7 人为因素：事件管理

在目前的状况下，完全保护在技术上是不可行的，在经济上也是不可取的，这显然是显而易见的。因此，系统将受到损害，并且攻击可能会使它们崩溃，从而产生重大影响。例如，由于Wannacry等勒索软件攻击，企业关闭了几天。除了确保业务连续性外，技术和监管义务还要求在网络安全妥协后进行调查。这是将信通技术系统恢复到可靠状态的强制性步骤。这一步是，除了工具和流程之外，人的方面是关键，特别是教育，培训和锻炼。

图5显示了一个简化的事件管理流程，其灵感来自NIST SP800-61，Ahmad等人对挑战的定义以及Tondel等人的调查。它定义了组织必须执行的三大活动，为事件做好准备，在事件发生时处理事件，并在事件关闭时跟进事件。

图5：事件管理生命周期

虽然事件管理主题位于KA的末尾，但它利用了前面部分中描述的所有功能和工具。还有必要强调，预防和应对之间需要平衡。完全预防已被证明是不可行的，一方面是出于易用性和成本原因，另一方面是因为攻击者拥有超出系统设计人员设想的方法和想象力。因此，将资源用于预防与响应是高度特定于组织的，但这是一项重要的工作，必须谨慎进行，因为它对组织具有后果。一方面，预防会增加组织的运营成本。另一方面，仅依靠响应可能会导致致命的后果，使组织无法从事件中恢复过来。此外，正确响应事件会产生不容忽视的成本。因此，风险评估是事件管理的一个组成部分。

7.1 准备：事件管理计划

如图5所示，事件管理的第一步是在事件发生之前建立适当的流程和功能。事实上，这是所有关键基础设施运营商的法律要求，并由欧盟网络和信息安全（NIS）指令等法规确定。

制定政策和程序取决于组织的结构及其所属的部门。政策必须涉及更高级别的管理，以便正确定义专门用于事件管理的范围和组织结构，以及绩效和报告程序。政策必须包括正式的响应计划，这些计划根据风险评估方法为实施事件响应能力提供路线图。应在程序中完善计划，以便确定标准操作程序，以便响应者可以快速遵循这些程序，以具体确定在发生特定情况时需要采取的行动。所有这些政策、计划和程序都依赖于组织和部门，并将受到不同法规的影响。例如，金融机构必须在其事件管理程序中考虑巴塞尔II和萨班斯-奥克斯利法案法规，以正确实施向监管机构的报告。

这项准备活动的一个重要部分与许多形式的交流有关。首先，法规现在通常要求向当局报告事件，无论是由国家网络安全机构，执法机构主办的国家CERT还是ISAC等部门组织.事先与软件供应商和互联网服务提供商等技术和服务提供商建立可信的沟通渠道也很重要。应在CISO等同行之间建立类似的渠道，以促进早期预警和最佳实践的共享。跨国交流组织者和促进者包括计算机安全事件响应团队（TF-CSIRT），事件响应和安全团队论坛（FIRST）和欧盟网络安全局（ENISA）。另一个选区包括客户、媒体和公众。当网络安全事件影响客户时，或者当它们变得明显时，组织应该准备好进行沟通。例如，《欧洲通用数据保护条例》（GDPR）规定，在发生信息泄露时，需要向用户报告。因此，我们预计GDPR合规性的要求将对网络安全产生影响，因为组织意识到他们必须保护和监控他们的系统遵守此规定。最后，准备工作还包括建立一个团队，通常是一个CSIRT。这包括实际考虑因素，例如决定在内部处理事件或将全部或部分任务分包给合格的MSSP，选择集中或分布式组织进行事件响应，以及报告链。在集中式或分布式结构之间进行选择以组织结构为指导。分布式结构使事件响应者和业务部门之间能够更好地接近（地理和功能）。但是，这可能会增加所需的协调工作和成本。事件响应在很大程度上是一项人员密集型任务，与危机管理有关。它需要能够在内部（防止事件传播或阻止组织）和外部（处理管理，监管或媒体压力）的压力下工作。因此，需要有合格的人员进行事件反应演习，例如在军队中所做的那样。它还需要不断的培训，以跟上最新的威胁。关键人员与相关社区（如ISAC或CERT）的集成也有助于信息共享，并确保在正确的社区内交换最佳实践。

原文始发于微信公众号（河南等级保护测评）：网络安全运营和事件管理（二十八）：准备：事件管理计划