唐嫣罗晋结婚视频,日本美女视频网址

檢測(cè)網(wǎng)絡(luò)安全事件

2 網(wǎng)絡(luò)安全事件網(wǎng)絡(luò)安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明可能違反安全策略、保護(hù)措施失敗或以前可能與安全相關(guān)的未知情況。

2 網(wǎng)絡(luò)安全事件

網(wǎng)絡(luò)安全事件是不需要的或意外的網(wǎng)絡(luò)安全事件，或一系列此類事件，具有很大損害業(yè)務(wù)運(yùn)營(yíng)的可能性。

2 網(wǎng)絡(luò)彈性

網(wǎng)絡(luò)彈性是指能夠適應(yīng)網(wǎng)絡(luò)安全事件造成的中斷，同時(shí)保持持續(xù)的業(yè)務(wù)運(yùn)營(yíng)。這包括檢測(cè)、管理和從網(wǎng)絡(luò)安全事件中恢復(fù)的能力。

2 檢測(cè)網(wǎng)絡(luò)安全事件

檢測(cè)和調(diào)查網(wǎng)絡(luò)安全事件的核心要素之一是適當(dāng)數(shù)據(jù)源的可用性。幸運(yùn)的是，許多數(shù)據(jù)源可以從現(xiàn)有系統(tǒng)中提取，而無需專門的功能。

下表描述了組織可用于檢測(cè)和調(diào)查網(wǎng)絡(luò)安全事件的一些數(shù)據(jù)源。

數(shù)據(jù)源

描述

域名系統(tǒng)日志

可以幫助識(shí)別試圖解析惡意域或 Internet 協(xié)議地址的嘗試，這些嘗試可能指示存在利用漏洞或成功入侵。

電子郵件服務(wù)器日志可以幫助識(shí)別魚叉式網(wǎng)絡(luò)釣魚電子郵件的目標(biāo)用戶。還可以幫助確定妥協(xié)的初始向量。

操作系統(tǒng)事件日志

可以協(xié)助跟蹤流程執(zhí)行，文件/注冊(cè)表/網(wǎng)絡(luò)活動(dòng)，身份驗(yàn)證事件，操作系統(tǒng)創(chuàng)建的安全警報(bào)和其他活動(dòng)。

安全軟件和設(shè)備日志

可以幫助識(shí)別異?；驉阂饣顒?dòng)，這些活動(dòng)可能表示存在利用嘗試或成功入侵。

虛擬專用網(wǎng)絡(luò)和遠(yuǎn)程訪問日志

可以幫助識(shí)別與惡意活動(dòng)相關(guān)的異常源地址、訪問時(shí)間和登錄/注銷時(shí)間。

代理日志

可以幫助識(shí)別基于超文本傳輸協(xié)議的向量和惡意軟件通信流量。

2 入侵檢測(cè)和防御策略

建立入侵檢測(cè)和防御策略可以增加檢測(cè)并隨后阻止網(wǎng)絡(luò)和主機(jī)上的惡意活動(dòng)的可能性。在此過程中，入侵檢測(cè)和防御策略可能涵蓋以下內(nèi)容：

1. 使用的基于網(wǎng)絡(luò)的入侵檢測(cè)和防御方法；

2. 使用的基于主機(jī)的入侵檢測(cè)和防御方法；

3. 報(bào)告和響應(yīng)檢測(cè)到的入侵的指南；

4. 分配給入侵檢測(cè)和預(yù)防活動(dòng)的資源。

制定并實(shí)施了入侵檢測(cè)和防御策略。

2 值得信賴的內(nèi)部人員計(jì)劃

由于受信任的內(nèi)部人員的系統(tǒng)訪問和對(duì)業(yè)務(wù)流程的了解通常使它們更難檢測(cè)，因此建立受信任的內(nèi)部人員程序可以幫助組織在受信任的內(nèi)部人員威脅發(fā)生之前檢測(cè)和響應(yīng)它們，或者在發(fā)生損害時(shí)限制損害。在此過程中，組織可能會(huì)通過記錄和分析用戶活動(dòng)來獲得最大的收益：

