网络犯罪分子无处不在。不幸的是,一旦他们进入你的网络,他们就有足够的时间来做他们的肮脏工作,因为它 需要近两个月的时间 (平均而言,IT团队需要50天的时间来确定发生了漏洞。
而且费用很快就增加了。根据 Ponemon研究所的2019年数据泄露成本研究报告,平均回收成本 每起事件 是$3.92百万。
为了减轻这些风险,你必须有一个网络事件应对计划。这可以让你在受到攻击时--而不是在你受到攻击时--将损失和成本降到最低。
但是,网络安全和对事件的快速反应如何融入你已建立的(而且可能是运转良好的)IT事件管理机制?
IT基础设施库(ITIL®) 已成为标准 它是许多组织管理其IT基础设施的重要工具。但是,尽管它--或者说它的变种--在帮助公司组织和管理其IT服务方面做得很好,但它在安全方面却很欠缺。依靠ITIL,当网络犯罪分子来找你的时候,你可能会束手无策。
在这篇博客中,我们讨论了安全和IT事件管理目前在许多组织中是如何处于不同的筒仓中的。我们研究了这是一个问题的原因,并提出了解决方法,以便任何影响IT服务的事件--无论是网络安全、IT基础设施还是其他问题--都能得到迅速有效的处理和解决。
事件管理和网络安全:分开但同样重要
你的 IT事件管理 (IM)团队是IT服务管理(ITSM)的一个关键部分。该团队的章程是在中断后迅速使服务恢复正常。他们的目标是尽量减少问题对用户和业务的影响。在操作上,这意味着减少意外的硬件、软件和网络减速或中断的长度和严重程度。
当某人或某事--用户或IT工作人员,或者可能是自动警报系统--发现有事件发生时,IM团队就开始行动。也许是网络变慢了,或者一个应用程序无法响应。IM工作人员首先要控制事件,防止它影响其他服务。然后,他们通常会找到一个临时的解决方法,部署修复,恢复系统,并将该系统重新投入生产。然后,IT人员进行根本原因分析(如果需要),以确定问题的原因,记录事件以备将来参考,并在必要时,让适当的人参与进来,开始进行永久性修复。
许多公司也已经建立了坚实的网络安全团队。这些事件响应(IR)团队传统上遵循与IM团队相似的,但平行的解决问题的途径。不同的是:他们的章程是专门用来应对安全事件的。触发网络安全团队做出反应的事件种类包括。
- 恶意软件
- 成功或不成功的黑客攻击
- 入侵检测系统发出的警报
- 未经授权而获取敏感信息
- 未经授权的信息篡改
- 未经授权访问机密或其他敏感数据
- 破坏系统/服务器的完整性
- 拒绝服务(DoS)或分布式DoS
网络安全团队和IM团队传统上是独立工作的。但世界正在发生变化。技术正在迅速发展,组织越来越依赖技术。这意味着系统必须始终处于运行状态,否则会对业务产生不利影响。当今IT环境的复杂性和网络犯罪分子的精明--不幸的是,他们似乎总是比安全专家领先一步--意味着像你这样的企业必须在团队之间建立一种新的关系。这意味着要分析这两种业务的人员、流程和技术,并了解他们如何能够更无缝地合作。
IM-IR整合的挑战
今天,企业正面临这样的问题:IT IM问题何时成为安全问题,反之亦然?谁或哪些自动化系统来做这个决定? 然后会发生什么?不幸的是,ITIL并没有直接解决这些和其他问题。虽然它在高层次上告诉人们应该怎么做,但在操作上却没有什么帮助。
"过去那种由首席信息官站在你的肩膀上问'问题解决了吗'的'IT'应对安全事件的方式早已不复存在了"。 Robert Herjavec写道他是位于洛杉矶的咨询公司Herjavec Group的总裁。
由于这种新的复杂性,存在着许多挑战。其中最主要的是。今天,IM和IR团队被来自越来越多的孤立的点解决方案的警报和数据所淹没,以管理基础设施和安全中断。但这些事件和漏洞的数据往往缺乏业务背景,因此很难知道哪些事件对组织构成最大威胁,以及谁是应对破坏的最佳人选。手工流程和跨团队的交接更进一步阻碍了这一过程。
一种新的方法
