如何有效开展网络安全事件调查工作

在这里插入图片描述

网络安全事件调查是现代企业网络安全体系建设的关键组成部分。为了防止网络攻击,仅仅关注于安全工具的应用效果远远不够,因为安全事件一直都在发生。安全团队只有充分了解攻击者的行踪和攻击路径,才能更好地防范更多攻击时间的发生。

做好网络安全事件调查看上去并不复杂,只要收集有关企业IT系统的运行数据,然后分析其中的异常情况即可。然而,这项看似简单的工作背后隐藏着诸多不确定因素。在网络安全事件调查中,需要采取合法合规的调查手段,使用合适的技术和工具,此外还需要配置一些非专业性技能,例如分析能力、沟通能力和团队协作能力等,才能保证调查结果的有效性和合规性。

网络安全事件调查的意义

随着企业的数字化发展,会遇到各种类型的网络安全事件,并不是对所有的事件都需要开展全面调查,例如,对今天的DDoS攻击通常不需要深入调查,而是只要做好攻击发生时的应急响应准备即可。网络安全事件调查的主要应用场景是网络攻防对抗,在高强度对抗中所产生的安全事件才需要企业安全调查人员去深入调查分析,其调查难度也是传统网络病毒攻击事件难以相提并论的。

安全事件调查与传统的威胁检测都需要依赖强大的威胁情报库和发现规则,但最大的区别在于,威胁检测是为了及时发现异常情况并发出警报,而事件调查则是对所发现的异常行为进行全面的调查分析,并进行相应的抑制和修复。

以勒索软件攻击事件调查为例,这已经成为企业组织普遍面临的安全风险。然而,很多企业在开展勒索攻击事件调查时,会将工作的重点放在了如何解密和恢复数据,这是非常错误的。企业应该充分了解系统是如何被勒索软件入侵,全面调查包括网络钓鱼、软件漏洞、弱密码和恶意内部人员等各种威胁产生的路径,这样才可能彻底清除勒索攻击者对自身业务系统的非法控制,并从根本上防止此类事件的再次发生。

许多客户不太关心攻击的具体细节,比如来源或幕后的黑客组织。他们主要关注恢复业务流程,并确保此类恶意行为不再发生。与此同时,调查人员可以对恶意软件代码进行逆向工程,以收集能表明黑客来源的宝贵数据。在典型的事件调查场景中,可以用数据收集和分析周期来表示调查工作的进展情况,每次新的迭代后,企业就会对下一步的网络安全建设有更准确的理解。

为事件调查做好准备

网络安全事件调查通常分为收集线索、数据分析和报告总结等阶段,其中,收集线索是非常关键的准备工作。只有获取到足够的攻击证据,才能更准确地分析攻击者的行踪和攻击路径。

当严重的网络安全事件发生后,调查人员应该首先根据资产的损害状况和攻击手法特点,设置好处置任务的优先级,这样才能在需要时迅速做出决策,并在必要时通过使用排除法来发现被攻击的真相。

当安全事件调查流程启动后,安全分析师要尽可能全面了解事件相关信息,这需要他们在日常工作中充分熟悉自身的角色和职责。快速变化的IT环境经常需要分析师实时同步更新自己的技能组合,比如了解云计算、大数据等。在安全事件调查时,分析师应能够迅速识别其负责的所有资产运行状态,并积极参与到漏洞管理和扫描发现过程。

所收集的安全事件信息数量和质量将决定事件调查的结果,帮助分析师准确了解他们面临威胁的程度与可能后果。需要指出的是,由于很多攻击团伙开始使用“攻击即服务”的Saas化商业模式,要准确了解这些攻击技术并不困难。但是在一些比较敏感的场景(比如能源等关键基础设施部门受到攻击)中,安全分析师需要留意是否存在更多的非常规性攻击方法。

在许多情况下,分析师可能会面临信息不全、时间不足以及缺少权限等不利因素,并让调查工作陷入混乱、恐慌的状态中。在这种情况下,训练有素的事件调查团队必须清楚地表述其专业知识,获取业务部门的理解和支持,并推动事件调查工作开展下去。

调查人员的责任

网络安全事件调查人员可以接触到大量的事件信息,如何做好保密是极其敏感的问题,调查人员应该充分意识到这一点。他们需要明白,如果企业遭遇了数据泄露,可能会导致业务崩溃和法律后果。因此,调查人员绝不应该有意地造成这样的危害。