過度復(fù)制或修改文件

1. 未經(jīng)授權(quán)或過度使用可移動(dòng)介質(zhì)；

2. 將能夠存儲(chǔ)數(shù)據(jù)的設(shè)備連接到系統(tǒng)（例如移動(dòng)設(shè)備和數(shù)碼相機(jī)）；3. 正常工作時(shí)間以外系統(tǒng)異常使用；4. 與同行相比，數(shù)據(jù)訪問或打印過多；5. 數(shù)據(jù)傳輸?shù)轿唇?jīng)授權(quán)的云服務(wù)或網(wǎng)絡(luò)郵件；6. 使用未經(jīng)授權(quán)的虛擬專用網(wǎng)絡(luò)、文件傳輸應(yīng)用程序或匿名網(wǎng)絡(luò)。

開發(fā)并實(shí)施了受信任的內(nèi)部人員計(jì)劃。就可信賴的內(nèi)部計(jì)劃的發(fā)展和實(shí)施尋求法律意見。2 訪問足夠的數(shù)據(jù)源和工具

成功檢測(cè)網(wǎng)絡(luò)安全事件需要訓(xùn)練有素的網(wǎng)絡(luò)安全人員能夠訪問足夠的數(shù)據(jù)源，并輔以支持手動(dòng)和自動(dòng)分析的工具。因此，重要的是，在系統(tǒng)設(shè)計(jì)和開發(fā)活動(dòng)期間，向系統(tǒng)添加功能，以確?？梢圆东@足夠的數(shù)據(jù)源并將其提供給網(wǎng)絡(luò)安全人員。

網(wǎng)絡(luò)安全人員可以訪問足夠的數(shù)據(jù)源和工具，以確?？梢员O(jiān)控系統(tǒng)的關(guān)鍵危害指標(biāo)。

管理網(wǎng)絡(luò)安全事件

2 網(wǎng)絡(luò)安全事件登記

在登記冊(cè)中記錄網(wǎng)絡(luò)安全事件有助于確保開展適當(dāng)?shù)难a(bǔ)救活動(dòng)。此外，網(wǎng)絡(luò)安全事件的類型和頻率等信息，以及任何補(bǔ)救活動(dòng)的成本，都可以用作未來風(fēng)險(xiǎn)評(píng)估活動(dòng)的輸入。

維護(hù)網(wǎng)絡(luò)安全事件登記冊(cè)，涵蓋以下內(nèi)容：

1. 網(wǎng)絡(luò)安全事件發(fā)生的日期

2. 發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的日期

3. 網(wǎng)絡(luò)安全事件的描述

4. 為應(yīng)對(duì)網(wǎng)絡(luò)安全事件而采取的任何行動(dòng)

5. 向誰報(bào)告了網(wǎng)絡(luò)安全事件。

2 處理和控制數(shù)據(jù)溢出

當(dāng)發(fā)生數(shù)據(jù)溢出時(shí)，組織應(yīng)通知數(shù)據(jù)所有者并限制對(duì)數(shù)據(jù)的訪問。這樣，受影響的系統(tǒng)可以關(guān)閉電源，刪除其網(wǎng)絡(luò)連接或?qū)?shù)據(jù)應(yīng)用其他訪問控制。但應(yīng)該指出的是，關(guān)閉系統(tǒng)電源可能會(huì)破壞對(duì)取證調(diào)查有用的數(shù)據(jù)。此外，應(yīng)讓用戶了解在發(fā)生數(shù)據(jù)溢出時(shí)應(yīng)采取的適當(dāng)措施，例如不刪除，復(fù)制，打印或通過電子郵件發(fā)送數(shù)據(jù)。當(dāng)發(fā)生數(shù)據(jù)溢出時(shí)，建議數(shù)據(jù)所有者并限制對(duì)數(shù)據(jù)的訪問。2 處理和遏制惡意代碼感染

