iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 17
0

為了對資安威脅進行事中事後的處理,企業組織需要建立監控與應變的標準化處理流程,以下資訊將此流程歸納成收集、分析、升級、解決四個階段。個人有興趣的地方會是在分析與升級兩個階段。

https://ithelp.ithome.com.tw/upload/images/20181101/20112538UMI2IAbqln.png

• 收集:蒐集我們需要的數據用來判斷活動的性質,是正常的還是不正常的,是惡意的還是非惡意的。
• 分析:對我們懷疑的事件的性質進行驗證和復現的過程,用上面那張圖來說的話,我們按照IOC(Indicator of Compromise入侵指示器)來劃分一類是依據IOC,一類是不依據IOC。
• 升級:通知委託人(這裡所說的委託人對於甲方而言就是企業自身,對於乙方而言就是客戶)關於被攻陷資產狀態的行為。
• 處理:委託人或者安全團隊才去的用於減少企業損失和風險的行為。

CIRT已成為資安論壇的重要探討議題之一,Computer incident response team (CIRT)是由Community emergency response team (CERT)演變而得。

https://ithelp.ithome.com.tw/upload/images/20181101/20112538txU59pgwAN.png

2.1.事件響應主管:領導,名副其實的領導,領導必須得從上面三個部分選擇出一個負責人來向其匯報工作。

2.事件監測與響應:這個團隊負責日常的分析和安全事件數據的更新和維護,由事件處理人員、Incident事件分析人員和Event事件分析人員組成,這個地方一般是24小時運行的,而且人都是隨時待命。

3.威脅與情報體系:這個地方的工作包括威脅情報收集和使用、紅藍軍模擬演習、滲透測試等等,不斷動態提升安全水平。

4.基礎設施開發:開發一些內部的系統用來維護這些監控的正常高效運轉。

參考來源
企業內網安全監控概覽
https://www.zhihu.com/appview/p/29816766


上一篇
STIX (2)
下一篇
NLP
系列文
自然語言技術與AI/ML初探30

1 則留言

0
Sergeyau
iT邦研究生 2 級 ‧ 2018-11-02 12:04:54

在資安上的CERT是Computer Emergency Response Team (CERT) 喔~
Community emergency response team (CERT)指的是不同組織

我要留言

立即登入留言