扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
上次您对机构的安全事件响应计划进行测试是什么时候?我们曾经介绍过很多关于创建响应计划的重要性的文章,如何创建安全事件响应政策,对安全事件进行响应时如何采取测试,以及如何响应恶意软件等等。
所以,我要再次提问:上次您对机构的安全事件响应计划进行测试是什么时候?这里我所说的并不是灾难恢复计划中用完整的备份恢复网络。我说的是在压力之下如何阻止某人尝试破坏您的网络的危机管理。
世界上无论多么有效的响应计划,如果到时不能启动,对您的机构就毫无作用。所以您应该在需要用到响应计划之前对它进行测试。
不要犯纸上谈兵的错误,为了满足管理要求将安全响应计划仅仅停留在纸面上。您可以拟订一个战略在机构网络崩溃之前解决局部问题。
让我们来演示一个例子:出现了一种新的病毒,这是一个最普通不过的情况。让我们来看下面两种情境。
情境1:
在收到警告或者发现不正常的情况以后,两个管理员发现了病毒。首先,他们启动病毒响应计划,将感染病毒的设备从网络中撤出,清理设备以后又对系统进行了恢复。然后他们书写了报告并将事件通告了管理层。从发现事件到完成报告用时1个小时。
情境2:
同样的两个管理员发现了病毒。他们告诉管理层网络中发现了病毒,要求负责人关闭遭到病毒感染的网络,向非技术经理简单介绍了病毒以及它的作用,阐明在必要的情况下稍微干扰一下业务服务能够组织病毒的爆发。最后,他们从网络中撤下了几台遭受感染的设备,进行整理和恢复。然后他们书写了报告并向管理层进行了简单的汇报(在操作过程中,也许要进行多次汇报)。从发现时间到完成报告至少要用4个小时。
应该很清楚的看出来哪种情境更有效,能为业务提供更好的服务。尽管如此,第二中情境对于你们中很多人来说可能都很素席。如果这样的话,您就需要事先进行测试。
对计划进行测试
安全响应计划的测试很简单。拥有系统决策权的人的参与对于测试的启动是很重要的一点。以同样的病毒事件为例,您应该按以下步骤进行:
1.选择一种对网络构成最大威胁的病毒,并选择一台目标设备(重要的或非重要性的都包括)。
2.通知安全管理员在某台设备上发现了病毒,并要求他(或她)执行安全响应计划。
3.观察所进行的行动是否按照当前的安全响应计划进行。
完成报告以后测试才算结束,这时就应该进行事后的回顾。事后回顾应该关注任务是否按照现有计划进行,并且阻止或者延迟计划执行的障碍。以下是需要回答的问题:
1.测试所涉及的人是否能够了解计划?
2.全部所需的条款是否可得易用(例如,软件、授权许可,人员、许可,联系信息,设备信息等)?
3.最缺乏经验的人是否能够跟上并且执行计划?
4.是否出现与计划不符的情况,以及出现的原因?
回答完以上问题以后,就需要进行一些必要的修改,重写安全响应计划。
结语
安全响应计划与任何其他危机管理计划没有差别。计划在通过实际测试前不能成为计划。要抢在实际事件对您进行“测试”以前对您的安全响应计划进行测试。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。