    信息技术的最佳实践

    安全领导人面临的一个共同挑战是,如何用对业务主管有意义的术语表达他们的计划. 此练习有助于明确业务所关心的事情与安全团队试图做的事情之间的联系.

    1.进行全面的事件响应成熟度评估

    下面的幻灯片将引导您完成下面的过程.

    为您即将到来的计划构建一个甘特图
    最终的输出将是甘特行动你的优先计划.
    定义你的当前 & 目标状态
    自我评估您当前的安全操作能力,并确定您的预期状态.
    制定你的间隔计划
    确定实现目标状态必须完成的操作流程.
    优先考虑你的计划
    定义你的优先级标准(成本, 努力, 对齐, 安全利益),基于您的组织.

    信息技术的见解

    渐进的改进为IT和您的组织提供了最大的价值. 从预先的基础跳到完全的优化是一个无效的目标. 对安全性能的系统改进为组织的每一步都带来了价值.

    为每个安全能力分配一个反映的和期望的成熟度分数

    您的当前状态和目标状态成熟度将使用能力成熟度模型集成(Capability maturity Model Integration, CMMI)尺度来确定. 确保所有参与者都理解1-5的缩放(其中1是临时的,5是优化的).

    1. 初始/临时:活动没有很好地定义,是临时的. 例如, 没有正式的角色和职责, 事实上的标准是在个别的基础上遵循的.
    2. 发展:活动建立,并适度地坚持执行. 例如, 虽然没有正式的政策被记录下来, 内容管理是隐式地或在个体的基础上进行的.
    3. 定义:正式建立活动, 记录, 可重复的, 并与过程的其他阶段相结合. 例如, 角色和职责已经在一个可访问的策略中定义和记录, 但是度量标准并没有被积极地监控和管理.
    4. 管理和可测量:通过收集定性和定量反馈来跟踪活动执行. 例如,已经建立了用于监测一级SOC分析师有效性的指标.
    5. 优化:采用定性和定量反馈,不断提高活动的执行. 例如, 该组织是各自领域的行业领导者,并分配研究和开发努力,不断探索更有效的方法来完成手头的任务.

    请注意

    信息技术部门很少看到客户的CMMI得分达到4或5分.

    为了达到最优化的状态,必须在其他地方进行权衡.

    我们建议组织争取CMMI的3-4分.

    评估当前状态功能并确定适当的目标状态

    利用信息技术的 事件响应成熟度评估工具.

    这是用于确定当前功能的表的图像, 确定目标成熟度等级

    信息技术的最佳实践

    当您定制您的间隔计划, 考虑您的组织需求和范围 现实的. 下面是一个现实与. 崇高的行动:
    崇高的:进行彻底的、手动的安全分析.
    现实的:利用我们的SIEM平台,通过使用日志信息来执行更自动化的安全分析.

    整合相关的差距计划,以简化和简化您的路线图

    确定差距计划之间的共性领域,以便使用信息技术有效地和高效地实施您的新计划 事件响应成熟度评估工具.

    步骤:

    1. 在审查和记录每个安全控制计划之后, 开始按共性排序控件, 哪里可以共享资源, 或者类似的最终目标和行动. 首先,复制 所有 计划从 选项卡2. 当前状态的评估标签4. 计划列表事件响应成熟度评估工具 然后巩固它们.
    2. 倡议 统一的行动
      文件数据的分类和处理 可接受的使用政策(AUP) 文件数据的分类和处理 AUP 将紧急/异常的计划分开,这样它们就可以得到适当的处理
      文件可移动媒体 AUP 定义并记录AUP 其他类似/有关的倡议可合并为一个项目
      将BYOD和移动设备记录在 AUP
      将公司资产记录为 AUP
    3. 审查分组的计划,并确定应该分开和单独定义的具体计划.
    4. 将您合并的差距计划记录在 事件响应成熟度评估工具, 选项卡5. 项目优先级.

    了解您的组织成熟度差距

    在输入你当前和目标分数,并在表2中定义你的间隔时间计划后,回顾 选项卡3. 成熟的差距 in 信息技术公司的事件响应成熟度评估工具.

    为您当前的成熟度状态评估自动构建的图表和表格提供了当前成熟度的清晰可视化.

    向涉众和管理层展示这些数字可以帮助直观地将注意力吸引到高优先级领域, 帮助你了解你将寻求支持的差距计划的背景.

    此图像包含两个比较目标值和当前值的条形图. 上面的图比较计划和方向,下面的图比较安全成熟度级别.

    信息技术的最佳实践

    通过将相关图表和表格复制到涉众交流演示文稿中,向涉众传达未来安全项目的价值.

    定义成本、工作量、一致性和安全效益

    为您的间隔计划定义低、中、高资源分配和其他变量 事件响应成熟度评估工具. 这些变量包括:

    1. 定义初始成本. 第一次,前期资本投资. 较低的分界点是一个可以在几乎没有监督的情况下被批准的项目. 这一高价将需要重大批准或正式的资本投资申请. 初始成本包括诸如设备成本、安装和基于项目的咨询费等项目.
    2. 定义持续的成本. 这是任何年度经常性经营费用,是新的预算成本(e.g. 许可或租金费用). 不计入FTE员工成本. 一般来说,您可以将初始成本的20-25%作为持续的维护和服务成本.
    3. 以小时为单位定义初始员工. 这是完成一个项目所需的总时间(以小时为单位). 注意:它不是总运行时间,而是专用时间. 考虑研究、编制文件、实施、审查、设置、调整等所需的时间. 考虑所有员工所需的工作时间(2名员工工作8小时,意味着共16小时).
    4. 以小时为单位定义正在进行的人员编制. 这是支持该计划所需的每周持续的平均小时数. 这涵盖了计划的所有操作、维护、审查和支持. 一些计划将有一个星期的时间承诺.g. 使用我们的工具每周执行一次漏洞扫描),而其他可能每月/每季度/每年的时间承诺需要平均每周进行(例如,每周执行一次漏洞扫描).g. 执行年度安全审查要求0.4小时/周[共计0小时/50工作周/年]).
    初始成本
    媒介
    持续的成本
    (年度)
    媒介
    以小时计算的初始人手编制
    媒介
    以小时/周计算的持续员工人数
    媒介

    信息技术的最佳实践

    在考虑这些参数时,目标是使用已经存在的资源分配.

    例如, 如果有一个美元价值需要你为一项支出寻求批准, 这可能是中等和高成本类别之间的区别.

    定义成本、工作量、一致性和安全效益

    1. 定义与业务的一致性. 这个变量是用来捕获差距计划与组织目标和目标的一致性. E.g. 一些高度一致的事情通常可以与一个具体的组织计划联系起来,并将得到高级管理人员的支持. 你可以:
      • 根据组织将提供的支持水平设置低、中、高三个等级.g. high – senior management support; medium – VP/business unit head support; low – IT support only).
      • 将具体的公司目标或计划归因于差距计划(e.g. high – directly supports a 客户 requirement/key contract requirement; medium – indirectly supports 客户 requirement/key contract or enables remote workforce; low – security best practice).
    2. 定义安全效益. 这个变量是为了获取缺口计划提供的相对安全收益或风险减少. 这可以通过多种因素表现出来,例如:
      • 通过满足控制需求来降低合规/监管风险.
      • 降低可用性和操作风险.
      • 实现一个不存在的控件.
      • 保护高临界数据.
      • 保护处于风险中的终端用户.
    与业务对齐
    媒介
    安全利益
    媒介

    信息技术的最佳实践

    一定要考虑到AND/OR的价值. 为了与业务或安全利益保持一致, AND/OR可以成为一个有用的阈值,用来对相似的重要性但不同的价值计划进行排序.
    例如:为了与业务保持一致, 一个计划可以间接地支持一个关键的法规遵循需求或者满足一个关键的企业目标.

    信息技术的见解

    你不可能做所有的事情——你可能也不想这么做. 对哪些项目是最重要的以及为什么重要做出明智的决定.

    将您的可变标准应用到您的计划中

    确定容易获胜的任务和高价值的项目值得战斗使用 事件响应成熟度评估工具.

    主动进行分类
    从下拉列表中选择间隙计划类型. 每一个类别(必须做,应该做,可以做,不会做)都被认为是一个执行波. 每个波中也有特定的操作顺序. 根据依赖性和重要性顺序,您将优先执行一些必须执行的项目.
    分配标准
    对于每一个缺口计划, 根据您之前为每个变量定义的参数评估计划.
    • 成本:初始和持续成本
    • 人员配备:初期的和持续的
    • 与业务对齐
    • 安全利益
    总成本/努力评级
    自动生成的分数在0到12之间. 主动性的分数越高,需要付出的努力就越多. 必须做的、低得分的道具能够快速获胜,并且必须优先考虑.
    这是事件响应成熟度评估工具的截图.

    检查您的优先安全路线图

    中的最终甘特图 事件响应成熟度评估工具 在路线图中为您的安全计划计划预期的开始和结束日期.

    在甘特图中, 按顺序检查每一波,并确定每个间隙计划的计划开始日期和计划持续时间. 在填充计划的开始日期时, 考虑每个项目的资源约束或依赖关系. 回去修改细粒度执行波,以解决您发现的任何冲突.