对于参与事件调查的人员,只应该关注并收集完成自己所负责调查任务所必需的数据,通常包括已登录的用户账户、已启动的程序以及程序启动时间。除非特别需要,调查人员不应该收集涉及客户担心被泄露的敏感信息。值得一提的是,调查期间收集的所有信息都按照严格的安全规程妥善存储。在一段指定的时间后,数据被删除。

还有人担心调查人员可能会与别人分享事件信息。事实上,调查团队的所有人员都没有义务向第三方(包括警方)提供有关被调查事件的信息,因为是否报告这类事件需要由受害企业的管理者和实际受害者来决定。

此外,调查人员的工作和行动不是为了破坏和处罚信息安全部门。在事件发生后解雇可能存在失职行为的安全人员并不一定总是合适的。虽然有时会发生这种情况,但没有一个安全系统是完美无缺的,难免会有漏洞。对安全事件进行问责与安全事件调查并没有关系,这是企业的管理层需要做出的决定。

在调查人员给出的事件调查报告中,应该包含事件过程的完整信息。如果事件因未解决的、原有的和众所周知的漏洞而发生,必须将所发现的漏洞情况完整附在报告中。调查人员不得隐瞒此类信息。

法律方面的挑战

由于网络安全已经成为国家安全的一部分,因此很多网络攻击事件,并不能仅依靠企业自身就可以有效解决。在很多时候,企业需要选择与司法部门合作,甚至把事件的最后处置交由法院来判决。

由于司法信息是公开的,这么做可能会使安全事件公之于众,这可能给企业带来商誉方面风险。因此,一些企业由于对商誉的担心而故意隐瞒了对网络安全事件的调查,从而延误了事情的处理,结果带来了更大的安全危害。

因此,如果需要通过司法流程来解决某些安全事件,企业管理层应该尽快做出决定,这需要进行全面的风险评估。在这种情况下,企业最好不要擅自对网络基础设施进行任何改变,而是立即向律师事务所寻求建议。专业律师会提供咨询服务,并建议适当的行动方案。

网络安全事件调查中的另一个法律风险挑战是如何确保对复制、删除或覆盖数据的过程进行适当的控制和记录。如果证据收集未正确进行或违反了法律要求,法院可能在诉讼中质疑数据的有效性,并拒绝使用该数

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/89945.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于Python爬虫+词云图+情感分析对某东上完美日记的用户评论分析

🤵‍♂️ 个人主页:艾派森的个人主页 ✍🏻作者简介:Python学习者 🐋 希望大家多多支持,我们一起进步!😄 如果文章对你有帮助的话, 欢迎评论 💬点赞&#x1f4…

【go语言学习笔记】05 Go 语言实战

文章目录 一、 RESTful API 服务1. RESTful API 定义1.1 HTTP Method1.2 RESTful API 规范 2. RESTful API 风格示例3. RESTful JSON API4. Gin 框架4.1 导入 Gin 框架4.2 使用 Gin 框架4.2.1 获取特定的用户(GET)4.2.2 新增一个用户(POST&am…

ElasticSearch安装与介绍

Elastic Stack简介 如果没有听说过Elastic Stack,那你一定听说过ELK,实际上ELK是三款软件的简称,分别是Elasticsearch、 Logstash、Kibana组成,在发展的过程中,又有新成员Beats的加入,所以就形成了Elastic…

9月大理,Move HackerHouse,成为全球数字游民的第一站

🚀世界各地的 hacker 们!即日起,我们正式向您发出 co-buiding & co-living 的邀请! 9.3日至9.24日,为期3周的 Move 主题Antalpha HackerHouse 将坐落于大理,邀请所有 Web3 开发者一起探索 Move 生态发…

基于Selenium模块实现无界面模式 执行JS脚本

此篇文章主要介绍如何使用 Selenium 模块实现 无界面模式 & 执行JS脚本(把滚动条拉到底部),并以具体的示例进行展示。 1、Selenium 设置无界面模式 创建浏览器对象之前,创建 options 功能对象 :options webdriver.ChromeOptions() 添加…

微服务系列(2)--注册中心

在博文:微服务系列(1)里我们提到过注册中心的概念,简单来说微服务注册中心是一个用于存储和管理微服务实例信息的组件,它提供了服务注册、服务发现、服务健康检查等功能,以确保微服务之间的稳定通信。在微服务架构中,各…

Python 图形界面框架TkInter(第八篇:理解pack布局)

前言 tkinter图形用户界面框架提供了3种布局方式,分别是 1、pack 2、grid 3、place 介绍下pack布局方式,这是我们最常用的布局方式,理解了pack布局,绝大多数需求都能满足。 第一次使用pack() import …

