课程: 网络安全基础知识

事件管理基础知识

课程: 网络安全基础知识

事件管理基础知识

随着更多资源被投入到网络犯罪 和政府支持的恶意软件, 哪怕最谨慎的企业 也不可避免地会被攻击渗透。 在这种情况下,企业对安全事件的响应能力 决定了攻击造成的影响大小。 NIST《网络安全框架》 针对“响应”这一功能提供了一组控制目标, 分为规划、沟通、分析、 缓解和改进五个类别。 这个框架还包括一项恢复功能, 涉及其中三个类别。 这五大功能与 NIST 800-61 《安全事件处理指南》中定义的 “四阶段事件处理流程”非常相似。 与 NIST 不同, 这个指南没有把沟通单独列为一个阶段, 因为它贯穿流程的始终。 一家英国机构发布了一个三阶段模型, 包括准备、响应和跟进, 与前面这两种模型非常相似。 但不论哪种模型, 事件管理的关键都是信息共享, 包括准备阶段的威胁情报 和事件发生时的运营响应问题。 NIST 在 1990 年成立了 “事件响应与安全小组论坛“, 至今它仍在积极地为行业、 政府和供应商提供支持。 这个论坛会举办各种会议, 推动事件预防方面的合作、 促进对事件的快速响应, 支持主题专家分享和交流信息。 许多国家都设有“计算机应急响应组“, 旨在保护政府设备和关键基础设施, 并就网络安全问题提供社区建议。 比如美国的应急响应组, 它是国土安全部国家网络安全 和通信综合中心的下设机构,全天候运营, 负责通过运营中心受理安全事件 并进行处理和协调、提供技术支持, 以及公布现有和潜在的安全问题。 在说到事件的类型时,有一套通用的、 适合每种事件的语言和模板很重要。 美国应急响应组将安全事件分为七类。 0 类事件指为测试网络防御能力 而开展的网络安全演练。 1 类事件指个人未经许可获得对网络、 系统、应用程序、数据 或其他资源的逻辑或物理访问权限。 2 类事件指拒绝服务事件, 攻击者通过耗尽资源 来成功阻止或破坏网络、系统 或应用程序的正常授权功能。 3 类事件指成功安装恶意软件, 未被杀毒软件隔离。 4 类事件指违反可接受使用政策的事件。 5 类事件指对系统进行扫描和探测, 寻找开放的端口、协议或服务, 但不直接导致攻击或拒绝服务。 6 类事件指未证实 但可能属于恶意操作的事件,需进一步调查。

内容