    这是计划甘特图的截图, 可以在事件响应成熟度评估工具中找到

    检查注意事项

    • 这个路线图对我们的组织有意义吗?
    • 我们是否过于关注一个季度而不是其他季度?
    • 在接下来的几年里,业务是否会经历任何重大的变化,从而直接影响这个项目?

    这是一个活的管理文件

    • 您可以在每个案例的基础上使用相同的过程来决定一个新项目在优先级列表中的位置, 然后添加到甘特图中.
    • 随着你的进步, 核对一下清单上的项目, 并定期使用图表追溯更新实现总体目标状态的进展.

    保险公司通过利益相关者的沟通来推动参与

    在新的事件管理计划开始时,组织认识到获得涉众支持的价值.

    安全团队确保向涉众传达了以下几点,以证明这一点, 作为一个新成立的团队, 它预期会有下列问题:

    • 安全团队和ITIL流程之间的接口.
    • 安全团队中的角色和职责.
    • 分析安全事故发生的根本原因的步骤.
    • 将安全事件管理与ITIL事件处理集成的方法.
    • 与领导沟通时的报告程序.
    • 安全事件、问题、风险管理和其他现有流程之间的关系.
    • 与企业ITIL事件和问题管理流程保持一致并加以利用.
    • 所采用的方法:利用ITIL v3、NIST SP800-83、ISO 27005和PCI DSS作为主要来源.

    下一个步骤

    • 定义团队将如何评估安全事件的严重性.
    • 定义事件管理流程.

    跟踪这个案例研究 第一阶段第二阶段 为下一步.

    1.5确定安全事件管理的关键参与者

    事件响应应该遵循一个相当标准的过程, 但每个事件都有自己的升级过程或呼叫树,用于标识关键参与者.

    发展保安事故应变小组 水平升级 供应商升级
    成员可能包括:
    • 首席信息安全官
    • 高级管理人员
    • 安全团队人员
    • 帮助台
    • 信息所有者
    • 信息系统的员工
    • 建筑和/或设施管理人员
    • 公共事务
    • 法律/合规
    • 内部审计和风险管理
    • 承包商和/或的衬衫在关键服务的联系
    • 供应商
    在以下情况下,利用额外的资源,而不是高层管理人员:
    • 分析师可能不具备解决该事件所需的技能.
    • 已经超出了升级时间范围.
    不要忘记利用供应商,但不要依赖他们.
    • 确定供应商如何适应您的IT支持结构,并将供应商参与和支持构建到您组织的升级路径中.
    • 如果调查停滞不前, 不要犹豫,请供应商解决需要专业或深度技能/专业知识的问题.
    • 确保供应商提供详细的服务问题调查和诊断报告.
    • 不要过度使用供应商合同. 供应商参与可能是你的支持结构中最昂贵的部分. 在可能的情况下,利用内部专业知识调查和解决服务问题.
    建议 垂直升级
    • 定期评估的衬衫的准备情况.
    • 明确定义所有角色和职责.
    • 跟踪指标以评估的衬衫的有效性.
    • 参与组织的各个领域.
    • 确定何时需要外部帮助,并预先聘请承包商.
    在以下情况下聘请高级管理层:
    • 事故超出了大多数员工的能力范围.
    • 资源不可用于水平升级.
    • 打破水平升级路径.
    • 关键决策需要更多的权威.

    分配威胁管理流程(RACI)的职责

    1.明确角色和职责——1小时

    完成 安全事件管理RACI工具 记录你的结果.

    如何自定义

    • 与适用的涉众一起定制报头字段.
    • 确定以下涉众:
      • 负责任: 的 person(s) who does the work to accomplish the activity; they have been tasked with completing the activity 和/or getting a decision made.
      • 负责: 负责完成活动的人. 理想情况下,这是一个人,通常是执行人员或项目发起人.
      • 咨询: 提供信息的人. 这通常是几个人,通常称为主题专家(sme)。.
      • 通知: 有最新进展的人. 这些资源受到活动结果的影响,需要随时更新.
    这是负责任的截图, 负责任的, 咨询, 通知(RACI图), 在安全事故管理RACI工具中找到

    在信息技术的RACI工具中记录结果 保安事故管理计划.

    将一般事件评估公式化,以定义威胁升级协议

    威胁升级协议用于定义事件管理过程中需要的涉众类型. 影响和范围的组合提供了层次,以帮助确定事件的优先级,并确定哪些涉众需要参与.

    影响

    事件影响是指评估对业务功能的影响, data, 和恢复工作. 事故的影响应根据以下因素按优先次序排列:

    • 功能性:对业务功能或操作的影响.
    • 信息:与机密性相关的影响, 完整性, 以及组织数据的可用性.
    • 可恢复性:从事故中恢复所需的时间和资源.

    范围

    事件范围是指对所涉及的IT系统的评估和事件的大小.

    此映像包含“威胁升级协议”.

    在信息技术的 保安事故管理计划.

    信息技术的见解

    定义事件对组织的影响和范围. 这将有助于创建特定于您的组织的分层升级流程, 而不是其他公司所需要的.

    查看下面的威胁升级协议示例

    威胁升级协议 标准 利益相关者
    一级
    • 高冲击力,大范围
    • 高冲击力,中等范围
    • 中等冲击力,大范围
    • 最终用户
    • 帮助台
    • 网络安全
    • 它操作
    • CISO
    • 法律、人力资源、公关
    • 高级管理人员
    • 外部第三方
    层2
    • 高冲击,低范围
    • 中等影响,中等范围
    • 中等冲击,范围小
    • 低冲击,大范围
    • 低冲击,中等范围
    • 最终用户
    • 帮助台
    • 网络安全
    • 它操作
    • CISO
    3级
    • 低冲击,中等范围
    • 低冲击,低范围
    • 最终用户
    • 帮助台
    • 网络安全

    中的影响/范围定义和威胁升级协议 保安事故管理计划 确保它是特定于您的组织的.

    1.制定安全事件管理策略

    1.4安全事故管理策略- 60分钟

    该政策将作为事件管理倡议的高层基础.

    如何自定义

    • 建立您组织的安全需求和期望,以支持业务需求,同时确保跨所有安全活动的一致性.
    • 通过概述以下几节,将事件响应的方法形式化:
      • 目的
      • 范围
      • 政策
      • 程序
      • 不遵守的后果
      • 修订历史

    此图像包含“安全事件管理策略”页面的截图, 可以在http://www.maplesjanet.com/research/security-incident-management-policy

    下载信息技术的 保安事故管理政策.

    1.制定安全事故管理计划

    1.制定安全事故管理计划

    保安事故管理计划 作为描述目标的中央高级文档, 角色, 和责任, 并向审核员提供过程已经开发和正式化的证据.

    如何自定义

    自定义模板中的以下部分:

    • 目的和任务
    • 定义
    • 事件响应的组织方法
    • 角色和职责
    • 反应过程
    • 包括检测、分析、遏制、根除、恢复和事件后阶段
    • 附录

    此图像包含安全事件管理计划介绍部分的两个页面的截图

    在事件发生期间,不要忘记处理内部和外部的沟通. 看看信息技术的 掌握您的安全事件响应通信程序 蓝图.

    如果你需要额外的支持, 作为信息技术研讨会的一部分,我们的分析师是否指导您度过这一阶段

    为了加速这个项目, 让你的IT团队与信息技术分析师团队一起参加信息技术研讨会

    现场研讨会提供了一种简单的方法来加速您的项目. 如果指导实现还不够,我们提供低成本的现场交付我们的项目研讨会.

    信息技术分析师将在您所在的地点加入您和您的团队,或欢迎您来到信息技术具有历史意义的多伦多办公室.

    我们带您走过项目的每个阶段,并确保您有一个路线图到位,以成功完成您的项目.

    这是席琳Gravelines的照片,她是一位信息技术研究经理

    席琳Gravelines


    研究经理-安全,风险 & 合规
    信息技术研究小组
    这是洛根·罗德的照片,一位信息技术咨询分析师.

    罗德洛根


    咨询分析师-安全,风险 & 合规
    信息技术研究小组

    调用 1- or 电子邮件 workshops@信息技术.com 的更多信息.

    你准备好进入下一阶段了吗?

    自我评估的问题

    • 你是否清楚地定义了理由, 目标, 以及改进事件管理程序的结果?
    • 你确定了组织的目标和你的职责了吗?
    • 你是否定义了你的安全程序的范围和边界?
    • 您是否考虑过您的组织可能面临的威胁类型?
    • 以上答案有否记录在资讯保安手册内
    • 策略需求收集工具?
    • 你是否对当前状态和目标状态都定义了自己的成熟度?
    • 你是否有明确定义的计划来弥补当前和目标之间的差距?
    • 每个主动性工作是独立的、具体的,并且与相关的控制相关的吗?
    • 您是否指出了您的计划之间的依赖关系?
    • 你是否巩固了你的间隔时间计划?
    • 您是否为每个优先级变量(成本, 努力, 对齐, 和安全利益)?
    • 您是否对每个合并的计划应用了优先级参数?
    • 您是否在甘特图标签中记录了最终的优先级路线图?
    • 您是否检查了最终的甘特图以确保它符合您的安全需求?
    • 你是否在详细的RACI图表中分配了项目职责?
    • 你是否正式制定了安全事故管理章程?
    • 您是否定义并记录了威胁升级方案,包括影响和范围级别?

