信息來源:Freebuf
美國聯(lián)邦能源管理委員會(FERC)和北美電力可靠性公司(NERC)發(fā)布了一項有關電力企業(yè)的網(wǎng)絡事件響應和恢復最佳實踐的研究。
報告原文可查看:
https://cms.ferc.gov/sites/default/files/2020-09/FERC%26NERC_CYPRES_Report.pdf
據(jù)悉,該報告主要基于美國八家電力公司的專家共享的信息,能夠改善事件響應和事件恢復規(guī)劃,以確保在發(fā)生網(wǎng)絡安全事件時電氣系統(tǒng)的可靠性。
一般來說,建立清晰的事件響應規(guī)劃是一項復雜的任務,同時要針對組織的使命、規(guī)模、結構和職能進行個性化設置,但通常也會包含以下共同要素:
(1)定義范圍(適用于誰,涵蓋了哪些內容,以及在什么場景背景下)
(2)定義計算機安全事件和攻擊事件、人員角色和職責、響應權限(例如斷開設備的權限)、報告要求,外部通信和信息共享的要求和指南,以及性能評估的程序。
為了制定出IRR(事件響應和恢復)計劃的最佳實踐,可以從幾個階段循序漸進地進行。
在準備階段,必須包括對人員角色的明確定義,促進問責制,并在適當?shù)那闆r下授權人員采取行動避免不必要的延誤。同時,應該積極利用技術和自動化工具,并且培養(yǎng)訓練有素的人員,不斷提升人員的技能,如需要從過去的網(wǎng)絡安全事件/演習測試中學習經(jīng)驗,彌補不足。
在檢測和分析階段,建議使用安全基準來檢測潛在的網(wǎng)絡事件,并采用決策樹或流程圖來快速評估是否達到特定的風險閾值,以及某些情況是否符合安全事件條件。
在遏制和消除階段,組織應該對潛在威脅、潛在影響以及為緩解威脅而部署的對策有深入的了解,以及分析前一階段做出的決定的影響,如遏制威脅是需要斷開外部所有連接,那么就需要徹底了解這類決定的潛在影響。同時,要考慮到不確定時長的事件響應對于企業(yè)資源的影響。
在事后活動中,從先前事件中吸取經(jīng)驗教訓,并進行模擬活動,以找出內部IRR計劃中明顯的不足之處。
最后,IRR計劃是應對網(wǎng)絡威脅的重要策略,可以減輕網(wǎng)絡攻擊者擁有的自然優(yōu)勢。當響應團隊準備好檢測、控制并在適當時消除網(wǎng)絡威脅,才能保證業(yè)務遭受攻擊的影響最小化。