网络安全事件是指可能违反安全策略、保障措施失效或出现可能与安全相关的先前未知情况的系统、服务或网络状态。
网络安全是指因一系列网络安全事件而导致的,不受欢迎或意外的、已经或可能危及业务运营的情况。
网络弹性指的是一种能力,即适应网络安全事件造成的中断并保持业务持续运营。这包括检测、管理以及从网络安全事件中恢复的能力。
为协助检测和调查网络安全事件,可利用以下数据源:
- 跨域解决方案可识别异常或恶意网络流量,揭示利用尝试或成功入侵的迹象。
- 数据库、域名系统服务等可揭示异常或恶意应用程序、用户行为或解析尝试,表明存在利用企图或成功入侵。
- 电子邮件服务器、网关、多功能设备等均可提供关于潜在攻击或入侵的线索。
- 操作系统和其他安全服务也可监测并提示攻击企图或成功入侵的异常活动。
制定网络安全事件管理,有助于成功规划、检测和应对网络和主机上的恶意活动。此涵盖以下内容:
- 规划、检测和响应网络安全事件的职责。
- 分配给活动的资源。
- 对网络安全事件进行分类和响应的指南。
执行网络安全事件管理及其相关的响应计划至关重要,以确保其仍符合目的。为确保适当的补救措施得到采取,应开发、实施并维护网络安全事件登记册。
网络安全事件登记册包含以下内容:
- 网络安全事件发生的日期。
- 发现网络安全事件的日期。
- 网络安全事件的描述。
- 针对网络安全事件采取的行动。
- 报告网络安全事件的接收方。
鉴于内部人员可能因授权访问系统及其资源而使恶意活动更难被发现,应建立和维护内部威胁缓解计划。此计划重点关注记录和分析以下用户活动:
训练有素的网络安全人员需访问足够的数据源,如事件日志,并辅以支持手动和自动分析的工具,以成功检测网络安全事件。在系统设计和开发期间,应确保在系统中添加功能,以便捕获足够的数据源供网络安全人员使用。
一旦网络安全事件发生或被发现,应尽快向首席信息安全官或其代表之一报告,并为高级管理层提供评估其对的影响以及监督任何网络安全事件响应活动的机会。
澳大利亚信号局(ASD)使用收到的网络安全事件报告作为向提供援助的基础,并用于识别趋势和维护准确的威胁环境图景。内部应协调向ASD报告网络安全事件。
涉及的网络安全事件应及时向客户和公众报告,展示的透明度承诺。还应了解有关向和客户报告网络安全事件的任何立法义务。
在发现恶意代码后,应立即采取补救措施,以最大程度地减少消除和恢复感染所花费的时间和成本。包括隔离受感染的系统和媒体、使用防病毒软件清除感染以及在必要时从已知良好的备份中恢复或重建系统。
当检测到系统入侵时,需谨慎处理。在采取任何行动之前,应先与其法律顾问确认是否违反了相关法律。为提高补救活动的成功率,应采取预防措施,确保对入侵补救活动的规划有有限的预警和了解。
在入侵补救活动之后,应确定是否已成功将恶意行为者从系统中删除,这可以通过分析网络流量来实现。在可能的范围内,所有入侵补救活动都应在同一计划中断期间以协调的方式进行。
在收集网络安全事件证据时,调查人员需确保以适当的方式收集并保持证据的完整性。如果ASD介入调查,在ASD介入之前不应采取任何可能影响证据完整性的行动。