    如果您对这些问题的回答是“是”,那么您就可以进入第二阶段:操作

    第二阶段

    操作

    制定和实施安全事故管理计划

    阶段2:操作

    第一阶段 第二阶段 第三阶段
    准备 操作 优化

    这个阶段将带领你完成以下活动:

    2.1了解事件响应框架.
    2.理解运行日志的目的.
    2.3对特定事件运行手册的开发进行优先级排序.
    2.开发优先级最高的运行手册.
    2.5填写 根源分析模板
    2.自定义6 事后回顾问题跟踪工具 为经验教训会议标准化有用的问题.
    2.7日完成 保安事故报告模板.

    这一阶段包括以下参与者:

    • CISO
    • 安全团队
    • IT人员
    • 商业领袖

    这一阶段的结果

    • 一个广义的事件管理计划.
    • 按优先顺序排列的事件列表.
    • 最优先事件的详细运行手册
    • 根源分析过程.
    • 事后回顾问题跟踪工具.
    • 保安事故报告模板.

    第二阶段概述

    电话1 - 或电子邮件 GuidedImplementations@InfoTech.com 的更多信息.

    您可以自己完成这些步骤,或者请我们来完成指导实现. 指导实现是一系列2-3个咨询电话,帮助您执行项目的每个阶段. 他们被列入大多数顾问会员.

    指导实施2:处理突发事件
    建议完成时间:4周
    步骤2.1-2.3利用框架来制定总体规划 步骤2.4-2.制定事件相关的运行手册和事件后的活动
    从一个分析师的开场电话会议开始:
    • 讨论当前遇到的问题和事件.
    • 理解事件响应框架.
    • 对运行手册的开发进行优先级排序.
    讨论与分析:
    • 理解运行手册方法.
    • 讨论事件后回顾活动的重要性.
    然后完成这些活动……
    • 根据当前的事件,讨论响应流程,以优化处理技术.
    • 定制通用事件管理计划.
    • 评估事故发生的频率和影响,以确定事故运行记录的优先级
    然后完成这些活动……
    • 基于事件响应框架开发优先级最高的运行手册.
    • 形式化事后活动.
    这些模板:
    安全事故运行簿优先级工具
    用这些工具 & 模板:
    公司ident-Specific运行手册
    根源分析模板
    事后回顾问题跟踪工具
    保安事故报告模板
    第二阶段的结果 & 见解:
    并非所有同一类型的事件都以相同的方式处理. 一般用户计算机上检测到的病毒与首席执行官计算机上检测到的病毒处理方法可能不同. 使响应过程具体化.

    2.1了解安全事件管理框架

    阶段2描述事件处理过程, 包括检测, 分析, 容器, 根除, 复苏, 和事后的活动.

    1. 准备
      确保有适当的资源可用以最好地处理事件.
    2. 检测
      利用监控控制主动检测威胁.
    3. 分析
      从假阳性中提取真实事件并调查事件的本质.
    4. 包含
      在造成额外伤害之前隔离威胁.
    5. 根除
      从您的操作环境中消除威胁.
    6. 恢复
      将受影响的系统恢复到正常操作状态.
    7. 事后的活动
      进行经验教训的事后分析.

    (工艺改编自NIST SP 800-61 Rev. 2)

    信息技术的最佳实践

    记录事件生命周期的每个步骤. 一次彻底的, 全面的记录将有助于了解根本原因,并允许更快的补救任何未来再次发生的事件, 以及支持任何法律升级. 跟踪工作时间成本有助于确定对组织的总体影响.

    事件管理属于安全操作分析框架的第2层

    一级 层2 3级
    分析师专注于更加标准化和规范性的任务,比如实时监控和事件分类. 培训分析人员如何识别问题区域, 生成门票, 任何不寻常的事都要升级. 分析人员专注于深入分析,以了解问题的程度,并确定是否需要采取进一步的行动. 第2级分析人员技术能力更强,可以使用日志分析等高级技术将威胁数据置于环境中, 法医分析, 和eDiscovery. 分析师执行高级的威胁搜寻, 恶意软件分析, 并通过逆向工程积极地找出数据中的异常.
    安全操作

    这些层可以外包给MSSP——它们不需要由组织单独完成. 对于3级的深度取证分析,通常需要第三方的协助. 然而, 对于这个项目, 我们将只关注第2层,因为它是事件响应所需的典型分析级别.

    保险公司的安全团队将事件响应作为ITIL流程的一部分,因此它成为了一个自然的步骤

    而不是只在一个方框里打勾, 该团队确保事件管理是整个ITIL过程中的关键步骤,并巩固了其详细的程序.

    安全团队确保向涉众传达了以下几点,以证明这一点, 作为一个新成立的团队, 它预料到了人们的担忧.

    这是ITIL过程的图像. It includes the following steps: Report incident; 帮助台 records incident; 帮助台 assesses incident. 如果是安全事故,则评估其严重性. 如果不是,则继续到事件管理流程. 如果是安全事故,请评估严重程度是1-2,还是3-4. 如果是严重级别为1-2的安全事件,则继续执行事件管理流程. 如果是3-4级, 然后进入IT安全事件响应流程, 然后进入事件管理流程.

    保险公司规定了详细的事故响应流程

    使用最佳实践事件管理标准, 该团队钻得更深,并为特定事件创建了一个工作流程.

    这是团队为特定事件创建的工作流. 的 order is: Identification 和 classification confirmation; 包含ment; Analysis/Investigation, 从那里, 工作流分为Escalation, 和建议/解决. 建议/决议步骤之后是结束.

    看到 第三阶段 对于事后的过程

    2.理解运行日志的目的

    制定运行手册,规范关键事件的响应过程.

    在开发每个运行簿时,考虑三个关键问题:

    1. 这一事件的真相是什么?
      • 事件源
      • 频率
      • 偶然的或恶意的
      • 影响
      • 受影响的数据
      • 没有控制
    2. 这有什么(潜在的)影响?
      • 影响收入的单位
      • 影响工作效率
      • 受影响的用户数量
      • 宽容
      • 时机
    3. 应该采取什么行动,由谁来通过调查和遏制来解决这个问题?

    使用运行簿记录特定于事件的过程的好处:

    • 有效地识别 事故的解决方案(工作区/修复).
    • 消除或减少猜测和歧义 通过简化事件响应和变更管理来处理事件.
    • 正确的升级 事件到正确的支持组.
    • 有效地分配 处理事件的资源.
    • 收集数据 迅速对事件进行诊断.
    • 提高用户生产力 因为可以有效地处理事件.
    • 建立成熟 事件管理程序.

    对于每一个最重要的事件,制定一个详细的 runbook, 为每一个相关角色记录从检测到恢复和事件后活动的响应过程.

    2.3对特定事件运行手册的开发进行优先级排序

    事件处理的优先级取决于事件的影响和频率.

    根据频率和影响确定优先级

    频率:
    1. 历史性的频率
    2. 预期的趋势
    影响:
    1. 功能的影响
    2. 信息的影响
    3. 可恢复性的努力
    功能 定义(示例)
    没有一个 对组织向所有用户提供所有服务的能力没有影响.
    Minimal 效果; the organization can still provide 所有 critical services to 所有 users but has lost efficiency.
    媒介 组织已经失去了向系统用户子集提供关键服务的能力.
    该组织不再能够向任何用户提供一些关键服务.
    信息 定义(示例)
    没有一个 没有任何有意义的信息被泄露或丢失.
    公共信息受到影响.
    媒介 内部私人/机密信息被泄露.
    监管数据(e.g. 个人资料、信用卡资料)或高度机密的组织材料(如.g. 商业机密)被泄露了.
    可恢复性 定义(示例)
    没有一个 不需要花费大量的时间和成本来恢复.
    可通过标准服务台或响应流程恢复.
    媒介 通过扩展的努力可恢复,可以通过额外的现有资源实现.
    可恢复性或不可恢复性需要外部支持.

    方法确定要开发的运行簿 安全事故运行簿优先级工具

    2.1安全事件运行簿优先级工具- 60分钟

    安全事故运行簿优先级工具:

    • 使用15个以上的事件列表, 根据频率和影响,优先安排准备工作的重点.
    • 输入您的特定频率, 趋势, 以及功能/信息/可恢复性工作的影响, 以及任何当前文件的状态,以获得事件的优先级列表.
    • 权衡因素的相对重要性,包括影响和频率.
    这是安全事件运行本优先级工具的截图.

    2.开发优先级最高的运行手册

    2.2使用信息技术的运行手册模板- 2天

    使用Info-Tech的运行簿模板记录安全事件管理过程.

    如何自定义

    • 使用这些模板为与您的组织相关的特定事件开发运行本.
    • 中发现的最高优先级事件作为新的运行手册的基础 安全事故运行簿优先级工具.
    • 根据关键问题起草一份事件总结:
      • 发生了什么事?
      • 我们为什么要关心?
      • 我们该如何回应?
    • 定制升级流程和详细的响应过程.
    • 使用Visio或类似的工具可视化工作流过程.
    • 更新修订历史.
    • 将文档分配给所有者.

