freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国电力公司网络事件响应最佳实践
2020-09-22 11:33:24

美国联邦能源管理委员会(FERC)和北美电力可靠性公司(NERC)发布了一项有关电力企业的网络事件响应和恢复最佳实践的研究。

报告原文可查看:

https://cms.ferc.gov/sites/default/files/2020-09/FERC%26NERC_CYPRES_Report.pdf

据悉,该报告主要基于美国八家电力公司的专家共享的信息,能够改善事件响应和事件恢复规划,以确保在发生网络安全事件时电气系统的可靠性。

1600745574_5f6970665c4e45259205e.png!small

一般来说,建立清晰的事件响应规划是一项复杂的任务,同时要针对组织的使命、规模、结构和职能进行个性化设置,但通常也会包含以下共同要素:

(1)定义范围(适用于谁,涵盖了哪些内容,以及在什么场景背景下)

(2)定义计算机安全事件和攻击事件、人员角色和职责、响应权限(例如断开设备的权限)、报告要求,外部通信和信息共享的要求和指南,以及性能评估的程序。

为了制定出IRR(事件响应和恢复)计划的最佳实践,可以从几个阶段循序渐进地进行。

在准备阶段,必须包括对人员角色的明确定义,促进问责制,并在适当的情况下授权人员采取行动避免不必要的延误。同时,应该积极利用技术和自动化工具,并且培养训练有素的人员,不断提升人员的技能,如需要从过去的网络安全事件/演习测试中学习经验,弥补不足。

在检测和分析阶段,建议使用安全基准来检测潜在的网络事件,并采用决策树或流程图来快速评估是否达到特定的风险阈值,以及某些情况是否符合安全事件条件。

在遏制和消除阶段,组织应该对潜在威胁、潜在影响以及为缓解威胁而部署的对策有深入的了解,以及分析前一阶段做出的决定的影响,如遏制威胁是需要断开外部所有连接,那么就需要彻底了解这类决定的潜在影响。同时,要考虑到不确定时长的事件响应对于企业资源的影响。

在事后活动中,从先前事件中吸取经验教训,并进行模拟活动,以找出内部IRR计划中明显的不足之处。

最后,IRR计划是应对网络威胁的重要策略,可以减轻网络攻击者拥有的自然优势。当响应团队准备好检测、控制并在适当时消除网络威胁,才能保证业务遭受攻击的影响最小化。

# 事件响应 # 基础设施 # FERC
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者