网络安全运营和事件管理(二十一):执行-缓解和对策之SIEM平台和对策

admin 2023年3月6日20:16:56评论16 views字数 1311阅读4分22秒阅读模式

《网络安全知识体系》

安全运营和事件管理(二十一)
SIEM平台和对策


5 执行:缓解和对策

5.3 SIEM平台和对策

SIEM平台对当今MAPE-K执行活动的贡献是有限的;一旦分析师定义并验证了计划,其他功能(如更改控制票证系统)将接管,以确保部署的操作是适当的,并且不会对业务活动产生负面影响。
SOC内部,分析师使用票证系统来跟进事件解决的进度,并在需要时将问题上报给更熟练或更专业的分析师。票务系统还可以用于事件事后分析,以评估和改进SOC流程。
SOC分析师还与工单平台互动,将变更请求推送给负责网络或系统管理的其他团队。这甚至可以扩展到安全功能,例如,如果组织具有专用的防火墙管理平台。事实上,这主要是手动活动,这在威胁缓解方面引入了明显的延迟。它还依赖于票务系统另一端的系统或网络运营商来了解所请求的更改并有效地实施它。但是,这种延迟通常被视为处理潜在误报和评估对业务活动的有效影响所必需的,如下所述部分。

5.4飙升:影响和风险评估
过去,网络安全风险评估主要集中在保护ICT资产、设备和链路上。风险评估方法侧重于确定资产、分析其脆弱性和建模级联效应。攻击树,由Schneier描述,由Mauw正式定义,现在在软件工具中实现为攻击图。它们使网络或系统安全官员能够对ICT环境和相关漏洞进行建模,以确定攻击者可能遵循的路径来破坏感兴趣的目标。这些更复杂的攻击图可以量化攻击者在信息系统中传播的可能性,损害以及可能阻止攻击的可能保护措施。
从业务角度来看,攻击图和漏洞管理技术可实现风险管理和法规遵从性。随着网络攻击的影响增加,并可能成为对人类生命或业务连续性的威胁,监管机构会采取保护和检测措施,以确保在组织中正确管理网络风险。虽然有许多可能的保护技术可用,从识别和认证到过滤和防火墙,但复杂的ICT基础设施的复杂性和相互联系使得在技术上或经济上保护它们免受所有可能的威胁是不可行的。因此,网络安全成为部署保护措施,承担风险和确保风险之间的经济权衡。网络保险一直很困难,但人们对网络安全经济学的兴趣越来越大,这可能支持网络保险模式的发展
攻击图的另一个方面是它们用于对策,对策的工作集中在技术资产上,因为它们可以被激活以阻止威胁。这意味着添加或修改防火墙规则以阻止不需要的流量,禁用或删除用户帐户的权限,防止未经授权或可疑的计算机连接到网络或信息系统,或关闭服务或计算机。然而,部署对策需要不仅在资产层面,而且在业务层面进行影响评估。商业代表团对技术ICT资产的严重依赖意味着这些防火墙规则或被阻止的帐户可能会对组织的业务产生不利影响。这种有害影响甚至可能比遭受攻击更糟糕,至少在一段时间内是这样。新的影响评估模式不仅必须考虑ICT资产结构,还必须考虑它们所支持的商业服务,以确定其重要性和改变其行为的成本。
像第5.3节那样,与为SOAR实现的工具集相关的流程和工作流的重要性怎么强调也不过分。例如,这意味着对SOC中的责任有清晰的理解,在部署对策时有一连串的验证,以及有效验证缓解措施是否有效并已阻止攻击或其影响。

原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(二十一):执行-缓解和对策之SIEM平台和对策

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月6日20:16:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全运营和事件管理(二十一):执行-缓解和对策之SIEM平台和对策https://cn-sec.com/archives/1253043.html

发表评论

匿名网友 填写信息