如何识别和报告安全事件

在当今高度连接和互联网驱动的社会中,公司投资于安全事件管理变得越来越普遍。当预防问题变得不可行时,下一个最好的事情是立即采取正确的行动。

以下是如何识别安全事件以最大程度地减少其影响。

什么是安全事件?

尽管网络安全专家有时对网络安全事件的定义略有不同,但他们通常将其分为两大类。但一般而言,安全事件是任何企图或成功违反公司网络安全政策和保护机制的行为,并带来负面后果。例子包括:

  • 未经授权的应用程序使用或数据访问的证据。
  • 网络钓鱼攻击。
  • 社会工程学报告。
  • 受损的用户帐户。
  • 有关未经授权的网络使用的警报。

什么是两种类型的安全事件?

安全风险并不总是导致问题。例如,员工可能将公司笔记本电脑留在出租车后座,并在五分钟后收到有关离开财产的通知。分析还可以确认错误导致该短暂窗口内的任何数据泄露或计算机篡改的可能性,尤其是在受密码保护的情况下。

在这种情况下,安全事件是观察到的可能危及数据、网络或公司的事件。创建强大的安全事件响应计划可降低安全事件成为事件的可能性。员工培训也有帮助。

网络犯罪分子可能会向 100 人公司的每个团队成员发送网络钓鱼电子邮件,从而导致 100 次安全事件。但是,如果没有员工中招,则所有事件都不会成为具有相关后果的安全事件。

隐私事件与安全事件不同吗?

人们还应该了解隐私事件。它们通常与安全事件分开讨论,但仍然相关。

由于受监管数据的披露,会发生隐私事件。例如,损害客户个人身份信息 (PII) 的数据泄露就属于此类。

所有的隐私事件也是安全事件。但是,安全事件可能不会影响受监管的数据。

数据泄露是另一个相关类别。它们是未经授权的信息访问的确认实例,通常会成为隐私事件。

相关:有史以来最严重的数据泄露

人们如何发现潜在的安全事件?

安全事件警告标志有多种。例如,在对水厂的一次攻击中,一名主管看到鼠标光标自行移动,并注意到有人远程提高碱液水平。然而,正在进行的网络攻击并不总是那么明显。有人可能会看到略高的网络流量水平,但不认为他们需要进一步调查。

丢失数据是可能发生网络攻击的另一个警告信号。然而,这并不总是麻烦的征兆。如果某人只是找不到一个文件,则可能是他们忘记保存或不小心将其放在错误的位置。

如果人们报告丢失了所有文件,问题就会更加严重。

同样,当黑客锁定网络上的所有文件并要求付款以恢复它们时,就会发生勒索软件攻击。在这些情况下,人们会看到明确确认攻击并指示如何汇款的消息。但是,他们可能会首先看到其他通信。

当勒索软件攻击使爱尔兰医疗服务机构瘫痪时,它开始于一名员工在计算机停止工作后单击链接寻求帮助。

如果许多人报告突然无法访问他们的帐户,这也是有问题的。或者,他们可能会收到电子邮件,告知他们有关电子邮件地址或密码更改的信息,尽管他们并未编辑帐户的详细信息。

如果您怀疑发生安全事件,最重要的事情是什么?

当人们怀疑发生安全事件时,他们可能会立即感到不知所措,不知道该先做什么。

在所有情况下,最合适的初始安全事件响应是将情况报告给正确的一方。然后负责人可以采取快速行动来限制数据丢失和潜在的停机时间。他们还将从任何了解所发生事件的人那里获得安全事件报告的详细信息。

公司领导应该让人们尽可能容易地分享可疑事件的详细信息。一种可能性是在每封电子邮件的页脚中包含指向事件表单的链接。另一种选择是在重要区域(例如休息室、洗手间和电梯)张贴安全事件报告电话号码。

一旦安全团队确认安全事件,他们可能需要通知外部各方,例如执法人员或国家监管机构。例如,在欧盟运营或为客户提供服务的公司在获悉违规行为后有 72 小时通知数据监管机构。

为什么安全事件管理是有效的

没有单一的保证方法可以阻止所有安全事件。这就是为什么大多数方法都专注于安全事件响应和管理。

创建事件响应计划是涵盖所有基础的极好第一步。

拥有一个可以增加公司在问题发生后迅速恢复的机会。它还限制了事件再次发生的可能性。有几个信誉良好的框架可供公司遵循。

它们包括为未来事件做准备、识别和分析它、控制和消除威胁以及防止未来问题的行动。

这些正式事件主要适用于在现有网络安全事件预防措施到位的组织中工作的人员。这是因为安全事件管理只有在每个人都有明确定义的事件缓解角色并了解如何执行时才能很好地发挥作用。

安全事故管理人人有责

一个人在担任非网络安全角色时,仍然可以在安全事件响应中发挥关键作用。他们的职责可能只是向主管报告问题并关闭他们的计算机;尽管如此,这些看似微小的行动可能会限制网络安全事件的严重性。

此外,每个人都应该采取个人行动来限制黑客的访问。设置唯一、复杂的密码会有所帮助,并在可能的情况下使用多因素身份验证

随着世界越来越依赖数字化,安全事件可能会变得更加突出。但是,此处涵盖的信息可以帮助人们更加主动地阻止他们。