在上一章節已經透過Log將組織內部資料匯總,再經由SIEM自動對於收集來的資料進行分析判讀,將異常的資料作通報,讓管理者於第一時間掌握異常狀況。組織針對這些異常得要有相對應的處理機制,這就是Playbook的範疇。
因應不同弱點或威脅得有相對應的處理流程,底下舉個例子:
一般中毒的處理流程
中勒索病毒的處理流程
斷網並關機:
備份重要資料:
尋求專業協助:
調查感染源:
系統修復:
格式化硬碟並重新安裝作業系統
上述所要表達的是當面對不同的狀況時,在playbook當中需有相對應正確的處理方式,不然問題始沒解決甚至病毒會繼續蔓延,在每個角色面對異常情況時該作哪些動作都得有具體明確的規範。
劇本的定義:
劇本的重要性:
劇本的類型:
事件回應手冊:
SIEM工具與劇本的配合:
SIEM工具用於收集和分析數據,檢測威脅並生成警報。
當收到警報時,安全分析師可以使用劇本來指導響應過程。
SIEM工具和劇本協同工作,提供結構化和有效的應對方式。
針對各種的威脅,各國都有制定參考的範本供需要的單位參考。下列為多國的參考範本及處理流程,有需要可以進行修改以符合組織的需求。
iT邦幫忙
英國國家網路安全中心 (NCSC) - 事件管理
澳洲政府 - 網路事件回應計劃
日本電腦緊急應變小組協調中心 (JPCERT/CC) - 漏洞處理和相關指南
加拿大政府 - 勒索軟體手冊
SOAR(Security Orchestration, Automation, and Response)是一種安全技術和策略框架,旨在提高安全運營中心(SOC)的效率和效能。SOAR 涵蓋了以下三個主要組件:
Orchestration(編排):集成和協調多種安全工具和系統,使它們能夠協同工作。這涉及到不同安全系統之間的數據共享和工作流程自動化,以確保信息流通和協作效率。
Automation(自動化):使用自動化技術執行安全操作任務,如事件響應、警報處理和日常運維任務。這有助於減少手動干預,提高反應速度,並降低人為錯誤的風險。
Response(響應):提供快速且有效的響應措施來應對安全事件。SOAR 系統可以根據預先定義的規則和策略自動執行事件處理,協助安全團隊更快速地解決問題並減少損害。
SOAR 解決方案幫助安全團隊提升響應效率,優化工作流程,並改善整體安全態勢感知。
在這一章節中,我們學習了多個與資訊安全密切相關的重要概念與工具:
安全域
我們深入探討了CISSP中的八個安全域,這些安全領域構成了資訊安全的基礎。我們了解了企業運作中面臨的主要威脅、風險和漏洞,並透過美國國家標準與技術研究所(NIST)的風險管理框架,學習了如何有效地管理和減少這些風險。
安全框架與控制
在這個部分,我們著重於理解安全框架和控制措施,並探討了機密性、完整性和可用性(CIA三元組)的核心意義。此外,我們也認識到OWASP提供的安全原則,以及如何透過安全審核來確保網路應用程式的安全性。
網路安全工具簡介
我們進一步探索了業界領先的安全資訊和事件管理(SIEM)工具,這些工具為安全專業人員提供了強大的支援,以保護企業的業務運作。我們了解了入門級安全分析師如何在日常工作中,通過使用SIEM儀表板來進行監控和分析安全事件。
使用劇本回應事件
最後,我們學習了劇本(Playbook)的作用和常見用途。通過實際案例,我們了解了網路安全專業人員如何使用劇本來快速應對已識別的威脅、風險和漏洞,從而提升了整體的應變效率。
這一章節涵蓋了從風險管理到實際安全工具的應用,並介紹了事件回應中劇本的運用。這些內容不僅奠定了資訊安全領域的理論基礎,還為我們提供了實際操作的技能,有助於日後應對日益複雜的網路安全挑戰。
iThome鐵人賽
看影片追技術