缺少人手的時候如何確定安全事件響應過程
對于任何一個企業來說,處理數據泄漏安全事件都是一項艱巨的任務。數據泄漏之后的善后工作涉及到許多費時的步驟,其中包括確認泄漏的數據、報告安全事件細節,以及實施必要的管制以防止類似的事情再次發生等。(這些只是必要措施中的一少部分。)安全事件的后果令人害怕,如果再缺少人手,這件事似乎不可能完成。然而,情況并不一定如此。
在本文中,我們將概述如何利用非安全部門的員工組成一個能夠制定數據泄漏響應計劃的電腦安全事件響應小組。
安全事件響應過程:***步
為了確保數據泄漏造成的損失最小,***的辦法就是提前做準備,***步就是組建電腦安全事件響應小組(CSIRT)。這個小組應該包含來自企業各個部門的員工:IT、法律、人力資源以及公司管理人員等。這個安全事件響應過程中的員工都應該是值得高度信任的人,因為他們可能會接觸到敏感數據,具體情況視安全事件細節而定。
數據泄漏安全事件響應小組中的任何人都要明白,他們的工作細節是機密,他們必須保護他們所接觸的、或者在調查期間存儲的數據的安全。
關于如何組建CSIRT的其他細節可以從CERT、NIST、FIRST組織,或者地方性安全事件響應組織那獲得。
電腦安全事件響應小組如何協助制定數據泄漏響應計劃?
雖然根據常識,在經濟蕭條時期,IT和信息安全員工數量減少的情況下,安全事件響應過程會更加困難,然而這實際上也可能是一個機會——讓現有員工進行創造性的思考,并在企業內部各部門之間建立起信任。為此,讓我們更加詳細的討論一下可以參與到電腦安全事件響應小組的各部門的角色。每個CSIRT都應該包括核心成員以及機動成員。比如,核心CSIRT成員應該包括來自主要運行系統部門的代表,一個網絡工程師和一個應用程序部門的員工。而機動成員可以是那些在數據泄漏事件中可能會被牽扯進來的部門的一員。
很明顯,CSIRT應該包含系統管理員和應用程序支持人員。當有泄漏事件發生時,他們通常是***被通知的一批人,然后其他人才會得到消息,他們可以檢查日志來確定可疑事項、驗證管理賬戶的可靠性、驗證系統上應該運行的服務、為CSIRT核心成員提供系統訪問權或者應用程序訪問權,以及許多其他的基本工作。
其他的主要參與者包括那些來自法律、法規遵從、物理安全以及公眾關系部門的人員。法律部門和法規遵從部門的專家能夠提供法律、監管規則、合同要求或者安全事件其他方面的指導意見;那些屬于嚴格監管行業的公司,比如醫療保健或者金融行業,可能會考慮把法律以及法規遵從代表加入CSIRT并作為其核心成員。那些精通物理安全的人員能夠提供企業中進進出出的人員和其他方面的數據。他們甚至還可能跟執法機構有關系,并且在報告和調查犯罪方面有相關經驗。公眾關系部門成員可以幫忙進行任何跟媒體有關的活動。如果需要對相關方進行通知,所有這些部門都可以幫得上忙。
然而,當各個部門缺少人手的時候,說服他們派出CSIRT代表或者全體人員都花費必要的時間來準備響應安全事件可能會比較困難。為了說服其他部門派出CSIRT代表,你必須讓他們意識到他們的時間和專業知識都會受到高度重視。這意味著只是在必要的時候才會請他們幫忙,而且響應數據泄漏事件所需時間也最短。他們應該有適合自己角色的清晰明確的程序,以便為響應泄漏事件做準備。根據數據泄漏的嚴重程度,他們有時可能不需要牽扯進來,這時應該跟他們進行交流,以便讓他們知道在不必要的時候不用參與進來。
即便是缺少人手,響應數據泄漏事件也至少需要包括一個核心CSIRT成員、一位具有系統知識的IT聯系人,以及一位熟悉系統包含哪些數據的人員。這些關鍵人員在確定受影響的數據、實施的安全控制以及應該執行的響應行動等方面能夠提供專業的知識。這些人還可以提出相關建議防止此類安全事件再次發生。
***,需要進行事后分析,對經過人員調整的CSIRT進行有效性評估,因為在缺少人手的情況下安全事件響應工作可能會跟平時不太一樣。這個評估應該優先進行,特別是在這個由不同部門成員組成的CSIRT比平時企業人員配備齊全的方案效率更高時。在泄漏事件響應的時候,向公司管理層通報小組的參與力度也是一個很好的做法,這樣做可以詳細解釋他們是如何把安全事件對企業的影響降到***的。
【編輯推薦】
