长亭百川云 - 文章详情

信息安全-信息安全运营(事件响应与持续改进、SOC平台建设、宣传培训)

被摧残的IT人生

112

2024-07-26

本期看点

前期已发布并完结IT建设之路(专业技术篇),包括“企业IT管理”、“IT技术架构”、“信息安全”、“应用架构”、“数据架构”。接下来几期将为大家增补信息安全中的“信息安全运营”。

信息安全管理除了技术工具、管理体系,还需要进行持续运营,包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心(SOC)、宣传培训。本期介绍如何进行事件响应与持续改进、SOC平台建设、宣传培训。

目录

信息安全

1. 信息安全原则策略
2. 网络安全防护
3. 终端安全
4. 信息安全管理体系

5. 数据安全
6. 信息安全运营

   6.1 安全监控与审计
   6.2 漏洞管理
   6.3 事件响应与持续改进  ←←本文
   6.4 SOC平台建设  ←←本文
   6.5 宣传培训  ←←本文

03

事件响应与持续改进

事件响应是指在发生安全事件时,企业及时采取一系列行动进行应对,从而为企业规避风险或减少损失,并及时恢复正常运营。持续改进则要求不断优化和完善安全措施。

在大部分企业中,事件的管理相对薄弱,这主要是企业内部的信息安全团队较小,事件的跟进往往是一两个人。但事件除了跟进作用外,还有就是对事件的经验总结、该事件需要的安全改进措施等。

在本章节中,不再赘述事件管理和跟进过程,仅针对事件的范围和经验总结做一个简要说明。

1 事件范围

安全风险告警确认:通过监控系统或者大数据分析系统的告警机制,及时发现安全风险。

可疑行为确认:经过人工审计和确认的可疑行为,需要当事人主管或信息安全主管确认的事件。

漏洞事件跟进:对扫描工具发现的漏洞,及时生成漏洞事件催促对应Owner修复。

信息安全事故调查跟进:对已经确认的安全事故,需要启动调查分析,因为往往会涉及多个部门配合及确认,故需要一个单独事件跟进。

其他需要跟进的事项:信息安全团队内部需要跟进的事项。

2 持续改进

经验总结:每次事件处理后,总结经验和教训,还包括事件发生的原因和改进过程。

优化措施:根据总结的经验,需要优化现有的安全措施和策略,或提高信息安全宣传力度,从而提升整体安全防护能力。

04

SOC平台建设

SOC(Security Operations Center)平台是信息安全运营的核心平台,集成了安全监控、漏洞管理、事件响应、安全报告等功能,而且提供全面的安全态势感知和应对能力。

市面上已经有不少态势感知的产品,可以集成多种安全软件和设备,对日志进行分析,然后做出安全预警和自动响应。在商用的态势感知产品不能完全对接企业的安全软件和设备时,仍需要安全团队自行开发一些分析或响应工具,作为态势感知产品的一个补充。

在此不对态势感知产品做一个推荐,但一个完整的SOC平台,需要考虑如下方面:

1 多种安全产品的集成能力

多源数据采集:需要考虑集成外部的威胁情报,企业内的多种安全设备和软件,如网络流量、系统日志、安全设备日志、威胁情报等,形成全面的安全数据视图。

数据存储与处理:利用大数据平台对海量安全数据进行处理和存储,确保数据的完整性和可用性。

2 综合监控

实时态势感知:利用机器学习和大数据分析技术,对用户和系统行为进行深入分析,发现异常行为和潜在威胁。识别潜在的安全威胁和异常行为。

可视化展示:通过图表、仪表盘等形式,直观展示安全监控的结果,便于分析和决策。

3 自动响应与编排

自动化响应:根据预设的响应策略,对常见的安全事件进行自动响应和处理,提高响应效率,比如自动将网络阻断、IP隔离等。

事件编排:通过编排工具,定义和自动执行复杂的事件响应流程,确保自动化响应的完整性和流程一致性。

4 报告与分析

安全报告:生成定期和实时的安全报告,涵盖安全事件总结、事件处理效果、系统安全态势等内容。

趋势分析:对历史安全数据进行趋势分析,评估安全防护效果,甚至是预测未来的安全威胁。

05

宣传培训

宣传培训是提升员工安全意识和技能的重要手段,确保所有员工了解和遵守信息安全政策和操作规程。在一个企业的安全运营过程中,宣传培训、甚至是安全考试都是贯彻始终的。

1 安全意识培训

全员培训:定期进行全员信息安全培训,提升员工的安全意识,介绍基本的安全知识、公司政策、安全防范技能等。尤其注意的是新员工入职时,就需要对新员工专门的信息安全培训。

专题培训:针对不同部门和岗位,进行定制化的安全培训,如开发人员的安全编码培训、IT运维人员的系统安全管理培训、服务部门在外部客户的安全管理准则培训等。

2 持续宣传

安全文化:通过企业内部网站、邮件、会议等形式,持续宣传信息安全的重要性,营造良好的安全文化氛围。一个好的信息安全宣传,通常是与当前安全风险最高的事件密切配合的,比如勒索病毒、个税退税的“钓鱼”邮件等。

案例分享:分享实际的安全事件案例,可以是外部的知名案例,也可以是公司内部的匿名案例,让员工有切身的感受或体会。

3 考核与评估

知识考核:通过信息安全考试、问卷、甚至是安全团队故意向关键岗位人员发送“钓鱼”邮件等形式,评估员工对信息安全知识的掌握程度和防范意识。

评估反馈:根据考核结果,提供反馈和改进建议,提高培训的效果和针对性。

信息安全运营不同于之前的任何一个信息安全项目,它不再针对信息安全防御能力的建设,而是通过对公司信息安全威胁与风险的及时发现、漏洞的持续改进和定期培训宣贯,使得企业的安全防护能力持续提升,公司全员具备更高的信息安全意识,确保信息系统的长期安全稳定运行。

下期将介绍:内容待定,将根据大家的反馈看是否有内容可以增补。

内容还行?点击上面鼓励他们一下吧!

注:部分文字和图片源自互联网,整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益,请后台留言。如情况属实,我们会第一时间删除并向您致歉。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2