    这个图像包含了Info-Tech运行本模板的截图,该模板将用于为与您的组织相关的特定事件开发运行本.

    使用操作流程图来说明您的响应程序

    记住给每个运行簿分配一个所有者. 运行簿所有者负责确保记录在每个运行簿下的过程是完全可操作的.

    这是一个用户创建的事件管理流程图的例子. It 包含s an不ations which point to where you will: Identify 和 list the relevant stakeholders involved based on the respective incident tier level; Define your threat escalation protocol. Define the respective impact 和 范围 criteria 为你的组织; On a whiteboard, 绘制独特的工艺流程. Refer to 信息技术的 事件响应 library for various operational starting points; Fully flesh out the operational procedures required for various activities.

    结合信息技术的 数据泄露报告要求摘要

    2.3数据泄露报告要求摘要

    使用 数据泄露报告要求摘要 模板,以熟悉四种常见遵从性标准的基本细节,以便简化报告过程.

    这个模板是一个很好的伙伴,数据泄露运行手册或一般的安全策略.

    如何自定义

    定制, 只需检查报告程序,然后根据需要添加或删除细节,以满足组织的需要. 一定要删除与您的组织无关的任何规则.

    此图像包含数据泄露报告需求摘要的屏幕截图, 对PCI DSS, GDPR, 健康保险流通与责任法案, 和PIPEDA

    包括以下内容的基本细节:

    • PCI DSS
    • GDPR
    • PIPEDA
    • 健康保险流通与责任法案

    检测到事件

    要确定是否发生了事件,必须检测事件的迹象.

    识别事件的迹象:

    1. 前兆: 表示某一事件可能在未来发生(不太常见).
      • 指示漏洞扫描器使用情况的服务器日志条目.
      • 一份针对该组织邮件服务器漏洞的新攻击的声明.
      • 威胁要攻击组织.
    2. 指标: 一个事件可能已经发生或正在发生的迹象(更常见).
      • 防病毒软件警报,检测到受恶意软件感染的主机.
      • 日志报告了来自不熟悉的远程系统的多次登录尝试失败.
      • 网络管理员注意到可疑的偏离常规网络流量.

    开始维护证据日志:

    当检测到事件时,应尽量收集信息,包括:
    • 报告人的联系人姓名和电话.
    • 数据、信息或设备的类型.
    • 数据的丢失是否将任何人或其他数据置于风险之中.
    • 事件发生地点.
    • 受影响设备的库存数量.
    • 安全事故发生的日期和时间.
    • 受影响的数据或设备的位置.
    • 事件的类型和情况.

    来源:NIST SP 600-61修订. 2

    信息技术的机会

    正确使用监视功能可以在事件发生之前解决它们. 利用信息技术的 将威胁情报集成到您的安全操作 蓝图启动一个正式的情报计划,并积极发现威胁之前,他们的目标您的组织.

    分析这一事件

    并不是所有的前兆或指标标志都是准确的.g. 这使得彻底的调查成为事件发现后的关键一步.

    利用诊断数据来分析事件,使用工具通常直接在操作系统或应用程序上发现:

    内存转储
    将内存中的内容复制到一个文件中,以便在发生事件后进行检查和分析.

    屏幕截图
    在电脑桌面上“拍照”,并保存在一个文件中,以备日后检查.

    日志
    关于错误和其他事件的信息存储在桌面或服务器上的文件中. 日志功能通常随操作系统或应用程序而来.

    痕迹
    记录两台机器或部件之间的通信信息. 网络跟踪是最常见的跟踪类型.

    执行分析 根据这些建议收集的信息.

    • 调查 相关信息:
      • 从多个来源收集证据,以验证事件,并交叉引用事件与其他事件的发生. 寻找趋势.
      • 确保所有主机时钟同步,以消除事件跟踪日志中的偏差.
    • 实施和维护 研究:
      • 从过去的分析中学习集中数据在一个可搜索的知识库的高效和一致的调查. 及时了解影响系统的威胁和漏洞类型.
    • 分析 差一点就能发现安全漏洞:
      • 指示符不一定表示事件,但它提供了有价值的可见性.
    • 文档 分析的所有步骤和收集的证据:
      • 收集网络连接列表, 流程, 登录会话, 打开的文件, 网络接口配置, 和内存内容.

    来源:NIST SP 600-61修订. 2

    “为了减少数据泄露风险,CISO需要考虑 这些事件可能是数据泄露."
    - NIST SP 600-61修订. 2

    在票务系统中保存证据和文件分析工作

    无论是手动还是通过专用软件, 事件细节必须记录在一致的过程中.

    一旦分析人员确定某个事件已经发生, 下一个逻辑步骤是聚合, 正常化, 并在操作票据中记录信息. 确保你的票包括:

    时间、日期和地点 —基本信息,用于票据的组织、跟踪和查询. 这些特性应该包括一个惟一的票证ID, 票据的状态, 分配分析, 创建票据的日期, 触发事件的日期, 等.
    额外的上下文 -关于事件起因的安全控制的信息, 以及它可能导致的威胁类型.
    描述和笔记 -分析师必须能够创建新的描述和条目, 和文件票证发现,如源和目的IP, UDP或TCP端口, 和签名ID.
    相关用例 -关于解决共同问题的资料. 这可以包括折中或票号的指标,这些已经被解决作为实际的参考.
    下一个步骤 -应采取的建议和下一步步骤.

    有关其他示例,请参见 无协会样本事件处理表格.

    票 #: ____________

    一般信息 (姓名、角色、部门、联系方式、签名)

    事件信息
  • 时间和日期,地点
  • 事件类型(社会工程、网络钓鱼等.)
  • 事件的描述
  • 通知 (需要通知的人员、他们的角色和联系信息)
    行动 (识别/检测、分析、围堵等.)

    在可访问的web门户中记录事件细节

    无论是手动的还是通过自动化的流程, 所有操作文件必须以标准格式存储.

    web门户使事件响应人员能够在整个威胁协作环境中记录和共享数据. 门户网站的实现背后有几个驱动因素:

    1. 学习. 网络门户聚合来自不同来源的信息, 使组织能够有机地扩展他们的知识库. 这个学习的中心门户可以促进培训活动,并有助于员工之间的知识转移.
    2. 合作和沟通. 在中央可访问的门户中共享信息将促进业务职能和影响群体决策之间的协作. 类似的, 门户网站可以作为标准化的推送通知平台,员工可以从中升级, 传播, 并与相关利益相关者分享威胁信息.
    3. 任务管理和工作流可视化. 门户通过流程自动化进一步改进了操作管理, 仪表板可视化, 当需要注意某个流程时,还会提示通知.

    “将所有安全设备的报告整合成一个连贯的视觉,可以关闭风险窗口."
    ——戴安娜·凯利(Diana Kelley)和罗恩·莫里茨(Ron Moritz),《澳博体育app下载》(Best Practices for Building a 安全操作 Center)

    这张图表显示了预防措施, 检测, 分析, 和响应, 以及它们与知识门户的关系.

    探索开源软件

    软件可以减轻一些与事件响应相关的资源负担, 但它仍应得到流程的支持.

    这是SNORT入侵防御系统的标志
    Snort
    • 入侵防御系统,为数据包分析和网络流量提供实时警报.
    • 使用灵活的规则系统,以便在减少误报的同时可以针对您的组织环境进行配置, 它还提供了对各种攻击类型的保护.
    • 适用于Windows、MacOS和Linux.
    这是OSSEC入侵检测系统的logo
    OSSEC(开源HIDS安全)
    • 可扩展、多平台、开源主机入侵检测系统(HIDS).
    • 它有一个强大的关联和分析引擎, 整合日志分析, 文件完整性检查, Windows注册表监控, 集中策略实施, rootkit检测, 实时报警, 和积极响应.
    • 它可以在大多数操作系统上运行,包括Linux、OpenBSD、FreeBSD、MacOS、Solaris和Windows.
    这是OpenVAS漏洞扫描器的标志
    OpenVAS(漏洞评估系统)
    • Linux上运行的漏洞扫描器和漏洞管理器.
    • 使用包含超过50,000个每天更新的网络漏洞测试的数据库进行扫描.
    • 还可以用作一个完整的漏洞管理平台吗.

    考虑投资安全编排工具

    软件可以减轻一些与事件响应相关的资源负担, 但它仍应得到流程的支持.

    这是Demisto安全业务流程工具的标志.
    Demisto
    • 协调各种安全工具以简化使用.
    • 接收来自网络中多个来源的警报.
    • 自动化已建立的工作流程,以便能够有效和统一处理事件.
    • 将自动化和人工控制过程结合起来,以提供这两个词的最佳效果.
    这是RAPID7安全业务流程工具的徽标.
    快速7印尼盾
    • 策划安全事件,以便在发现事件时可以对其进行审查.
    • 使用机器学习来检测网络上的异常和不寻常行为.
    • 将研究和安全团队的经验融入到其威胁检测系统中.
    • 记录事件发生前后的行为,简单地记录回顾.
    这是异形金库安全编排工具的标志.
    外星人拱顶子结构
    • 提供自己的工具集,并与第三方工具很好地集成.
    • 允许用户创建自己独特的应用程序,在USM(通用安全管理)系统中使用,以帮助流程自动化.
    • 提供深入的威胁情报.
    • 以比其他安全编制工具更容易使用而闻名.

