iT邦幫忙

2022 iThome 鐵人賽

DAY 24
0
Security

none系列 第 24

2-2 提高事件處理效率

  • 分享至 

  • xImage
  •  

決心

正在服務的機器出事情的時候敢不敢拔網路線,要通報到哪個層級才能決定,判斷處理的時間多長

為什麼會不敢處理? 因為沒辦法下決定、無法扛責任

為什麼沒辦法下決策? 因為沒有事先溝通好,必須要讓相關人員有相對的意識,並參與規劃

營運持續計畫BCP (Business Continuity Plan)

這是在制定事件發生時的應變方法

資安/資訊事件通常不會列在BCP的演練項目,偏偏這需要上級加入,多個部門參與

而即便是有了勒索病毒為演練主題,在判斷是否擴散,需要全面隔離的判斷點不夠明確

接著事件發生的情況每次都略有不同,預期之外的難以處理,不能只演練一種情境

ATT&CK

之間談到att&ck 定義分類各種攻擊手法,該網站還有將APT組織的手法整理出來

可以參考與自己組織相關的事件,哪些APT專門針對相同組織,使用哪些手法

去檢視這些手法是否也會對我們有效,做不好的強化改進

當然駭客不會只採用這些手法(畢竟那些資料只是事後鑑識推導出來,會有漏),而且會換手法,不能強化一個面向

在做檢視驗證時不能用背考古題得心態,這個攻擊方式沒擋下來(答錯),就只強化防火牆規則(背答案),換個手法(改題目)還是被打爆(不及格)。

在防禦技術(Techniques)時,多想一下這類型戰術(Tactics)需要制定什麼政策(policies),有了標準(standards)後,各部門制定程序(procedures)執行,資安不是只有資訊部門參與就能做好的

CDM

用來視覺化,評估盤點現有防禦成立的矩陣圖

確保買的東西有效 -> 要求證明設備達到某個能力

確保該防護的地方 -> 補上缺口

確保不做疊床架屋 -> 有同樣能力的為什麼要有第二個(重疊),第二個能強化防護嗎,是否浪費錢買同樣東西

告知高層既有風險 -> 就算有填補上,是否還是可能有漏洞(0 Day、雜訊)

自動化

自動化在推動執行的過程中,一定會經歷制定threshold(量化)、不同設備觸發連動、通知人員、執行動作

一條條自動化規則就是Policies的延伸,展示成熟度不只有書面文件,甚至標準化,可執行

且每完成一項自動化就可以釋放人力資源,讓這些資源再投入下一個自動化規則,有效且能展現成果

REF

你的資安策略夠明確嗎?透過框架優先緩解真實威脅
https://devco.re/blog/2020/10/13/mitigate-real-threats-by-framework-and-standards/

真實風險與 ATT&CK 的鴻溝
https://s.itho.me/ccms_slides/2022/9/29/864c1392-818f-47be-996d-4d9165a440b1.pdf

如何正確使用紅隊演練
https://s.itho.me/ccms_slides/2022/9/29/b6daade8-ff70-4203-9506-105da36ea7c6.pdf


上一篇
2-1 堵上那個洞! 哪個洞?
下一篇
2-3 自動化情報交換-STIX
系列文
none36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言