科技周刊-如果我们有…. 分享从网络安全事故中吸取的教训

2018年5月11日,
科技周刊-如果我们有…. 分享从网络安全事故中吸取的教训

而我们永远也说不清楚, 在网络安全的世界里,一切都很好, 这周我觉得我可以给你写一些除了US-CERT警报以外的东西.

本周的主题是一篇有趣的Cisco Talos博客文章,内容是关于Cisco事件响应团队的五大建议, 回顾过去的三年, 当他们与客户处理实际的安全事件时.  这些代表了回顾“如果”xxxxx“已经到位”的项目, 这个事件本来不会那么糟糕/容易解决/对组织造成的损害会小一些.

为了帮助客户避免或改善对未来另一安全事件的响应,思科IRT推荐的5个最常出现的操作是:

  1. 事件响应——提前知道如果事件发生,你要打电话给谁. 希望, 这个小组正在不断地与您合作,以改善您的网络安全状况.
  2. 在您的终端设备上使用高级终端保护产品-旧的第一代AV产品不能提供您所需的所有保护, 而更关键的是, 在这种情况下, 不要提供必要的取证信息来跟踪和响应安全事件.
  3. 分割你的网络——我已经讨论这个问题好几年了. 我们需要防止一个被破坏的设备能够攻击整个内部网络.
  4. 对你的网络进行积极的安全监控——这对大多数人来说是最难的. 它需要添加新的监视工具,并且需要有人真正地观察和响应工具的输出.   这些是你们大多数人的新成本,现在需要在你们的预算中,以保护你们的网络向前发展.
  5. 网络安全工具-垃圾邮件过滤, 网络过滤, DNS保护——大多数人都已经了解了这一点, 至少是前两部分. 把这些放在适当的地方有助于防止意外点击, 如果监控日志, 能否帮助识别请求访问受损域的受损机器.

对你们大多数人来说,第一个接到事故反应的电话将是CSI, 当事件发生时,我们可以让我们的团队成员和其他外部资源都参与进来.

我们不断地向我们的客户介绍新的工具,并鼓励我们的所有客户如何更好地改善他们的网络安全状况, 或使用CSI提供的新服务.

今天,我们这个相互联系的世界产生了一个不幸的副产品,那就是我们需要增强监控网络的能力,以确保网络上发生的事情只是我们希望发生的事情, 而不是其他东西.   我们的网络“已经不在堪萨斯了.”

如果您想讨论如何在您的网络中实施这些建议,请联系CSI的团队,我们将很高兴与您一起制定一个计划.

如果你想阅读Cisco Talos博客文章的全文,你可以在这里找到:

http://blogs.思科.com/security/top-5-recommendations-from-思科-incident-response-engagements?utm_source = feedburner&utm_medium =电子邮件&utm_campaign =提要% 3 + Cisco博客安全 + % 28安全% 29

鲍勃·克纳普