    包含事件

    控制事件和受影响的系统,在它淹没资源或增加损害之前.

    控制事件的平均成本增加了 100万美元 如果控制时间超过30天.

    遏制依赖于以下决策:

    • 这个系统应该关闭吗?
    • 我们应该禁用某种功能吗?
    • 我们应该断开网络连接吗?

    制定有关遏制的预定战略和程序,简化决策.

    考虑各种因素:

    • 资源的潜在损害和/或盗窃.
    • 证据保存的需要.
    • 服务可用性(e.g. 网络连接).
    • 战略所需的时间和资源.
    • 战略的有效性(e.g. 部分和. 完整的容器).
    • 溶液的持续时间(e.g. 短期解决方案与. 永久解决方案).

    资料来源:IBM,《澳博体育app》

    仅在包含攻击者时进行监视

    • 监视攻击者的活动, 重定向到一个沙盒(一个包含的环境)来收集证据.
    • 否则,做 监控活动. 如果您的组织意识到一种妥协并允许它继续下去, 您可能要对其他系统的攻击负责.
    • 确保你有你需要的一切. 遏制包括对系统的更改,这些更改会泄露对手的信息.

    信息技术的见解

    不要把遏制和恢复混为一谈. 在恢复修复漏洞时,遏制阻止威胁. 当你应对一场房屋火灾时,你在修复屋顶之前先浇灭火焰.

    根除事件发生的根源

    删除事件的原因和受影响系统上存在的安全暴露.

    1. 确定根本原因.
      确定组织中要修复的所有受影响的主机.
    2. 消除事件的组成部分.
      删除恶意软件,禁用被攻破的用户帐户,等等.
    3. 加强防御.
      加强网络周界防御和系统监控.
    4. 进行脆弱性评估.
      确认可开发的缺口已经被解决.

    消除事件的组成部分

    • 软件解决方案是可用的,以帮助消除事故的原因, 例如间谍软件移除工具(例如.g. 伪,HijackThis).
    • 如果感染是恶意的,清理和重新格式化任何硬盘驱动器包含受感染的文件.
    • 根除由网络入侵引起的问题通常比较困难,因为攻击可能在对其他可寻址系统发起攻击之前就源自网络上的任何系统.
      • 这些漏洞可能需要对网络上的操作系统或路由器打补丁.
    • 集中根除恶性影响因素(例如.g. 特洛伊木马),然后是良性的人工制品,如果它们的成本和努力值得的话.

    信息技术的机会

    利用信息技术的 设计和实现一个漏洞管理程序 正式制定补丁和漏洞管理程序的蓝图.

    从事故中恢复过来

    恢复和监测受影响的系统对于确保根除工作取得成功至关重要.

    复苏的目标

    • 恢复 正常运作的系统.
    • 确认 系统运转正常.
    • 纠正 防止类似事件发生的漏洞.

    经济复苏可能涉及

    • 安装补丁.
    • 重建系统.
    • 改变密码.
    • 从干净的备份恢复系统.
    • 用干净的版本替换受影响的文件.
    • 建立高级别的系统日志记录或网络监视.

    请记住,安全事件也会损害组织的声誉. 遏制和恢复可能需要通信策略. 看到信息技术 掌握您的安全事件响应通信程序 详细信息.

    获得变更管理批准

    • 通常,紧急变更必须得到IT和业务部门的批准.
    • 需要清楚地理解修复方法,并且需要识别和接受风险.
    • 在应用修复程序之前,变更管理器必须获得批准.
    • 权衡部署紧急变更的风险与不部署的风险.
    • 确保的衬衫的成员获得紧急CM批准.
    • 简单的事件可能只需要保证该事件不会对资源产生不利影响.

    彻底的测试将允许您避免多米诺骨牌效应,即您对问题的修复会导致大量其他服务问题.

    信息技术的见解

    平衡恢复服务的压力和进行尽职调查的要求. 不要在没有充分测试的情况下尝试修复,因为这可能会加剧问题.

    开展事件后活动:沟通事件

    意识到这一点,利益攸关方就会展开合作, 哪个是安全事件管理流程的基础.

    1. 内部协作
      内部协作以评估事故的影响, 确定未来的预防措施, 培养情境感知能力.
    2. 外部协作
      利用可信的沟通渠道来保护您的组织免受声誉损害. 制定一个正式的公共关系计划或帮助非正式的第三方信息共享和分析中心(ISACs)匿名化和分发情报.

    信息技术的最佳实践

    在陈述信息之前确定你的听众. 不同的利益相关者对信息的解释不同, 所以你必须以一种能吸引他们兴趣的格式来呈现.

    开展事后活动:内部协作

    与利益相关者合作,审查原因, 效果, 修复过程, 并计划减少未来的事故.

    之前

    利用内部意识和培训计划,在以下方面建立态势意识:

    • 事件响应程序是如何工作的,它是如何影响工作流程和程序期望的.
    • 如何报告事件和联系谁.
    • 对机密信息的控制.
    • 保密协议强加的任何限制.

    在一个可访问的知识/web门户网站和综合票务平台上记录事件细节.

    将从事后审查和经验教训讨论中获得的文档汇总成正式报告,与管理层和IT人员共享. 验尸讨论应包括:

    • 发生了什么,什么时候? 列出事件的时间线.
    • 事件的根本原因.
    • 关键事件处理过程中的差距和弱点.
    • 应该采取哪些步骤来弥补流程中的缺陷.
    • 防止和避免将来发生类似事件的方法.

    与普通员工建立一个反馈回路,教育他们未来的缓解和预防策略.

    尸检记录的主要结果:

    对组织如何受到影响的评估.

    • 生产力或收入损失.
    • 受影响用户数量.
    • 停机/中断的时间.
    • 技术人员采取的行动.
    • 参与解决该事件的各方.

    包括相关指标,以表明事件的影响,并概述未来安全投资的痛点. 例子包括:

    • 类型的事件.
    • 体积的事件.
    • 事故发生期间发生的费用.

    信息技术的最佳实践

    尸检可能会变得情绪化,因为人们往往会推卸责任. 通过将讨论转向收集相关信息而不是分配错误来减少指责.

    开展事后活动:外部信息共享

    参与信息共享

    情报合作使各组织能够联合起来降低风险,并保护彼此免受威胁.

    • 参与外部信息共享小组,如ISACs. 情报合作使各组织能够联合起来降低风险,并保护彼此免受威胁.
    • 以清晰、简洁的通知、报告或简报形式传播相关信息.
    在公开披露有关保安漏洞的资料时,请考虑:
    • 客户数据是否被泄露?
    • 该事件是否援引了法律和合同义务?
    • 组织下一步的战略是什么?

    创建一个结构化的媒体关系计划

    对组织声誉的影响是安全漏洞最严重的后果之一. 在事件发生的早期,迅速而专业地控制传播,将媒体的损害降至最低. 媒体关系策略包括:

    • 指派一位可靠,训练有素,消息灵通的发言人向媒体发表讲话.
    • 为媒体确定适当的许可和批准程序.
    • 确保媒体可以访问你的组织,这样他们就不会求助于其他(不可靠的)来源获取信息.
    • 自己披露重要问题,这样就不会显得你在隐藏信息.
    • 强调正在采取的措施来解决这一漏洞.
    • 迅速、公开、诚实地讲述故事,以避免虚假事实、谣言或怀疑.

    64% 受访者不认为他们的公司会知道如何应对负面舆论, 博客文章, 和媒体报道.

    只有 36% 受访者认为他们的组织能够有效地防止负面舆论, 博客文章, 或媒体报道.

    资料来源:波耐蒙研究所,《第五次年度研究:你的公司准备好应对大数据泄露了吗??”

    利用额外的通信支持资源

    us - cert
    在危机发生时, 我们建议您查看本网站,以获得有关问题的警报,并将问题通知其他工作组. 另外, 这是一个很好的教育网站,里面有技术和非技术文章,从配置指南到政治政策,可以帮助你处理危机.


    无研究所提供各种信息安全主题的沉浸式培训和资源, 包括事故处理和反应. 事故处理表格样本 在处理事故时,是否有一致有效的记录和沟通.

    美国联邦调查局
    在联邦调查局现场, 其目标并不是真正的危机管理, 而是举报直接或可疑问题的能力(通过网络犯罪投诉中心).

    迈克菲
    对于最新的恶意软件和APT信息以及处理事件的支持.

    ISACA
    COSO和COBIT控制框架是值得注意的良好资源,可以帮助您在事故发生前确定保护方面的差距. ISACA所强调的欺诈预防主题是很好的读物,可以帮助你理解其他人如何处理和披露问题.

    美国特勤处
    建立这个网站的目的是为了引导你进入一个区域性城市的国家电子犯罪特别工作组. 他们可能知道当地的资源和机构可以协助调查.

