Gartner 响应网络安全事件的3个必备工具--勒索事件响应计划手册和演练在线下载,免费下载

响应网络安全事件的3个必备工具提前制定端到端的事件响应计划未雨绸缪，快速做出事件响应网络安全事件的问题在于“何时出现”而非“是否出现”。当前，通过各种媒体，网络安全事件可引发比以往任何时候都更加负面的影响，因此，审计师、监管机构和其他利益相关方希望企业机构能够制定一个可以管理这些事件的明晰计划，从而尽量减少其对品牌、公司声誉、员工、客户和股东的影响。安全与风险管理领导者的当务之急是提前做好准备。其中重点使用的工具为：成文的响应计划和详细的事件类型手册。本指南摘录了Gartner工具和手册*的部分内容。仅供说明。 2021年的平均违规成本达到了 17年以来的峰值，10%的破坏事件由勒索软件引起——这一数字比2020年高出一倍。 *完整工具仅供部分Gartner客户使用：工具包：网络安全事件响应计划，工具包：编制勒索软件手册和工具包：网络攻击准备和响应桌面演练Gartner客户可以下载模板进行自定义，并提交给 Gartner专家进行审查，他们还可以在您制定计划的过程中随时回答您的问题。来源：《IBM 2021年数据泄露成本报告》；《Verizon 2021年数据泄露调查报告》 Gartner IT领导者成为客户 2 三个必备工具 01 02 03 制定事件响应计划编制详细的响应手册定期进行桌面演练应对网络事件的一般性计划处理特定事件类型的详细指南实施事件响应计划的常规测试 2020年至2021年，数据泄露成本从386万美元上升到424万美元。超过80%的勒索软件攻击除了涉及加密，还涉及数据盗窃。勒索软件攻击平均造成的停机时间达23天。来源：《IBM 2021年数据泄露成本报告》来源：《2021年第三季度勒索软件攻击者转向中型企业机构》，Coveware，2021年10月来源：《勒索软件成为国家管控重点，第二季度赎金成本下降》， Coveware，2021年7月 Gartner IT领导者成为客户 3 三个必备工具 01 02 03 制定事件响应计划编制详细的响应手册定期进行桌面演练应对网络事件的一般性计划处理特定事件类型的详细指南实施事件响应计划的常规测试 Gartner IT领导者成为客户 4 摘自Gartner工具包：网络安全事件响应计划绘制响应流程图事件响应计划应规定事件发生时需有序遵循的详细步骤。事件责任人（或类似角色）则应确保完整实施所有步骤，并以滚动方式跟踪进展和进行沟通。诊断事件？登记事件初步分类确定分类严重等级？确定严重等级数据泄露流程是否通知？重新评估事件保存可能受影响的数据确定范围收集事件数据启动CSIRT团队使用常规流程解决安全流程确定通知的通信方法通知利益相关方通知相关方诊断制定遏制计划实施遏制计划通知利益相关方制定根除计划实施根除计划通知利益相关方制定恢复计划实施恢复计划进行根因分析（RCA）结果备案指派行动负责人是否遏制？是否根除？是否恢复？更新票据更新票据更新票据通知利益相关方遣散CSIRT团队关闭票据遏制根除恢复 Gartner IT领导者更新控制措施和政策结束成为客户 5 摘自Gartner工具包：网络安全事件响应计划定义事件严重等级所有的安全事件都必须进行分类并确定严重等级。这有助于指导事件升级、明确服务级别协议，并以其他方式告知利益相关方事件对企业机构的潜在或现实影响。严重等级还能决定被通知对象、升级路径，以及需要使用的手册。严重性商业影响等级技术属性安全法务监管财务声誉数据类型运营 04 网络危机严重伤亡影响巨大罚款：$Z+ 损失：$Z+ 全球影响最高机密灾难性中断 03 高重伤影响适中罚款：$Y – $Z 损失：$Y – $Z 国内影响机密数据大规模中断 02 中急救影响较小罚款：$X – $Y 损失：$X – $Y 当地影响内部数据小规模中断 01 低无伤害无影响无违规无损失无影响公共数据无中断 Gartner IT领导者成为客户 6 摘自Gartner工具包：网络安全事件响应计划明确职责高效的事件响应需要团队合作。RACI模型能够明确整个企业机构内有关事件响应的所有角色和相应责任。其中，常见的利益相关方包括C-suite，法务、隐私和人力资源团队。步骤 CIO CISO DPO 登记事件帮助台 AR 事件负责人 IT CI I AR C SOC 数据所有人法务 I I 初步分类 I 确定分类 I I AR C C 确定严重等级 I I AR C C CI CI AR C I I AR I AR CI 根据严重等级决定后续步骤 I 使用常规流程解决启动CSIRT团队 Gartner IT领导者 I I 公关人力资源客户运营 CI 成为客户 7 三个必备工具 01 02 03 制定事件响应计划编制详细的响应手册定期进行桌面演练应对网络事件的一般性计划处理特定事件类型的详细指南实施事件响应计划的常规测试 Gartner IT领导者成为客户 8 摘自Gartner工具包：网络安全事件响应计划编制响应手册 CSIR团队应该根据常见或影响巨大的事件类型（如本例所示的勒索软件）编制详细的手册。