网络安全运营和事件管理
(二十七):人为因素:事件管理
在目前的状况下,完全保护在技术上是不可行的,在经济上也是不可取的,这显然是显而易见的。因此,系统将受到损害,并且攻击可能会使它们崩溃,从而产生重大影响。例如,由于Wannacry等勒索软件攻击,企业关闭了几天。除了确保业务连续性外,技术和监管义务还要求在网络安全妥协后进行调查。这是将信通技术系统恢复到可靠状态的强制性步骤。这一步是,除了工具和流程之外,人的方面是关键,特别是教育,培训和锻炼。
图5显示了一个简化的事件管理流程,其灵感来自NIST SP800-61,Ahmad等人对挑战的定义以及Tondel等人的调查。它定义了组织必须执行的三大活动,为事件做好准备,在事件发生时处理事件,并在事件关闭时跟进事件。
虽然事件管理主题位于KA的末尾,但它利用了前面部分中描述的所有功能和工具。还有必要强调,预防和应对之间需要平衡。完全预防已被证明是不可行的,一方面是出于易用性和成本原因,另一方面是因为攻击者拥有超出系统设计人员设想的方法和想象力。因此,将资源用于预防与响应是高度特定于组织的,但这是一项重要的工作,必须谨慎进行,因为它对组织具有后果。一方面,预防会增加组织的运营成本。另一方面,仅依靠响应可能会导致致命的后果,使组织无法从事件中恢复过来。此外,正确响应事件会产生不容忽视的成本。因此,风险评估是事件管理的一个组成部分。
原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(二十七):人为因素:事件管理
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论