缺少人手的時候如何確定安全事件響應(yīng)過程
對于任何一個企業(yè)來說,處理數(shù)據(jù)泄漏安全事件都是一項艱巨的任務(wù)。數(shù)據(jù)泄漏之后的善后工作涉及到許多費時的步驟,其中包括確認泄漏的數(shù)據(jù)、報告安全事件細節(jié),以及實施必要的管制以防止類似的事情再次發(fā)生等。(這些只是必要措施中的一少部分。)安全事件的后果令人害怕,如果再缺少人手,這件事似乎不可能完成。然而,情況并不一定如此。
在本文中,我們將概述如何利用非安全部門的員工組成一個能夠制定數(shù)據(jù)泄漏響應(yīng)計劃的電腦安全事件響應(yīng)小組。
安全事件響應(yīng)過程:***步
為了確保數(shù)據(jù)泄漏造成的損失最小,***的辦法就是提前做準備,***步就是組建電腦安全事件響應(yīng)小組(CSIRT)。這個小組應(yīng)該包含來自企業(yè)各個部門的員工:IT、法律、人力資源以及公司管理人員等。這個安全事件響應(yīng)過程中的員工都應(yīng)該是值得高度信任的人,因為他們可能會接觸到敏感數(shù)據(jù),具體情況視安全事件細節(jié)而定。
數(shù)據(jù)泄漏安全事件響應(yīng)小組中的任何人都要明白,他們的工作細節(jié)是機密,他們必須保護他們所接觸的、或者在調(diào)查期間存儲的數(shù)據(jù)的安全。
關(guān)于如何組建CSIRT的其他細節(jié)可以從CERT、NIST、FIRST組織,或者地方性安全事件響應(yīng)組織那獲得。
電腦安全事件響應(yīng)小組如何協(xié)助制定數(shù)據(jù)泄漏響應(yīng)計劃?
雖然根據(jù)常識,在經(jīng)濟蕭條時期,IT和信息安全員工數(shù)量減少的情況下,安全事件響應(yīng)過程會更加困難,然而這實際上也可能是一個機會——讓現(xiàn)有員工進行創(chuàng)造性的思考,并在企業(yè)內(nèi)部各部門之間建立起信任。為此,讓我們更加詳細的討論一下可以參與到電腦安全事件響應(yīng)小組的各部門的角色。每個CSIRT都應(yīng)該包括核心成員以及機動成員。比如,核心CSIRT成員應(yīng)該包括來自主要運行系統(tǒng)部門的代表,一個網(wǎng)絡(luò)工程師和一個應(yīng)用程序部門的員工。而機動成員可以是那些在數(shù)據(jù)泄漏事件中可能會被牽扯進來的部門的一員。
很明顯,CSIRT應(yīng)該包含系統(tǒng)管理員和應(yīng)用程序支持人員。當有泄漏事件發(fā)生時,他們通常是***被通知的一批人,然后其他人才會得到消息,他們可以檢查日志來確定可疑事項、驗證管理賬戶的可靠性、驗證系統(tǒng)上應(yīng)該運行的服務(wù)、為CSIRT核心成員提供系統(tǒng)訪問權(quán)或者應(yīng)用程序訪問權(quán),以及許多其他的基本工作。
其他的主要參與者包括那些來自法律、法規(guī)遵從、物理安全以及公眾關(guān)系部門的人員。法律部門和法規(guī)遵從部門的專家能夠提供法律、監(jiān)管規(guī)則、合同要求或者安全事件其他方面的指導(dǎo)意見;那些屬于嚴格監(jiān)管行業(yè)的公司,比如醫(yī)療保健或者金融行業(yè),可能會考慮把法律以及法規(guī)遵從代表加入CSIRT并作為其核心成員。那些精通物理安全的人員能夠提供企業(yè)中進進出出的人員和其他方面的數(shù)據(jù)。他們甚至還可能跟執(zhí)法機構(gòu)有關(guān)系,并且在報告和調(diào)查犯罪方面有相關(guān)經(jīng)驗。公眾關(guān)系部門成員可以幫忙進行任何跟媒體有關(guān)的活動。如果需要對相關(guān)方進行通知,所有這些部門都可以幫得上忙。
然而,當各個部門缺少人手的時候,說服他們派出CSIRT代表或者全體人員都花費必要的時間來準備響應(yīng)安全事件可能會比較困難。為了說服其他部門派出CSIRT代表,你必須讓他們意識到他們的時間和專業(yè)知識都會受到高度重視。這意味著只是在必要的時候才會請他們幫忙,而且響應(yīng)數(shù)據(jù)泄漏事件所需時間也最短。他們應(yīng)該有適合自己角色的清晰明確的程序,以便為響應(yīng)泄漏事件做準備。根據(jù)數(shù)據(jù)泄漏的嚴重程度,他們有時可能不需要牽扯進來,這時應(yīng)該跟他們進行交流,以便讓他們知道在不必要的時候不用參與進來。
即便是缺少人手,響應(yīng)數(shù)據(jù)泄漏事件也至少需要包括一個核心CSIRT成員、一位具有系統(tǒng)知識的IT聯(lián)系人,以及一位熟悉系統(tǒng)包含哪些數(shù)據(jù)的人員。這些關(guān)鍵人員在確定受影響的數(shù)據(jù)、實施的安全控制以及應(yīng)該執(zhí)行的響應(yīng)行動等方面能夠提供專業(yè)的知識。這些人還可以提出相關(guān)建議防止此類安全事件再次發(fā)生。
***,需要進行事后分析,對經(jīng)過人員調(diào)整的CSIRT進行有效性評估,因為在缺少人手的情況下安全事件響應(yīng)工作可能會跟平時不太一樣。這個評估應(yīng)該優(yōu)先進行,特別是在這個由不同部門成員組成的CSIRT比平時企業(yè)人員配備齊全的方案效率更高時。在泄漏事件響應(yīng)的時候,向公司管理層通報小組的參與力度也是一個很好的做法,這樣做可以詳細解釋他們是如何把安全事件對企業(yè)的影響降到***的。
【編輯推薦】
