資安事件升級(incident escalation)
- 定義:識別→分類→移交的過程,對其進行初步處理,並(如適用)將其轉交給經驗更豐富的團隊成員。ex:防火牆異常警報需判斷是否為攻擊跡象
- Incident escalation is the process of identifying a potential security incident, triaging it, and (if appropriate) handing it off to a more experienced team member.
- 你需要知道如何評估並在必要時將事件升級到正確的個人或團隊。
- 注意細節和遵循組織的escalation指導方針或流程的能力。
- 雖然低級別的安全問題不被視為重大安全威脅,但仍然應該進行調查,以確保它們對組織造成的影響最小化。
Notification of breaches
許多國家有違規通知法律,因此了解所在國家的相關法律非常重要。違規通知法律要求公司和政府機構在涉及個人識別信息(PII)發生安全漏洞時通知相關個人。PII包括個人身份號碼(如社會安全號、駕駛執照號碼等)、醫療記錄、地址及其他敏感客戶資訊。作為初級安全分析師,您需要了解各種安全法律,因為這些法律經常會更新。
Low-level security issues 低階安全問題
低階安全問題是指不會導致個人可識別資訊(PII)洩露的安全風險。
- 一名員工在其帳戶上有一次登錄失敗的嘗試,以及
- 一名員工將未經批准的軟件下載到其工作筆記本電腦上。
| 主題 |
內容 |
範例/比較 |
相關概念 |
| 不需升級的情況 |
誤報、已知且可控的小問題 |
員工忘記密碼的常見重置請求 |
需與"應升級但被忽略"情況區分 |
| 必備技能 |
1.細節關注力 2.流程遵循能力 |
發現異常登錄模式(如午夜管理員帳號活動) |
與技術技能互補,但更基礎 |
| 組織差異 |
大型:多層級團隊 中小型:1-2人 |
大公司有專職SOC團隊,小公司可能外包 |
流程複雜度與資源成正比 |
| 潛在風險 |
延遲升級導致問題擴大 |
WannaCry攻擊最初只是單一電腦異常 |
"小事化大"的成本呈指數增長 |
| 主題 |
內容 |
範例/比較 |
相關概念 |
| 違規通知法 |
法律要求通知涉及個人識別信息的安全事件 |
敏感資料洩露後需迅速通知受影響者 |
各國法律不同,需定期更新知識 |
| 低階安全問題 |
不會導致PII洩露的安全風險 |
單次登錄失敗、未經批准的軟體下載 |
雖然不重大,但仍需調查 |
| 升級流程 |
每家公司有不同的升級政策 |
通過IT服務台或直接溝通升級事件 |
升級程序確保事件得到適當處理 |
| 關鍵要點 |
升級對保護數據至關重要 |
小問題也需升級,避免潛在風險 |
熟悉流程可提高反應效率 |
Prepare to escalate through security recognition
| 事件類型 |
定義 |
範例 |
影響 |
升級重要性 |
| malware infection |
惡意軟體潛入系統或網絡 |
釣魚攻擊、勒索軟體 |
系統緩慢、數據無法訪問 |
必須及時升級以保護敏感數據 |
| ** unauthorized access** |
個人未經授權獲得訪問權限 |
brute force攻擊 |
取決於系統的重要性 |
所有事件需升級,緊急程度依系統而異 |
| improper usage. |
員工違反可接受使用政策 |
訪問個人軟體許可證 |
可能影響政策遵循 |
always be escalated to主管,判斷意圖困難 |
Recognize roles and responsibilities during escalation
在資安事件升級過程中,各種團隊成員的角色和責任。
| 角色 |
定義 |
責任 |
範例 |
| Data owners |
** 決定誰可以訪問、編輯、使用或銷毀信息的人** |
負責數據的分類、保護和使用 |
員工未經授權訪問不需要使用的軟體時需上報給數據擁有者 |
| Data controllers |
決定數據處理程序和目的的人 |
確保數據使用符合安全和隱私法規 |
敏感客戶信息面臨風險時需上報給數據控制者 |
| Data processors |
代表數據控制者處理數據的人 |
安裝安全措施,處理數據處理問題 |
數據處理問題需上報給第三方組織的負責人 |
| Data custodians |
負責分配和撤銷對數據訪問權限的人 |
實施數據安全控制,監控數據 |
數據安全控制需要加強時需通知數據保管者 |
| Data protection officers (DPOs) |
監控數據保護程序合規性的人 |
建議遵循數據保護標準,進行安全評估 |
標準或協議違反時需通知數據保護官 |
types of incidents
| 事件類型 |
定義 |
嚴重性評估 |
範例 |
| 低緊急事件 |
僅影響少數用戶或功能的事件 |
初步評估為低或中等嚴重性 |
員工忘記登錄密碼,導致多次登錄失敗 |
| 高緊急事件 |
影響關鍵業務運營的事件 |
初步評估為高嚴重性 |
攻擊者獲得製造應用程序的未經授權訪問 |
| 事件升級的影響 |
如果未能及時升級,可能導致更大損失 |
可能會導致數據洩露和業務中斷 |
未報告的可疑活動導致的數據洩露 |
事件升級的步驟與重要性
- 每個組織都有自己處理安全事件的流程。這個流程稱為升級政策
| 升級政策要素 |
定義 |
重要性 |
例子 |
| 升級政策 |
組織處理安全事件的程序 |
確保事件得到妥善處理 |
當事件發生時,指明應通知的相關人員 |
| 挑戰 |
升級過程中可能遇到的問題 |
確保即使在特殊情況下也能升級事件 |
直接上司不在辦公室時,仍需升級事件 |
| 保存政策 |
將升級政策保存於工作設備上 |
隨時可以訪問,提高反應速度 |
在工作電腦上書籤升級政策文件 |
| 注意細節 |
事件升級過程中的小細節 |
影響升級到正確人員的效率 |
確保將事件報告給正確的負責人 |
| 正確處理事件 |
妥善處理事件以保護組織 |
防止惡意行為者的威脅 |
確保所有事件都按照升級政策處理 |
Escalation timing
事件升級的角色與重要性
| 升級要素 |
定義 |
重要性 |
例子 |
| 角色 |
初級安全分析師需協助升級潛在事件 |
保護組織數據,防止小事件演變為大事件 |
升級未經授權訪問事件至安全團隊 |
| 信心 |
安全分析師需具備自信 |
增強決策能力 |
熟悉升級政策後自信報告事件 |
| 事件優先級 |
識別重要資產和數據 |
確保關鍵事件得到優先處理 |
優先處理影響製造應用的未經授權訪問事件 |
| 事件分類 |
不同類型的安全事件 |
幫助正確優先處理事件 |
惡意軟體感染、未經授權訪問、不當使用 |
| 快速升級小貼士 |
提高升級效率的建議 |
確保事件得到妥善處理 |
熟悉政策、遵循政策、詢問問題 |
yennefer
iThome鐵人賽
看影片追技術