我们已经看到今天的企业在谈论网络安全IR方面发生了巨大的变化。目前使用的语言起源于应急响应专业人士,如第一反应者和军事团队:术语如 发现, 遏制, 根除,以及 恢复 经常听到的是与网络安全有关的IR。
领先的组织也已经采用了 组织结构 紧急情况下的专业人员,将团队成员的层次结构称为 "事件指挥 "小组,并配有事件指挥官,即在经常是非常严重的网络安全事件中负责发号施令的领导者。
事实上,如果你在试图将IM和IT事件管理结合起来时没有听说过这些术语,那么你可能没有合适的团队来处理网络安全紧急情况。以下是网络安全IT团队的通常生命周期。
- 准备工作。 对组织进行风险评估并建立安全政策
- 发现。 识别什么时候发生了潜在的漏洞
- 遏制。 防止入侵者(或感染)的扩散
- 铲除。 摆脱问题
- 恢复。 使系统和操作恢复正常
- 汲取的教训。 做一个彻底的 "事后检查",为下一次做准备。
第一个步骤
为了实施这个生命周期,你必须首先建立一个程序来识别哪些事件是安全相关的--相对于属于IM团队的事件。有时,这很明显。例如,你的入侵或SIEM系统可能检测到一个DDOS攻击。然后,它当然会向安全IR团队发送警报。 但是,有时可能需要花一些时间来调查一个事件,然后你才意识到它实际上是一个安全问题。
第一步是培训你的服务台和其他IT IM人员识别安全事件--安全事件被定义为任何损害或试图损害IT服务的可用性、隐私、保密性或完整性的IT事件。
与所有的事件一样,在事件发生之初就使用特定的提问技巧,并且能够分解信息,这对于及早发现安全事件并推动具体行动至关重要。特别是,我们称之为 "分离和澄清 "的步骤,对于在足够细的层次上描述症状和影响以看到 "下面发生了什么 "是至关重要的。这将增加IM团队识别可能的安全事件的可能性,并使IR团队尽早参与到这一过程中,并将损失降到最低。
只有当企业至少部分地将即时通信与网络安全事件响应结合起来时,这才会发挥作用。 企业管理协会的一份报告 "下一代IT服务管理。改变IT的未来",发现IT IM专业人员的两大战略重点之一,仅次于改善用户体验,是 "对安全的综合跨网段支持"。调查对象所提到的这些和其他战略重点都为变革提供了强有力的、持续的动力 和 在企业IT IM团队中,包括网络安全在内的增长。
ǞǞǞ 锐利亚 由AXELOS在2019年发布的指南是另一个开始你的旅程的地方。RESILIA是一个培训、学习和认证的组合,由RESILIA网络弹性最佳实践指南支撑。它将网络安全准则与ITIL保持一致,允许将安全纳入你现有的IM流程。
当然,适用于重大(P1)事件的内容也适用于管理安全事件,根据定义,安全事件几乎都是 "重大 "的。一旦发现,它们的管理方式应与普通事件不同。这包括专门的资源和事件经理,他们将技术专长与促进重大事件团队的能力相结合,并通过出色的故障排除、决策和风险管理来推动事件的解决。
下一步该怎么做
安全事件可能会给人带来压力,特别是因为它们会超出你的许多IM人员的舒适区。在复杂的事件中尤其如此,因为其他部门的专业人员,如人力资源、法律、合规性或行政领导,需要参与其中。这些专业人员习惯于以更有条理的方式工作,而且可能很少接触到网络安全IR流程。这使得IM团队的工作变得更加关键。事实上,如果IM实践和准则被排除在网络安全IR之外,恢复过程的效率和效果可能会大大降低,导致更多的财务和声誉损失。这就是为什么在这个持续的、长期的网络安全风险的时代,你的IM团队比以往任何时候都更重要。
关于Kepner-Tregoe
Kepner-Tregoe已经使数以千计的公司有能力解决数以百万计的问题。KT为运营、制造、IT服务管理、技术支持以及学习和发展领域的客户提供了一种数据驱动的、一致的、可扩展的方法。我们赋予你解决问题的能力。KT提供独特的技能发展和咨询服务的组合,专门设计来揭示问题的根源,并永久地解决组织的挑战。我们解决问题的方法将为任何希望提高质量和效率同时降低总体成本的公司提供可衡量的结果。