做好充足的准备必不可少
知己知彼,百战不殆——《孙子兵法.谋攻篇》
在处理任何安全事件之前,一个合格的应急响应工程师需要掌握大量的知识。首先,应急响应工程师需要熟悉他们的角色和职责。IT基础设施近几年来发展迅速。例如,我们观察到云计算和数据存储被越来越广泛地利用。快速变化的 IT 环境不断更新对安全工程师技能的需求,例如学习云安全。因此,应急响应安全工程师需要动手实践并保持对IT行业各系统的了解。在实践中,外部的应急响应顾问需要能迅速了解他们需要负责的系统。同时,公司内部应急响应安全工程师也应积极参与漏洞扫描与管理的流程。
收集信息的质量往往决定了事件响应的结果。应急响应工程师需要了解他们将面临的威胁。随着网络安全防御性技术频繁的升级,恶意攻击者的技术也在不断演变。例如,根据 2010 年的一篇论文,最活跃的10个勒索软件团体中有4个现在正在使用“勒索软件即服务”商业模式。此模式表明,由于降低了此类攻击的技术门槛,恶意攻击者将更容易部署勒索软件。所以,网络安全应急响应团队需要了解他们会遇到的主要威胁。例如,一名应急响应工程师在看到常见的恶意软件时可能得出结论认为它没有其他威胁。但是当这种事件出现在更敏感的场景中时,例如在重要产业部门中,应急响应工程师们则需要更敏锐的思考并寻找其是否为更严重的安全入侵的蛛丝马迹。为了有效应对事件响应,应急响应工程师需要熟悉他负责的基础设施以及他将面临的网络安全威胁图景。
制定健全的流程
找出真相并填补空缺
总结
在安全事件发生后,有效管理高危事件需要的不仅仅是现场学习。除了不可或缺的专业知识,一个经验丰富的应急响应工程师还需要广泛了解其它需要负责的IT资产和威胁面,并在出现安全事件时懂得优先划分不同的任务,在需要时快速做出决策,以及能够通过排除法来找出事情真相。
Orange Cyberdefense 公司是 Orange 集团旗下的专业网络安全业务公司,为全球组织提供安全管理、威胁检测与响应的托管服务等。作为世界领先的安全提供商,我们致力于保障自由并构建一个更安全的数字社会。
联系我们
原文始发于微信公众号(誓联信息 Orange Cyberdefense):应急响应黄金一小时
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论