该响应手册旨在提供详细的指导和流程，不同于一般性的安全事件响应计划。目录如何使用本工具包先决条件 IRP中的最低要求 1 适用范围初步通知勒索软件响应的四个阶段遏制分析补救恢复勒索软件四个响应阶段的工作流程图遏制识别受影响的主机隔离受影响的主机重置受影响的用户/主机凭证分析保存证据识别勒索软件菌株建立感染向量 Gartner IT领导者 1 1 1 2 2 2 3 3 3 4 5 5 5 5 5 5 6 6 成为客户 9 摘自Gartner工具包：网络安全事件响应计划制定勒索软件响应流程绘制勒索软件响应流程和决策树。该流程可用于制定详细的响应程序、明确职责，并制定CSIR团队用于指导其响应工作的其他文件。通知高层通知法务启动网络事故响应团队遏制分析补救恢复识别受影响的主机隔离受影响的主机确认勒索软件初始活动遏制保存证据重置受影响的用户/主机凭证分析建立感染向量识别勒索软件菌株联系执法部门用户网络保险？分析否完成监管通知 Gartner IT领导者通知法务是受监管的数据丢失？是是数据外流？成为客户 10 摘自Gartner工具包：网络安全事件响应计划详细记录响应流程与各主题专家（SME）合作，详细记录勒索软件响应流程。其中应包括：具体的指导、工具、示例、设置等，并应明确每个步骤的责任方。任务责任方识别受影响的主机 1. 识别所有报告勒索软件的主机 2. 进行调查以确定其他潜在的受感染设备。潜在的入侵威胁指标（IoC）可能是： • 文件活动异常 - 大量文件重命名，大量文件写入本地磁盘，磁盘加密 • 端点CPU和磁盘活动增加 - 无需进一步解释 • 文件无法访问 - 无需进一步解释 • 应用程序失败 - 无需进一步解释 • 可疑的网络流量 - 非标准端口流量，常规数据包大小改变，产生流量的顶级主机的变化，防火墙日志中“被阻止”或“被拒绝”条目增加。 • 特权用户账户活动异常 - 新账户创建、现有用户/组权限的变更、所有权变更 • 地理区域异常 - 异地访问 • 可疑的注册表或系统文件变化 - 无需进一步解释 • DNS请求异常 - 流向未知IP的流量激增 CSIRT团队 CSIRT团队遏制流程在没有取证调查员的指导下，不要关闭机器电源，否则可能破坏内存或磁盘中的宝贵数据。隔离受影响的主机 Gartner IT领导者 1. 断开受感染电脑、笔记本电脑或平板电脑的所有网络连接，无论是有线网络、无线网络还是手机热点。 2. 考虑是否有必要关闭Wi-Fi、禁用核心网络连接（包括交换机），并断开整个网络的互联网连接。 CSIRT团队 CSIRT团队成为客户 11 三个必备工具 01 02 03 制定事件响应计划编制详细的响应手册定期进行桌面演练应对网络事件的一般性计划处理特定事件类型的详细指南实施事件响应计划的常规测试 Gartner IT领导者成为客户 12 摘自Gartner工具包：网络安全事件响应计划设置议程并邀请参与者事件响应桌面演练应涉及整个企业机构的领导层和决策者。而成功的桌面演练要确定具体的目标，并高度结构化，能够涵盖预先确定好的情景。桌面演练议程和时间表 - 90分钟 01 欢迎和介绍 <5分钟> 02 演练目标和规则 <5分钟> 03 演练设置 <5分钟> 04 情景演练 <60分钟> 05 小组汇报/经验总结 <15分钟> Gartner IT领导者成为客户 13 摘自Gartner工具包：网络安全事件响应计划设定事件情景和场景要想实现最高效的网络安全桌面演练，其结构应该设置为一个初始情景（例如，恶意软件），并跟随一系列为事件增加新信息的场景。这种结构复刻了真实事件的不确定性变化。耗时框架：5个小时实际时间框架：60分钟 0号场景：初始情景上午8:00 10分钟 1号场景：T + 30分钟上午8:30 10分钟 2号场景：T + 1小时上午9:00 15分钟 3号场景：T + 3小时上午11:00 5分钟 4号场景：T + 4小时下午12:00 8分钟 4号场景：T + 4.5小时下午12:30 7分钟 Gartner IT领导者成为客户 14 设计具有挑战性的事件场景桌面演练应该复制利益相关方在实际攻击中必须解决的挑战性问题。例如：勒索软件在桌面演练中，参与者需对攻击者的赎金要求做出反应。设计要点：支付赎金的现实情况包括： • 平均而言，只有65%的数据能够恢复，且只有8