- NIST: National Institute of Standards and Technology Incident Response Lifecycle
- NIST incident response Lifecycle 4phases:
- NIST Lifecycle: A framework that provides a blueprint for effective incident response
- Preparation 確保組織具備必要的工具、流程和策略來應對可能發生的安全事件。
- Detection and Analysis 監控系統以快速發現潛在威脅,並對事件進行分析以確定其範圍和影響
- Containment, Eradication, and Recovery 採取行動限制事件影響,根除威脅來源,並恢復系統的正常運作。
- Post-incident activity 回顧事件回應的過程,記錄教訓,並更新安全策略以防止未來的類似事件。
CSIRT與SOC:
- CSIRT(計算機安全事件回應小組):專注於對已發生的安全事件進行回應,這個小組通常包括專業的事件分析人員、滲透測試人員及協調人員。
- SOC(安全運營中心):負責持續監控系統並主動偵測可能的安全事件或異常行為。
Command, control, and communication
- 高效事件回應的三大要素:
-
- 指揮 (Command):指揮指的是確保有適當的領導與方向來監督事件回應的整體進程。
-
- 控制 (Control):控制意味著在事件回應過程中能有效管理技術層面的各種細節,例如協調資源和指派任務。
-
- 溝通 (Communication):溝通指的是保持所有相關利益相關者(stakeholders)的資訊流暢和透明。
CSIRT 主要角色與職責
CSIRTs (Computer Security Incident Response Team)
- 專門處理網路安全事件的團隊。工作包括事件管理、響應與預防。
- 處理電腦安全事件回應小組(CSIRTs)的目標是有效且高效地管理事件、提供回應和復原所需的服務與資源,並防止未來事件的發生。
- 是視組織需求而異的,因此其結構和運作方式可能有所不同。結構上,它們可以是作為獨立的專責團隊,或者是在需要時召集的專案小組。CSIRTs 會涉及非安全和安全專業人士。非安全專業人士通常會被諮詢以提供事件專業知識,包括來自外部部門的人士,例如人力資源、公共關係、管理、IT、法律等部門。
主要角色定義與功能:
-
安全分析師 Security analyst - 分析警告,評估事件嚴重性。持續監控環境以識別任何安全威脅,包括分析和分類警報、進行根本原因調查、升級或解決警報。Analyzing and triaging alerts, Performing root-cause investigations, Escalating or resolving alerts 如果發現重大威脅,分析師會將其升級至適當的團隊領導,例如技術領導。
-
技術主管Technical lead(Ops lead) - 引導技術問題並解決高嚴重性事件。管理事件應對過程的技術層面,如軟體補丁或更新,確定事件根本原因,並制定實施策略以遏制、消除和從事故中恢復。
-
事件協調員Incident coordinator - 協調資源、管理流程並實時更新事件狀態。協調非安全專業人士的交叉合作,確保溝通暢通和人員知悉事件狀態,可能來自其他團隊如SOC。An incident coordinator is responsible for tracking and managing the activities of all teams involved in the response process.
| 主題 |
詳細內容 |
| NIST 事故回應生命週期 |
- 準備、偵測與分析、控制/根除/恢復、事後活動 |
| CSIRT 主要角色與職責 |
- 安全分析師: 監控與分析威脅、根因調查與升級 |
|
- 技術主管: 管理技術回應面向,修補漏洞 |
|
- 事件協調者: 與人資、法務合作,確保資訊流通 |
| SOC 組織與角色層級 |
- L1 分析師: 監控與優先排序告警,根據情況升級 |
|
- L2 分析師: 詳細調查升級問題,配置安全工具 |
|
- L3 領導: 分析高級威脅,協助團隊運營 |
|
- SOC 管理者: 團隊管理、評估與事件彙報 |
| 其他重要角色 |
- 鑑識專家: 數據蒐集與證據分析 |
|
- 威脅獵人: 偵測並分析新興威脅 |
安全運營中心(SOC)
- 是一個專門負責監控網路、系統和設備以應對安全威脅或攻擊的組織單位,
- 通常獨立存在或隸屬於CSIRT。
- SOC進行藍隊活動如網路監控、分析及事件回應。
- SOC的組織包括分析師、主管及經理,各自負責不同角色,分析師分為三個層級
SOC角色與職責
Tier 1 SOC Analyst (L1)
負責:
- 監控和審查警報,根據嚴重性進行優先排序
- 使用Ticket系統建立及關閉警報
- 將警報票單升級至Tier 2或Tier 3
Tier 2 SOC Analyst (L2)
負責:
- 接收來自L1升級的票單並進行更深入的調查
- 配置並優化安全工具
- 向SOC領導報告
Tier 3 SOC Lead (L3)
負責:
- 管理SOC團隊的運營
- 使用高級檢測技術(如惡意程式和數字鑑識)探索檢測方法
- 向SOC管理者報告
SOC Manager
負責:
- 招聘、培訓、評估SOC團隊成員
- 創建績效指標,管理團隊表現
- 編制事件、合規性及審計相關報告
- 與高管等利益相關者溝通發現
其他角色
- Forensic Investigators: 通常由L2或L3擔任,負責收集、保存和分析與安全事件相關的數字證據。
- Threat Hunters: 通常由L3擔任,利用威脅情報進行威脅檢測、分析和防禦。
Incident Response Plans
事件回應計畫:
-
定義 :回應事件(如資料外洩、DDoS等)並減輕損害的操作指南文件
- 事件回應計劃是一份文件,概述了事件回應每個步驟中要採取的程序。
- 例如:專屬於勒索病毒攻擊的處理指南
- 事件回應小組必須準備好快速、高效且有效地作出回應。
-
Incident response procedures & System information are some common elements contained in incident response plans
事件計劃的三元素
policies, standards, and procedure
| 主題 |
內容描述 |
| 組成要素 |
- 政策(Policies)- 標準(Standards)- 程序(Procedures) |
| 結構特色 |
根據組織規模、領域、文化等量身打造。例如:小型企業可能將計畫整合為安全性政策的一部分 |
| 用途及劣勢 |
- 優勢:應對快速,有備無患- 劣勢:若未定期更新,效果可能下降 |
其他事件計劃的共同特點
- 事件回應程序 Incident response procedures:逐步如何應對事件的操作指南。
- 系統相關資訊System information:如網路圖、資料流圖、日誌及資產清單。ata flow diagrams, logging, and asset inventory information
- 相關文件:如聯絡電話清單、表單及範本。 contact lists, forms, and templates
改進計畫
- 必須隨時間定期審查和測試。
- 經由桌面模擬、演習等方式熟悉流程並找出流程缺失。
- 某些合規需求可能要求特定類型的演習。
yennefer
iThome鐵人賽
看影片追技術