    InfraGard
    作为联邦调查局和美国私营部门之间的一个延伸项目, 这个组织非常适合与特殊兴趣团体或垂直组织进行交流和讨论,可以帮助你磨练危机管理计划.

    Foundstone
    用于事件管理、取证和响应.

    Kroll Ontrack公司
    用于事件管理、取证和响应.

    (转载自《安全战场:执行领域手册》)

    开展事后活动:讨论经验教训

    正式讨论所吸取的教训,以发现需要改进的地方, 在面对未来的事件之前,要充分利用现在的经验.

    文件事件响应质量:

    • 事件准备是否充分?
    • 是检测提示? 为什么或为什么不?
    • 是否遵循了正式程序? 这些程序有多有用?
    • 我们需要更多的信息和资源?
    • 如果这一事件再次发生,应该采取什么不同的措施?
    • 关于这一事件,我们如何改善与其他组织的信息共享?
    • 我们可以采取什么纠正措施来防止这一事件的再次发生?
    • 我们应该观察哪些迹象(前兆或指示)来检测未来的重现?
    • 员工是否根据所分配的角色和职责,充分处理了事件?
    • 什么工具和资源是必要的检测, 分析, 以减轻未来类似事件的发生?

    鼓励诚实. 还记得, 目标是从事件中学习,以改善未来的表现,并准备好参考材料,以防类似的事件发生.

    文档事件成本:

    • 该事件的相关货币成本是多少?
    • 这一事件在多大程度上扰乱了正常的运作?
    • 是否有数据永久丢失? 如果是,那么数据的值是多少?
    • 是否有硬件损坏? 如果是这样,那么这种损害的价值是多少?
    • 该事件是否对公司的声誉造成损害?

    利用与这些事件有关的财务费用作为未来安全预算要求的理由.

    在事故发生后尽快进行尸检,最好是在内部 两个星期 复苏的.

    2.5填写根本原因分析模板

    2.4根本原因分析模板- 30分钟

    使用 根源分析模板 帮助您确定安全事故的根本原因.

    完成此练习将帮助您深入了解需要改进的事件响应程序领域, 还有你的安全程序.

    保持这些条目简短,因为它们可以在 事后回顾问题跟踪工具.

    这个图像包含两个根本原因分析模板的屏幕截图.

    2.6定制事后评审问题跟踪工具

    2.5个事后回顾问题跟踪工具——45分钟

    • 定制问题以确保会议的效率和经验教训.
    • 让一个人去协助经验教训会议,另一个人去记录所有的观察结果.
    • 使用本文中的观察结果和发现填充正式的事件报告.
    这是在事后审查问题跟踪工具中找到的表格的图像. 它包含一个列标题的问题, 具有自定义问题的说明,以捕获将导致事件管理程序持续改进的信息, 寻找答案的专栏, 用指示提供相应问题的答案. 如果适用,请从下拉菜单中选择适当的答案.

    2.7填写安全事件报告模板

    2.6安全事件报告模板- 30分钟

    使用 保安事故报告模板 为事件做一个高层次的总结, 修复过程中, 以及任何需要对现有事件管理程序进行的更改.

    Keep these entries brief; this 文档 is meant to summarize the contents 的 事后回顾问题跟踪工具.

    此图像包含安全事件报告模板的两个屏幕截图

    如果你需要额外的支持, 作为信息技术研讨会的一部分,我们的分析师是否指导您度过这一阶段

    为了加速这个项目, 让你的IT团队与信息技术分析师团队一起参加信息技术研讨会

    现场研讨会提供了一种简单的方法来加速您的项目. 如果指导实现还不够,我们提供低成本的现场交付我们的项目研讨会.

    信息技术分析师将在您所在的地点加入您和您的团队,或欢迎您来到信息技术具有历史意义的多伦多办公室.

    我们带您走过项目的每个阶段,并确保您有一个路线图到位,以成功完成您的项目.

    这是席琳Gravelines的照片,她是一位信息技术研究经理

    席琳Gravelines


    研究经理-安全,风险 & 合规
    信息技术研究小组
    这是洛根·罗德的照片,一位信息技术咨询分析师

    罗德洛根


    咨询分析师-安全,风险 & 合规

    信息技术研究小组

    调用 1- 或电子邮件 workshops@信息技术.com 的更多信息.

    你准备好进入下一阶段了吗?

    自我评估的问题

    • 您是否定义并社会化了事件响应框架?
    • 是否有适当的检测方法来先发制人地识别威胁?
    • 是否有标准化的操作程序以积极评估潜在的威胁?
    • 您的组织是否有一个票务平台来记录和分享事件细节?
    • 事件细节是否存储在集中访问的知识库中?
    • (可选)是否利用事件软件来自动化
    • 反应过程?
    • 是否有既定的操作流程和指导方针来支持控制, 根除, 以及恢复检测到的威胁?
    • 您的组织是否进行内部事后活动,如事后分析会议或最终用户意识和培训?
    • 在每次事故发生后,是否有一份事后报告并传达给管理层?
    • 您的组织是否进行外部的事后活动,如向可信的ISACs分享指标或通过公共关系计划主动与媒体接触?
    • 您的组织是否已识别并对所有相关威胁进行了排序?
    • 您的组织是否在运行运行簿中记录并形式化了相关的响应程序?
    • 运行手册是否存放在一个集中的地方,并在入职过程中传达给新员工?

    如果你对这些问题的回答是“是”,那么你就准备好继续前进了 阶段3:维护和优化

    第三阶段

    维护和优化

    制定和实施安全事故管理计划

    阶段3:维护和优化

    第一阶段 第二阶段 第三阶段
    准备 操作 维护和优化

    这个阶段将带领你完成以下活动:

    3.1 .进行桌面练习.
    3.2初始化安全事件管理度量程序.
    3.利用最佳实践进行持续改进.

    这一阶段包括以下参与者:

    • CISO
    • 安全团队
    • IT人员
    • 商业领袖

    这一阶段的结果

    • 用于记录和基准化安全事件度量的形式化跟踪系统.
    • 内部和外部通信安全事件的考虑.
    • 基于桌面练习优化安全事件管理流程以获得最大效率的建议.

    第三阶段概述

    打1号电话或发邮件 GuidedImplementations@InfoTech.com 的更多信息.

    您可以自己完成这些步骤,或者请我们来完成指导实现. 指导实现是一系列2-3个咨询电话,帮助您执行项目的每个阶段. 他们被列入大多数顾问会员.

    指导实施3:审查和沟通安全事件
    预计完成时间:2周
    步骤3.1促进桌面练习 步骤3.2-3.评估事件管理计划的成功
    从一个分析师的开场电话会议开始:
    • 讨论到目前为止为响应事件管理已经实施了哪些过程.
    从一个分析师的开场电话会议开始:
    • 讨论到目前为止已经为事件管理实施了哪些流程.
    • 讨论桌面运动的结果.
    然后完成这些活动……
    • 在桌面练习中,为模拟事件准备一个团队.
    • 与关键应答者促进桌面练习.
    然后完成这些活动……
    • 讨论哪些指标是相关的和值得跟踪的.
    • 确定如何跟踪和更新它们.
    用这些工具 & 模板:
    桌面练习模板(只适用于工作坊)
    用这些工具 & 模板:
    安全事件度量工具
    阶段3的结果 & 见解:

    通过协作优化事件管理流程, 在组织内部和外部. 预留多个安全通信通道,保证响应过程中通信方式不受干扰. 与其他组织相互合作,共享信息,利用收集到的情报对抗行业中即将到来的威胁. 有效的沟通是成功管理事件的基本手段.

    3.进行模拟演习,以确保的衬衫和员工知道如何执行事件响应流程

    通过在测试环境中模拟关键事件,提高响应和解决时间,为员工应对真实世界的危机做好准备.

    在你开始之前:

    • 记录处理特定类型的关键事件的过程,并将此信息传达给过程涉众.
    • 对员工进行相应的培训,使他们对流程以及自己的具体角色和职责有一个明确的把握. 确保提供了适当的授权.

    如何选择一个样本事件:

    • 查看关键事件报告和事后剖析,找出过去发生的具有重大影响的事件.
    • 将其他公司的失败作为学习工具.
    • 针对最常见的关键事故进行消防演习,演练调查和诊断流程.

    消防演习练习:

    • 选择一个与面向客户的产品隔离的测试环境. 选择参加消防演习的人员. 这可以是2级或3级支持. 按照从operation阶段开始的步骤进行检测, 分析, 包含, 根除, 恢复, 记录下简短的尸检报告.

    成立小组处理特定类别的重大事故:

    • 给技术人员预定义的角色和职责.
    • 例子: Level 2用于检查特定的日志和监控历史. 3级被指定为调查期间的组长.

    与Info-Tech现场工作室进行桌面练习

    3.1个桌面练习工作坊——90分钟

    利用信息技术公司的安全事故管理桌面演习来指导事故模拟和验证您的响应程序.

