安全应急响应

安全事故之后的安全流程评审

admin

确保安全万无一失是人们的美好愿望,甚至被人们当做口号和政治任务。可是从科学角度讲,安全事故无法百分百避免,安全事故后的应急响应便成为一项关键安全控管流程。

旨在降低可能损失的应急响应流程在最后的输出往往是事件的根本原因分析和防范未然之道。不可否认,信息安全事故的原因往往都是人为的,即使是信息系统或者外界环境方面的因素,往往也会有适当的防范和补救方案。说到底,不管什么因素,都需要流程方面的防范措施,通过有效的流程控管和优化,可以在很大程度上减少安全事故的发生,并且降低可能造成的损失。

如何知晓在信息安全管理流程上缺乏什么呢?如何知道将如何改善安全作业流程呢?这不是看表面拍脑袋想当然的事情,需要科学的调研、分析和总结。内部人员能隐约觉察出问题的原因,但是可能并非所称的根源root cause。即使有明眼人能看出来,可能也局限于自身的地位或办公室政治因素而避开不谈。所以,再讲到改善流程,则希望渺茫,无疑让人们为安全事故所付出的代价付之东流。

当局者迷,旁观者清。安全负责人无疑需要请来外部第三方的审核队伍,帮忙找寻安全管理流程中的不足之处,并加以咨询和探讨。安全事故五花八门,起因似乎也是如此。但是在专业的安全审核人员看来,微小的失误和明显的过失还是有很大区别的。

流程评审的关键已经不再是看看文档,不少公司的文档只是文档,缺乏真实性。现场巡查、人员走访和随机抽检才是发现安全问题和隐患的关键。昆明亭长朗然科技有限公司信息安全咨询顾问James Dong说:一名懂信息安全的负责任的审核员足够,沟通交流出期望的输出,比如找出安全管理流程中的哪些不足甚至错误之处,与行业最佳实践的差距,以及改进建议。

通常第三方中立的信息安全审核人员并不会受制于内部环境的束缚,所以能够较为客观和中立地给出审核报告。当然在提及改进方案之时,往往也会提供专业的建议,比如推荐一些产品和服务。这都无可厚非,而且确实在很大程度上能够为供需双方牵线搭桥。

总之,一起安全事故的起因看似聚集在一个点,其实并非孤立的,要进行全面的安全管理流程审核分析,才是防范同类安全事故再次发生的正确措施。当然,要让信息安全委员会成员们以及相关的决策者们认识到这一点,还需要足够的安全观念碰撞和沟通交流。无疑,在安全认知的校正和安全观念的启蒙方面,针对管理层的信息安全意识宣导课程可以帮上忙。

几人知晓系统及安全日志审查

admin

IT人在进行故障排查时往往会检查系统、应用或安全相关的日志,特别是类UNIX系统管理员更是如此。而网络安全团队中意的类似SOC、审计等的中央日志管理系统会搜集、筛选、分析和整理关键系统和设备的运行日志,以便提供必要的信息安全事故预测、告警和报告。可是,对于桌面终端的普通用户,有没有必要了解这些理念和掌握这些技能呢?一次内部信息安全意识研讨会上,昆明亭长朗然科技有限公司的资深安全讲师Alice Wong提出这个问题。

尽管桌面安全管理并不难,可以说没有太多“技术含量”,但是却是信息安全管理中最为耗时耗力的工作内容。当形形色色的消费型计算终端出现在工作场所之后,自带计算设备BYOD便应运而生,无疑,这将让桌面安全管理难上加难。

在桌面终端安装客户端引擎,进而通过中央服务台,远程管理终端安全的系统往往会搜集系统的各类运行日志,不过这也不是最终用户需要了解的哦。

那到底有没有必要让桌面终端用户学会基本的日志检查和分析方法呢?这要看具体情况,Alice说,让终端用户学会检查和分析系统日志,除了能够帮助排差电脑故障之外,对信息安全事件的正确响应也会有很大帮助。

如同有的公司怕没有足够电脑经验的用户折腾坏电脑一样,有的公司也担心最终用户在安全响应上帮倒忙,的确,经验不足的用户如果自行调查和处理安全事故,可能会毁掉宝贵的入侵证据。

不过,也有另外一些公司为了节省IT资源,可能鼓励用户在IT问题上主动学习和探索,甚至让高级用户帮助入门用户自行解决简单的问题。当然,表现在信息安全事故处理上也是如此,他们乐意让用户快速报告安全事件和对事件进行简单的诊断,以便能够根据情况分配适当的安全事故响应资源。

孰是孰非?我们不能断下结论,这和企业文化和IT安全环境有关。不过,可以肯定的是,如果信息安全资源不是很充足,安全应急响应团队忙不过来的话,则需要教导最终用户简单的信息安全事故诊断和处理流程,当然系统和安全日志的分析就是必要的环节和步骤了。

几人知晓系统及安全日志审查呢?的确非IT背景的人员中难找出几个,是否需要让员工们知晓一些呢?当然有必要。不过,不需要将这些单独拿出,而在信息安全意识教育活动中,同信息安全事故报告及响应流程一起培训给员工,是正确的解决之道。