6. CSS(三)

目录 一、盒子模型 (一)网页布局的本质 (二)盒子模型组成 (三)边框(border) (四)表格的细线边框 (五)内边距(padding…

Android多屏幕支持-Android12

Android多屏幕支持-Android12 1、概览及相关文章2、屏幕窗口配置2.1 配置xml文件2.2 DisplayInfo#uniqueId 屏幕标识2.3 adb查看信息 3、配置文件解析3.1 xml字段读取3.2 简要时序图 4、每屏幕焦点 android12-release 1、概览及相关文章 AOSP > 文档 > 心主题 > 多屏…

【数据结构】栈与队列

1 栈 1.1 栈的概念及结构 栈:一种特殊的线性表,其只允许在固定的一端进行插入和删除元素操作。进行数据插入和删除操作的一端称为栈顶,另一端称为栈底。栈中的数据元素遵守后进先出 LIFO (Last In First Out) 的原则。 压栈:栈…

【Git】

Git 简介下载安装验证安装 简介 Git 是一个分布式版本控制系统,用于跟踪和管理软件开发项目的变化。它可以有效地记录文件的修改历史、协调多人协作开发、解决代码冲突,并提供了分支管理、版本回滚等功能,使团队能够更好地合作开发软件项目。…

Android实现超出固定行数折叠文字“查看全文“、“收起全文“

先上效果图 分析问题 网上有很多关于这个的代码,实现都过于复杂了,github上甚至还看到一篇文章600多行代码,结果一跑起来全是bug。还是自己写吧!!! 如果我们需要换行的"查看全文"、"收起全…

8.14 作业 ARM

.text .globl _gcd_gcd:mov r0,#9mov r1,#15cmp r0,r1 比较r0和r1寄存器中的值beq stopsubhi r0,r0,r1subcc r1,r1,r0stop:b stop .end用for循环实现1~100之间和: .text .globl _start_start:mov r0,#0 总和mov r1,#1 从1开始mov r2,#100 到100结束bl add_loopa…

安装elasticsearch

一、docker安装elasticsearch 1、下载镜像 docker pull elasticsearch:6.5.4 2、启动容器 docker run -p 9200:9200 -p 9300:9300 --name elasticsearch \ -e "discovery.typesingle-node" \ -e "cluster.nameelasticsearch" \ -e "ES_JAVA_OPTS-Xm…

软件测试基础篇——Docker

1、docker技术概述 docker描述:docker是一项虚拟化的容器技术(类似于虚拟机),docker技术给使用者提供一个平台,在该平台上可以利用提供的容器,对每一个应用程序进行单独的封装隔离,每一个应用程…

IC人必看| 模拟IC方向面试常考问题及答案汇总(二)

有不少小伙伴说还想要更多模拟IC方向的面试题目,这不就来了!(文末可领全部面试题目) 1. Bandgap 里有几种反馈?原理是? 正反馈和负反馈。 2. 负反馈种类?负反馈的优点? 种类&am…

【深度学习】【风格迁移】Zero-shot Image-to-Image Translation

论文:https://arxiv.org/abs/2302.03027 代码:https://github.com/pix2pixzero/pix2pix-zero/tree/main 文章目录 Abstract1. Introduction相关工作3. Method Abstract 大规模文本到图像生成模型展示了它们合成多样且高质量图像的显著能力。然而&#x…

代码质量检查工具SonarQube

Devops流水线之SonarQube 文章目录 Devops流水线之SonarQube1. 软件功能介绍及用途2. 软件环境搭建与使用2.1 使用方法2.2 SonarQube相关属性说明2.3 Sonar配置文件内容说明 3. 使用环节4. 检查方法 1. 软件功能介绍及用途 SonarQube是一个用于代码质量管理的开源平台&#xf…

网络安全进阶学习第十五课——Oracle SQL注入

文章目录 一、Oracle数据库介绍二、Oracle和MySQL的语法差异:三、Oracle的数据库结构四、Oracle的重点系统表五、Oracle权限分类1、系统权限2、实体权限3、管理角色 六、oracle常用信息查询方法七、联合查询注入1、order by 猜字段数量2、查数据库版本和用户名3、查…

项目知识点记录

1.使用druid连接池 使用properties配置文件: driverClassName com.mysql.cj.jdbc.Driver url jdbc:mysql://localhost:3306/book?useSSLtrue&setUnicodetrue&charsetEncodingUTF-8&serverTimezoneGMT%2B8 username root password 123456 #初始化链接数…