    如何自定义

    • 使用此模板来记录事件响应操作和参与者.
    • 对于每一次新的注射,花三分钟讨论小组的反应. 然后花两分钟记录每个角色对响应的贡献. 在时间限制之后,继续执行以下注入场景.
    • 只有在完成整个练习后才可以查看答案.

    此图像包含用于记录事件响应操作和参与者的桌面练习模板的截图.

    可定制: 设计一个桌面练习来支持您的安全操作

    3.评估您的安全事故管理程序

    从人员、流程和技术的角度审视你的程序. 陈旧的、无效的过程和没有过程一样有用.

    • 从人员、流程和技术方面回顾安全事件管理程序:
      • 用户是否坚持过程并满足基本的期望?
      • 事件处理是否有效和高效?
      • 技术控制是否及时更新并正确使用?
      • 各安全区域发生事件的趋势是什么?
    • 信息技术的 安全事故运行簿优先级工具 (在步骤2中介绍.3)提供基准测试功能,记录和评估您的安全事件管理的趋势和改进. 使用工具进行如下操作:
      • 趋势: 测量一段时间内的事件和根本原因趋势,以评估安全变化的影响.g. 流程改进)或漏洞(例如.g. 流动性的增加).
      • 未来可能发生事故的风险和影响: 权衡你对过去事件和未来风险的评估. 例如, 如果移动设备的使用在增加, 这些设备的潜在安全风险需要在您的雷达上,即使这以前是一个问题.
    26% 受访者中有一半的人说,他们自制定事故应对计划以来,还没有审查过该计划.
    40% 没有建立审查的时间框架.
    只有 27% 他们每年都要审查.
    一定要 更新相关政策和程序 新的知识,见解和经验.
    资料来源:波耐蒙研究所,《第五次年度研究:你的公司准备好应对大数据泄露了吗??”

    Data &rt; 信息 &rt; Metrics &rt; Analysis &rt; Action

    安全事件度量工具

    参数只是行动的一种手段. 利用信息技术的 安全事件度量工具.

    了解你的听众
    确定关键的涉众,并理解他们对指标的确切期望.

    是年代.M.A.R.T.
    为您的组织提供实用价值, 度量标准应该是具体的, 可衡量的, 可以实现的, 可重复的, 和时间.

    确保质量和有效性
    数据的质量和有效性是为您的组织驱动有意义的度量的关键.

    标准化的数据收集
    考虑将数据收集过程标准化和自动化,以保持一致性和有效性.

    此图像包含安全事件度量工具的截图

    掌握您的安全事件响应通信程序

    有效地沟通安全事件本身可能是一个挑战.

    沟通是补救过程的关键部分, 但对于许多组织来说,这往往是事后才想到的.

    然而, 与事件响应通信相关的挑战有很多, 要想做好,就必须事先做好计划.

    利用信息技术的 掌握您的安全事件响应通信程序 蓝图帮你:

    • 理解内部沟通和外部沟通的区别.
    • 确定哪些人需要加入安全事件响应通信团队.
    • 定义沟通角色和职责.
    • 制定沟通策略.
    • 起草一份事故响应沟通小组政策.
    • 向公众精心制作你的信息.
    • 简化跨部门沟通.
    • 欣赏验尸报告的价值.
    这张图片包含了三张来自“掌握您的安全事故响应通信程序”的截图. 的 page titles are: 安全 事件响应 Communications 政策; 安全 incident Response Interdepartmental Communications template 和; Communications 角色和职责.

    利用最佳实践和建议来优化安全事件管理

    • 将各种技能融入到你的事件响应过程中:
      • IT安全等部门, 法律和合规, 在做出关键决定时,应该考虑到公共关系,将事件的影响降到最低.
    • 使用预测分析先发制人地处理事件:
      • 不要坐等事情发生. 分析趋势和模式,预测攻击和事件.
      • 例如, 如果缴税季节即将来临, 发出简短提醒,提醒市民避免网络钓鱼诈骗. 不要等待别人的尝试才去解决它.
    • 申请网上责任保险:
      • 对于成本高昂的组织来说,这是一种有效的风险转移选择, 强制数据泄露通知法(美国50个州中的46个州).
      • 类似于火灾的保险单, 洪水, 或被盗, CLIC是安全风险管理的重要工具.
      • 波耐蒙研究所《漏洞防范报告》(2018年)中45%的受访者表示,他们有安全保险政策.
    • 准备一个装满以下物品的应急跳伞袋:
      • 记录事件细节的日记(谁,什么,在哪里,为什么,如何).
      • 所有的衬衫成员的联系信息.
      • USB闪存.
      • 可引导的USB闪存驱动器与反恶意软件和其他软件工具,可以读/写到受影响的文件系统.
      • 配有取证软件,反恶意软件和互联网接入的笔记本电脑.
      • 计算机及网络工具包的添加/移除组件,电线网线等.
      • 具有写块功能的硬盘复制器,可以创建硬盘驱动器映像的法医声音副本.
      • 一个耐用的袋子或容器,用来存放所有的跳伞袋的内容.

    来源:无协会,“事故处理人员手册”

    保险公司通过启动事件后流程来关闭事件响应流程的循环

    该小组根据安全事件的严重程度制定了事件后报告时间表.

    可交付成果/证据 频率 负责任的 沟通
    保安事件摘要(Sev1) 发表保安事故报告后两个工作日 安全管理器 它的领导
    风险和隐私
    安全事故报告(Sev1 & 2) 严重性为1的事件:5个工作日
    严重性2的事故:7个工作日
    安全分析师 它的领导
    月度报告 每个月的第二个星期五
    当提供季度报告时,将不会生成月度备忘
    安全管理器 它的领导
    季度报告 每个季度后的第二个星期五
    临时/状态报告 根据需要 安全管理器 根据需要

    结果:
    在实现新的安全事件响应流程之后, 该公司有效地减少了安全事件的响应时间, 将事故影响降至最低, 提高主要利益相关者之间的透明度.

    了解故障

    通过开发您自己的事件用例,可以节省组织的响应时间和混乱.

    • 开箱即用的事件分类通常提供太多的覆盖范围. 太多不相关的不适用于组织的案例被解释了, 这让你很难从所有的事件中筛选出你关心的. 开发特定的事件用例,与相关事件相对应,以快速识别响应过程,并在由不同的人处理时消除歧义.
    • 知道什么时候事件超出了你的用例范围. 确定何时寻求第三方援助,并聘请合同工,这样你就不会在危机期间四处寻找. 在问题出现之前尽可能多的准备.

    记录并跟踪操作阶段事故处理的每个步骤.

    • 对事件生命周期进行全面全面的记录将有助于理解根本原因,并允许更快地对未来任何再次发生的事件进行补救, 以及支持任何法律升级. 跟踪工作时间成本有助于确定对组织的总体影响.
    • 必须对事件响应的结果进行分析、跟踪和定期审查. 否则,缺乏对事件趋势和模式的全面了解,就会导致再次受到同一媒介的伤害.

    协同工作,保持内部和外部的一致沟通.

    • 先发制人地保留多个安全的通信通道,以保证在事件响应期间的通信方式不受损害.
    • 与其他组织相互合作,共享信息,并利用收集到的情报来应对行业中即将到来的威胁. 有效的沟通是成功管理事件的基本手段.
    • 不要等到恐慌的时候才去尝试组织沟通策略. 在发生事故之前,是否制定了最低更新要求的公关计划和第三方合同.

    参考书目

    Accuvant. ”事件响应.” Optiv安全. 2015. 网络.

    爱,C.,等. 为csirt定义事件管理流程:一项正在进行的工作.” 软件工程研究所. 2004. 网络.

    艾伦,米. 事件响应计划. 2003. 网络.

    贝利,T.和J类. Br和ley. “规划有效网络事故应对的十个步骤”.” 哈佛商业评论. 2013年7月1日. 网络.

    Bejtlich R. “事件检测、响应和取证:基础.” 方案. 2008年4月2. 网络.

    Bizeul D.V. Ferran-Lacome. “事件响应方法:恶意网络行为.” CERT-SG. 2005. 网络.

    布朗,维. “事件应对:沟通是关键.” 安全杂志. 1月1. 2008. 网络.

    CERT. “成立电脑保安事故应变小组的行动清单”.” CERT. 2006. 网络.

    Chapple,米. “如何遵守更新的NIST事故响应指南.” TechTarget. 10月. 2012. 网络.

    丘伯保险集团. 为什么你的组织需要一个事件响应计划.” 丘伯保险锁群. 2013. 网络.

    思科. “思科2018年年度网络安全报告.“2月. 2018. 网络. 库珀K. J. 第二天:你对安全漏洞的第一反应.” 技网. 2008. 网络.

    佳洁士. “佳洁士网络安全事件响应成熟度评估工具.” 佳洁士. 2014. 网络.

    戴尔的安全工作. “10个技巧帮助您最小化安全漏洞的持续时间和影响.” 安全的工作. 2013. 网络.

    数字地球. “针对安全的预测分析 & 执法.” 数字地球. 2013. 网络.

    Dorofee,.,等. 事件管理能力度量版本0.1.” 软件工程研究所. 2007. 网络.

    艾斯纳,R. S. “走在国家数据违法法律的前面.” Law360. 8月12日. 2014. 网络.