在發(fā)現(xiàn)惡意代碼后立即采取補(bǔ)救措施可以最大限度地減少根除感染和恢復(fù)所花費(fèi)的時(shí)間和成本。作為優(yōu)先事項(xiàng)，應(yīng)隔離所有受感染的系統(tǒng)和介質(zhì)，以防止感染傳播。隔離后，防病毒軟件可以掃描受感染的系統(tǒng)和介質(zhì)，以潛在地刪除感染或恢復(fù)數(shù)據(jù)。但重要的是要注意，從已知良好的備份或重建中完全還原系統(tǒng)可能是確保惡意代碼可以真正根除或恢復(fù)數(shù)據(jù)的唯一可靠方法。當(dāng)檢測(cè)到惡意代碼時(shí)，將采取以下步驟來處理感染：

1. 隔離受感染的系統(tǒng)；

2. 在感染前使用的所有先前連接的介質(zhì)都掃描感染跡象，并在必要時(shí)進(jìn)行隔離；

3. 防病毒軟件用于從受感染的系統(tǒng)和媒體中刪除感染；

4. 如果無法可靠地消除感染，系統(tǒng)將從已知良好的備份中恢復(fù)或重建。

2 處理和遏制入侵

當(dāng)在系統(tǒng)上檢測(cè)到入侵時(shí)，組織可能希望允許入侵持續(xù)一小段時(shí)間，以便充分了解入侵的程度并協(xié)助規(guī)劃入侵補(bǔ)救活動(dòng)。允許入侵繼續(xù)的組織應(yīng)首先與其法律顧問確定任何行動(dòng)（例如收集進(jìn)一步的數(shù)據(jù)或證據(jù)）是否會(huì)違反1979年《電信（攔截和訪問）法》。為了增加入侵修復(fù)活動(dòng)成功將攻擊者從其系統(tǒng)中刪除的可能性，組織可以采取預(yù)防措施，以確保攻擊者對(duì)計(jì)劃的入侵修復(fù)活動(dòng)的預(yù)警和意識(shí)有限。具體而言，使用替代系統(tǒng)來規(guī)劃和協(xié)調(diào)入侵修復(fù)活動(dòng)將防止在攻擊者的電子郵件、消息傳遞或協(xié)作服務(wù)受到威脅時(shí)向他們發(fā)出警報(bào)。此外，在同一計(jì)劃中斷期間以協(xié)調(diào)方式執(zhí)行入侵修復(fù)活動(dòng)將阻止預(yù)先警告對(duì)手，從而剝奪他們足夠的時(shí)間在系統(tǒng)上建立替代接入點(diǎn)或持久性方法。在入侵修復(fù)活動(dòng)之后，組織應(yīng)確定對(duì)手是否已成功從系統(tǒng)中移除，包括他們是否已重新獲得訪問權(quán)限。這可以通過在修復(fù)活動(dòng)后至少七天內(nèi)捕獲和分析網(wǎng)絡(luò)流量來實(shí)現(xiàn)。

在允許入侵活動(dòng)繼續(xù)在系統(tǒng)上收集進(jìn)一步的數(shù)據(jù)或證據(jù)之前，會(huì)尋求法律建議。在允許入侵活動(dòng)繼續(xù)在系統(tǒng)上以收集更多數(shù)據(jù)或證據(jù)之前，請(qǐng)咨詢系統(tǒng)所有者。入侵修復(fù)活動(dòng)的規(guī)劃和協(xié)調(diào)是在與已受到損害的單獨(dú)系統(tǒng)上進(jìn)行的。在可能的情況下，所有入侵修復(fù)活動(dòng)都在同一計(jì)劃中斷期間以協(xié)調(diào)的方式進(jìn)行。在進(jìn)行入侵修復(fù)活動(dòng)后，將捕獲至少七天的完整網(wǎng)絡(luò)流量并進(jìn)行分析，以確定是否已成功從系統(tǒng)中移除對(duì)手。2 證據(jù)的完整性

