谈谈安全编排 自动化与事件响应技术
发布时间:2022-08-26 10:34:00 所属栏目:安全 来源:互联网
导读:随着网络安全攻防对抗的日趋激烈,企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。这种场景下往往需要设置某些编排机制,自动实现多个设备或者服务间的协调,来完成一系列的快速安全防护与事件响应功能
|
随着网络安全攻防对抗的日趋激烈,企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。这种场景下往往需要设置某些编排机制,自动实现多个设备或者服务间的协调,来完成一系列的快速安全防护与事件响应功能,即安全编排、自动化与事件响应(SOAR,Security Orchestration , Automation and Response)。 检测与分析阶段:组织应准备好处理任何事件,但应着重于使用常见攻击媒介的事件,对于不同类型的事件应具有不同的响应策略。 事件可能以无数种方式发生,因此不可能制定出处理每个事件的分步指示。组织通常应准备好处理任何事件,但应着重于准备处理使用常见攻击媒介的事件。 事件响应过程中最具挑战性的部分是准确地检测和评估可能的事件。如果确定事件发生,需确定问题的类型、程度和严重性。事件的迹象表现为先兆和指标,通过不同的来源来识别前兆和指标,其中最常见的是计算机安全软件警报、日志、公开可用的信息和人员。 事件响应团队应按照预先制定的流程迅速分析和验证每个事件,并记录每个步骤。当团队认为事件已发生时,团队应迅速进行初步分析以确定事件的范围,例如受影响的网络、系统或应用程序等。 怀疑事件已发生的团队应立即开始记录有关该事件的所有事实,可以使用日志、电脑、相机等工具。应当注意的是从发现事件到最终解决,每一步都应记录在案并加盖时间戳。与事件有关的每个文件都应由事件处理者注明日期并签名以留证。 优先处理事件可能是事件处理过程中最关键的决策点,应根据相关因素确定处理的优先级。对事件分析并确定优先级后,事件响应团队需要通知适当的人员,以便所有相关人员都发挥自己的职责。 遏制,消除和恢复阶段:遏制为制定补救策略提供了时间,遏制策略根据事件的类型而变化。遏制事件后,可能有必要清除系统被破坏的部分,使系统恢复到正常的运行状态并防止以后发生类似事件。 大多数事件都需要遏制,遏制为制定补救措施提供了时间,遏制的一个重要部分是决策。提前制定适当的遏制策略,在事件发生时根据事件的类型选择合适的策略,可以帮助更快的响应突发事件。 遏制事件后,可能有必要消除系统被破坏的部分,例如删除恶意软件和禁用违规用户帐户,以及识别和处理漏洞。在消除期间,重要的是确定组织内所有受影响的主机,以便可以对其进行修复。有些事件消除不是必需的,或者可以在恢复期间执行。在恢复过程中,管理员将系统恢复到正常运行状态,确认系统正常运行,并修复漏洞以防止发生类似事件。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号