    Everbridge. “事件管理 & 沟通:降低风险的8大重点领域.” Everbridge. 2013. 网络.

    联邦通信委员会. “电脑安全事故应变指南”.” FCC. 12月. 2001. 网络.

    Fey, Michael等人. 安全战场执行手册. 英特尔出版社,2012年. 打印.

    Foundstone. “企业事件反应.” Foundstone专业服务. 2005. 网络.

    加拿大政府. “加拿大网络事件管理框架”.” 加拿大公共安全. 12月15日. 2014. 网络.

    Hatchimonji G. RSAC 2014:专家讨论事故响应的严酷现实.” 方案. 2月27日. 2014. 网络.

    IBM. 2018年数据泄露成本研究:全球概述.” IBM. 2017年6月19日. 网络.

    Info安全杂志. “CISO角色扩展到包含企业安全风险管理方法.” 里德展览有限公司. 4月17日. 2013. 网络.

    ISACA. “事件管理和反应.” ISACA. 2012. 网络. ISO / IEC 27035:2011. 信息技术-安全技术-信息安全事件管理.” ISO. 2011. 网络.

    凯利,戴安娜和罗恩·莫里茨. 《澳博体育app下载》.” 泰勒 & 弗朗西斯. 11月11日. 2017. 网络. 肯尼迪,克. “小型机构的保安事故处理.” . 2008. 网络.

    Killcrece G.R. Rueflue. “建立和管理计算机安全事故响应小组(csirt)”.” 软件工程研究所. 2008. 网络.

    Killcrece G.,等. “电脑保安事故应变小组的工作情况”.” 软件工程研究所. 10月. 2003. 网络.

    Kral P. ”事件处理程序的手册.” 无研究所. 2011. 网络. Krutz R. L.R.D. 葡萄树. CISSP预备指南. 威利出版、 公司., 2003. 打印.

    莱基,M.和D. 公吨. “反思安全操作.” 业界安全教育会议. 多伦多,10月21日. 2014.

    Linux安全. “事件响应:前、中、后.” Linux安全, 2010. 网络.

    网络K.,等. 事件响应 & 计算机取证. 麦格劳-希尔公司 公司., 2003. 打印.

    侯爵,H. “改善事件分类的9个步骤”.” itSM的解决方案. 2月26日. 2010. 网络.

    干预,P.,等. “恶意软件事件预防和处理指南.” 国家标准与技术研究所. 11月. 2005. 网络.

    蒙迪,D.,等. 事件管理本体论.” SEI数字图书馆. 2014. 网络.

    国家标准与技术研究所. SP 800-61修订版2:计算机安全事故处理指南.” NIST. 2012. 网络.

    国家标准与技术研究所. SP 800-83修订版.” NIST. 2013. 网络.

    国家标准与技术研究所. SP 800-86:将取证技术集成到事故响应的指南.” NIST. 2006. 网络.

    诺兰,R.,等. "计算机取证急救员指南.” SEI数字图书馆. 2005. 网络.

    Osiatis. 事件管理:介绍和目标.” Econocom. 2010. 网络.

    Pokladnik, M. “针对中小企业的事故处理程序.” 无研究所阅览室. 2007. 网络.

    波耐蒙研究所有限责任公司. 第五份年度研究:你的公司准备好应对大数据泄露了吗?” 益百利. 2017年7月. 网络.

    Proffitt T. “为一家大公司创建和管理一个事故响应团队.” 无研究所阅览室. 2007. 网络.

    Ragan,年代. 理解事件响应:让IT为你工作的5个技巧.” 方案. 4月1日. 2014. 网络.

    罗杰斯,B.,等. 安全的战场. 英特尔出版社,2012年. 打印.

    劳斯米. “数据违反.” TechTarget. 2010年5月. 网络.

    劳斯米. “端点安全.” TechTarget. 2011年6月. 网络.

    Sambhi,年代. “网络责任保险概论”.” ComputerWeekly. 2013年7月. 网络.

    桑德斯,T. 信息安全计划,第一部分:建立有效的事件响应计划.” 信息的十字路口. 9月. 2012. 网络.

    舒尔茨,E.R. 沙姆韦. 事故反应的六阶段方法. 地空导弹出版,2001. 打印.

    S黑客leford D. “云安全事件管理:应对挑战”.” TechTarget. 9月. 2012. 网络.

    Spohn, M. G. “紧急事件响应:事件响应人员的10个常见错误.” 迈克菲. 2012. 网络.

    Tcherchian,年代. “破坏恶劣和事故反应的成本.” XYPRO. 9月22日. 2014. 网络.

    Tcherchian,年代. “事件应对计划:期待最好的结果,做最坏的打算,准备好大吃一惊。.” XYPRO. 11月9日. 2014. 网络.

    思科网络:. 思科2017年年度网络安全报告:首席安全官揭示了入侵的真实成本和组织正在采取的行动.“网络: 思科. 11月11日. 2017. 网络.

    温尼伯大学. “事件响应程序.温尼伯大学信息技术资源 安全标准. 2014. 网络.

    托雷斯,. 《澳博体育app下载》(事件响应: How to Fight Back).” 无研究所. 2014. 网络.

    特里克,F. “事件管理政策中需要解决的问题。.” TechTarget. 1月. 2004. 网络.

    us - cert. “联邦事件报告指南.” 美国计算机应急小组. 2014. 网络.

    us - cert. “互联网安全度量中心.” 美国计算机应急小组. 2009. 网络.

    us - cert. “us - cert联邦事故通知指南.” 美国计算机应急小组. 2014. 网络.

    V所有adares C. “20关键安全控制:控制18 -事件响应.” Tripwire. 9月18日. 2013. 网络.

    威瑞森. 2017年数据泄露调查报告.” 威瑞森公司企业解决方案. 2017. 网络.

    斗士,R. 事件管理103:通信.” eBRP解决方案. 2013年6月17日. 网络.

    West-Brown, M.,等. 《澳博体育app下载》.” 卡内基梅隆大学软件工程学院. 2003. 网络.

    Zeltser L. “针对应急人员的初始安全事件问卷调查.” Zeltser.com. 1月30日. 2015. 网络.

    齐默尔曼,卡森. “世界一流网络安全运营中心十大战略”.” MITRE公司传播和公共事务部. 2014. 网络.

    关于信息技术

    信息技术研究集团是世界上发展最快的信息技术研究和咨询公司, 为超过30人服务,000年IT专业人员.

    我们提供公正和高度相关的研究,以帮助cio和IT领导者制定战略, 及时的, 和消息灵通的决策. 我们与IT团队紧密合作,为他们提供所需的一切, 从可操作的工具到分析师指导, 确保他们为组织提供可衡量的结果.

    会员等级

    8.6/10
    总体影响

    $33,932
    平均美元救了

    31
    平均一天救了

    在每一次信息技术体验之后, 我们要求我们的成员量化实时储蓄, 货币的影响, 我们的研究帮助他们实现了项目改进.

    读一读我们的会员在说什么

    什么是蓝图?

    蓝图被设计成路线图, 包含解决IT问题所需的方法、工具和模板.

    每个蓝图都可以附带一个指导实施,该实现可以让您访问我们的世界级分析师,以帮助您完成项目.

    需要额外的帮助?
    尝试我们的引导实现

    在这个三个阶段的咨询过程中获得你需要的帮助. 您将获得与我们的研究人员的6个接触点,这些接触点都包含在您的会员名单中.

    指导实施#1 -准备
    • 呼叫#1 -了解事件响应过程, 定义你的安全义务, 范围, 和边界.
    • 调用#2 -正式制定事件管理章程、RACI和事件管理政策.

    指导实施#2 -操作
    • 调用#1 -使用这个框架来开发一个通用的事件管理计划.
    • 呼叫#2 -设定优先级并开发优先级最高的运行簿.

    指导实施#3 -维护和优化
    • 呼叫#1 -发展和促进桌面练习.
    • 调用#2 -创建一个事件管理度量程序, 并评估事故管理计划的成功.

    作者(年代)

    罗德洛根

    贡献者

    • Dave miller, Uzado 公司 .首席执行官.
    • 马哈茂德Sher-1月,执行副总裁 & 总经理, 雷达产品单位
    • Matt Anthony, Herjavec集团安全补救服务副总裁
    • Jason Bareiszis, C的衬衫经理 & 利乐科技首席安全架构师
    • 马尔科姆·布朗,Trend Micro,行业分析师关系部
    • 马克·伯纳德,CISO,政府,金融服务,制造,制药,法律
    • 钟韦恩,Eosensa信息保障高级顾问
    • 阿里·沙希迪,首席网络安全官 & 计算机取证,InfoTransec公司.
    • 伊恩·帕克,富士通服务公司公司系统信息安全、风险和合规主管
    • 乔伊·拉库尔,首席信息官,Colonial Savings, F.A.
    • 罗恩·柯克兰,克劳福德公司信息通信安全经理
    • Vincent di Giambattista, Alliance 医疗保健 Ltd . IT安全与合规总监.
    • 五个匿名的贡献者
    访问我们的 COVID-19资源中心 和我们的 成本管理中心
    超过100名分析师正等着接听您的电话: 1- x2019