在網(wǎng)絡(luò)安全事件發(fā)生后收集證據(jù)時(shí)，保持其完整性非常重要。盡管調(diào)查可能不會(huì)直接導(dǎo)致起訴，但重要的是要保護(hù)證據(jù)的完整性，例如手動(dòng)日志，自動(dòng)審計(jì)跟蹤和入侵檢測(cè)工具輸出。

如果要求監(jiān)管方介入，不應(yīng)采取任何可能影響證據(jù)完整性的行動(dòng)。調(diào)查人員保持調(diào)查期間收集的證據(jù)的完整性：

1.記錄他們所有的行為

2.為所有證據(jù)創(chuàng)建校驗(yàn)和

3.將證據(jù)拷貝到介質(zhì)上進(jìn)行存檔

4.維護(hù)適當(dāng)?shù)谋O(jiān)管鏈。

報(bào)告網(wǎng)絡(luò)安全事件

2 報(bào)告網(wǎng)絡(luò)安全事件

在發(fā)生或發(fā)現(xiàn)網(wǎng)絡(luò)安全事件（包括計(jì)劃外停機(jī)）后盡快向組織的首席信息安全官（CISO）或其一名代表報(bào)告網(wǎng)絡(luò)安全事件，為高級(jí)管理層提供了評(píng)估對(duì)其組織的影響并在必要時(shí)采取補(bǔ)救措施的機(jī)會(huì)。在此過程中，組織應(yīng)認(rèn)識(shí)到有關(guān)向當(dāng)局，客戶或公眾報(bào)告網(wǎng)絡(luò)安全事件的任何立法義務(wù)。網(wǎng)絡(luò)安全事件在發(fā)生或被發(fā)現(xiàn)后盡快報(bào)告給組織的CISO或其代表之一。

服務(wù)提供商在發(fā)生或發(fā)現(xiàn)網(wǎng)絡(luò)安全事件后盡快向客戶的CISO或其代表之一報(bào)告網(wǎng)絡(luò)安全事件。

服務(wù)提供商及其客戶相互維護(hù) 24x7 全天候的聯(lián)系方式，包括正常通信渠道出現(xiàn)故障時(shí)的其他聯(lián)系方式，以便報(bào)告網(wǎng)絡(luò)安全事件。

2 報(bào)告網(wǎng)絡(luò)安全事件

監(jiān)管部門使用其收到的網(wǎng)絡(luò)安全事件報(bào)告作為向組織提供援助的基礎(chǔ)。還使用網(wǎng)絡(luò)安全事件報(bào)告來識(shí)別趨勢(shì)并保持準(zhǔn)確的威脅環(huán)境圖景。利用這種理解來協(xié)助開發(fā)新的和更新的網(wǎng)絡(luò)安全建議，能力和技術(shù)，以更好地預(yù)防和應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅。建議組織在內(nèi)部協(xié)調(diào)其向報(bào)告網(wǎng)絡(luò)安全事件。應(yīng)向監(jiān)管部門報(bào)告的網(wǎng)絡(luò)安全事件類型包括：1. 可疑活動(dòng)（例如域管理員賬戶鎖定和異常遠(yuǎn)程訪問活動(dòng)）；2. 敏感或機(jī)密數(shù)據(jù)受損；3. 未經(jīng)授權(quán)的訪問或試圖訪問系統(tǒng)；4. 包含可疑附件或鏈接的電子郵件；5. 拒絕服務(wù)攻擊；6. 勒索軟件攻擊；7. 涉嫌篡改ICT設(shè)備或移動(dòng)設(shè)備。

注：本文檔翻譯參考來源為ACSC，部分詞匯在本文中做了技術(shù)性調(diào)整

關(guān)注公眾號(hào)

回復(fù)“220325”獲取機(jī)翻版“2022年X-Force威脅情報(bào)指數(shù)”PDF版

回復(fù)“220213”獲取“小型企業(yè)網(wǎng)絡(luò)安全指南”PDF版