取消
显示结果 
搜索替代 
您的意思是: 
cancel
417
查看次数
0
有帮助
0
评论
one-time
Level 13
Level 13

190609mdmk5n3xerq77jvd.jpg

Sean Mason——2018430

最近,有时候我早上醒来,想起自己居然在思科做事件响应(IR)工作已经有3个年头了,不禁感慨万千。那时候,我们为客户提供这样一项重大的服务,可以重新按既定原则确定和塑造我们的实践,而不需要背负过去的包袱。这使我们能够吸引一些最优秀的人才,发展得非常迅速,并且在积极主动的方式下帮助客户在问题发生前提高防御能力,并在不可避免的情况下以最终和不幸的状态发生。

在紧急响应期间,我们的团队全程为客户提供协助,也经常向他们提供战术性建议(例如重置所有密码),或策略性建议。这些建议因客户和环境而异。我浏览了一下我们的建议资料,发现其中有一些可以拿出来与大家分享。以下是我们事件响应团队为客户提供的5大事件响应建议,并且附上了我自己的推荐理由。

190609qahakcijbzajciij.png

1条:事件响应追踪

我把事件响应追踪放在第一条并不奇怪,因为它是我们产品的基础。是的,您可能会认为我们偏爱这一条,但是:我们首先执行应急响应是有原因的。如今这个时代,所有公司都应该有一个事件响应追踪(就算不使用两到三家事件响应公司的追踪服务)——我说得可不是说有些公司免费兜售的玩意儿(记住:一分钱一分货)。

在危机时期,拥有可以合作的独立公司非常重要。例如,在思科,我们不但有事件响应小组,还有Talos威胁情报组织、危机沟通专家、产品团队、项目经理等等。这些在危机期间非常强大并且十分有用。此外,提供追踪服务的公司不应该被动应付,而应该全年和您通力合作,通过桌面演示、增强计划和脚本集提高防守能力,甚至主动、独立地寻找敌人。工作完成之后,它应该成为一个真正的伙伴,如果上升到伙伴关系,危机处理会变得更加流畅。


2条:高级终端保护

这是进入前5名的两条技术建议中的第一条技术建议。在管理活动事件时,掌控全盘和有效应对是我们响应者需要具备的关键能力。这时候,我们通常会将目光转向Cisco高级恶意软件防护(AMP)。拥有了AMP内置的可见性和响应功能,可以比使用其他方式更快速、更高效地做出响应。如果再结合我们思科安全体系结构中的其他解决方案,思科AMP还能提供更加强大和有内聚力的方式,持续监控和响应网络问题。


3条:网络分段

由于缺乏网络分段控制设备,许多网络和组织遭到破坏。这样的客户我们之前合作过很多:他们因为很平常的攻击而面临瘫痪,成千上万台机器被感染或锁定。是的,成千上万台机器。此外,在我们处理的勒索软件案例中,有75%以上其备份服务器也被加密。备份服务器本来是我们接到任务后着手行动的一丝希望。过去,网络分段被认为是合规问题,或者是控制数据访问的方式。对我而言,网络分段是一种必要的控制机制,可以保证基本的网络防御。


有兴趣了解更多关于建立更佳事件响应计划的信息吗?来参加我们于510日举办的安全网络研讨会吧!欲了解Breach Response Tools的技术演示,请注册我们的May 11 Demo Friday会议。


4条:安全监控

这一条的意义不言自明,但是仍然没有得到应有的重视,因此,我把它列在第四位。虽然现在已经是2018年了,但是仍然有很多很多组织依赖外部组织(如FBI)或安全新闻机构通知他们存在的安全问题。这些组织应该安排充分的内部安全监控,自行发现并处理安全问题。

我一向认为,在购买任何安全产品之前,供应商必须根据组织规模提供所需的资源估算:成功运行、配置、维护和监控产品所需的资源(例如人员)。此外,您必须同意采纳并维持这样的员工水平(我可以想像)。很多时候,工具购买来当作拐杖使用,而在应该加以扩充的时候,被用来代替人类。我还记得最近参与的一次任务,事件响应团队登录了安全控制台,看看有哪些数据可用,然后就发现它像圣诞树一样闪亮——工具正在执行显示警报的任务,如果有人一直在监视它的话,就有可能阻止大规模危机。


5条:基于网络的安全

这是进入前5条建议的最后一条,也是第二条技术建议。我们应该将基于网络的安全控制分层,防止Web和电子邮件威胁攻击。这些控制措施应包括如垃圾邮件过滤服务或设备,或代理端阻止未分类流量(如果可能的话),DNS保护服务,用于过滤内容、阻止进一步的恶意软件,防止僵尸网络并防止URL输错出现问题,如Cisco Umbrella。此外,实施这些控制措施可以进行监控,检测并限制机器请求与攻击者活动或恶意软件相关的域名。


除了上述建议之外,我们还会定期提供其他建议,例如两步验证,渗透测试,以及更多有关治理、风险和合规性(GRC 的建议。至于GRC,令人惊讶的是,还有很多组织没有做过基本的安全评估,也没有制定健康路线图。在处理活动事件时,这一点显而易见,而且客户主管基本上都不是安全领域的人员(如网络)。安全性仍然不是一些组织的优先考虑事项。不幸的是,在这个新时代,安全需要融入到一切事物当中,全体IT人员都要为保护公司、客户和用户的共同目标努力。


我希望本文给出的建议对您有所帮助。也许和您所看到、知道的不谋而合,也许或者为您正在发挥作用。此外,我还建议您查看思科2018年度网络安全报告

原创翻译,若有不妥敬请指正

阅读原文


入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区: