使用劇本來回應事件(Use playbooks to respond to incidents)
安全行事:管理安全風險
使用劇本來回應事件
Use playbooks to respond to incidents
您將學習劇本的用途及常見使用方式,並探索網路安全專業人員如何利用劇本來回應已識別的威脅、風險與弱點。
Phases of incident response playbooks
影片:Welcome to module 4
- 本影片將介紹資安專業人員如何使用劇本 (playbooks) 來應對資安威脅。
- 劇本能幫助資安團隊處理由 SIEM (Security Information and Event Management) 工具所識別出的威脅、風險或漏洞。
- 我們也會探討事件回應的六個階段。
影片:Phases of an incident response playbook
- 劇本 (Playbook) 是一個說明如何應對資安事件的指南,它可以確保每個處理事件的人都依照一致的步驟進行。
- 影片中提到的 事件回應劇本 (Incident Response Playbook) 就像應對資安事件的行動指南,它概述了每個階段該做什麼、由誰負責,以及需要哪些工具,以便在事件發生時能快速且有效地做出反應。 主要包含六個階段:
- 準備 (Preparation):預先規劃好應對資安事件的流程和人員配置。
- 偵測與分析 (Detection and Analysis):使用工具和策略來判斷是否發生資安事件,並分析其規模。
- 控制 (Containment):採取行動來控制事件,防止損害擴大。(意涵: 將某事物限制在特定的範圍內,防止其擴散或造成更大的損害。強調的是快速反應,盡可能地限制攻擊範圍。Control 則是指在更全面的層面上對事件進行管理)
- 根除與復原 (Eradication and Recovery):移除所有與事件相關的 artifacts,並將受影響的環境恢復到安全狀態。
- 事件後活動 (Post-incident Activity):記錄事件、通知組織領導層,並從中吸取教訓。
- 協調 (Coordination):在整個事件回應過程中,根據組織的標準報告事件並共享資訊。
- 資安資訊與事件管理系統 (SIEM) 可以收集和分析數據來偵測威脅並產生警報,而當安全分析師收到 SIEM 警報時,他們可以使用劇本 (Playbook) 來引導應變流程。
閱讀:More about playbooks
- 劇本 (Playbook) 就像指南,提供網路安全專業人員應對事件的預先定義且最新的步驟。
- 劇本包含策略和計畫:
- 策略 (Strategy):概述團隊成員的任務和責任。
- 計畫 (Plan):指示如何完成劇本中概述的特定任務。
- 劇本是動態文件 (Living Documents),會隨著產業變化和新威脅而更新。
- 事件和漏洞回應劇本 (Incident and Vulnerability Response Playbooks) 幫助識別和應對安全事件,確保遵循法律和組織標準。
- 劇本的常見步驟包括:
- 準備 (Preparation)
- 偵測 (Detection)
- 分析 (Analysis)
- 控制 (Containment)
- 根除 (Eradication)
- 從事件中恢復 (Recovery)
- 劇本有助於最小化錯誤 (Minimize Errors) 並確保在特定時間範圍內執行重要操作。
影片:Zack: Incident response and the value of playbooks
影片主要在說明 流程 (Processes) 和 行動手冊 (Playbooks) 在 Google 安全團隊中扮演的重要角色。Zack 以自身經驗分享如何運用這些資源處理資安事件,並強調即使是沒有豐富經驗的人也能透過這些資源有效地解決問題。 以下是影片重點整理:
- Zack 是一位在 Google Workspace 安全團隊工作的軟體工程師 (Software Engineer)。
- 他分享了自己非典型的職涯轉換歷程,並強調學習新技能的重要性。
- 流程和行動手冊是 Google 工程師用來應對各種事件的指南和演算法,例如資安事件、攻擊事件等。
- 這些資源對於剛接觸網路安全的從業人員特別有幫助,因為它們提供了豐富的經驗和最佳實務。
- Zack 以自身處理外部回報漏洞的經驗為例,說明行動手冊如何幫助他解決問題。
- 他鼓勵有興趣從事網路安全的人多與業界人士交流,並積極學習相關技能。
- 最後,Zack 強調網路安全的重要性與日俱增,並鼓勵大家持續關注這個領域。
Explore incident response
影片:Use a playbook to respond to threats, risks, or vulnerabilities
- SIEM 工具搭配 playbook劇本 能有效降低組織的威脅、風險和漏洞。
- Incident response playbook 事故應變劇本是引導資安專家在保持準確性的同時,以高度的急迫感減輕問題的指南。
- Playbook 劇本可以:
- 建立結構
- 確保合規性
- 概述溝通和記錄流程
- 組織可能會根據情況使用不同類型的 incident response playbook 事故應變劇本。
- Playbook 劇本是動態文件,表示資安團隊會經常進行變更、更新和改進,以應對新的威脅和漏洞。
影片:Erin: The importance of diversity of perspective on a security team
這段影片主要在說明科技業需要多元背景的人才 (Diversity)。影片中的講者 Erin 在 Google 擔任隱私權工程師 (Privacy Engineer),負責確保 Google 開發的新科技都能兼顧使用者隱私。她認為「軟技能」比「技術能力」更重要,因為與人溝通、理解不同觀點是無法被取代的。在科技業,多元的思考模式和生活經驗有助於打造更完善的產品,讓產品更貼近使用者的需求。
閱讀:Playbooks, SIEM tools, and SOAR tools
- 劇本(Playbooks)是網路安全團隊在事件發生時使用的指南。
- 劇本幫助安全團隊以一致的方式應對事件,確保無論誰在處理案件,都能遵循規定的行動清單。
- 劇本可以用於各種資安事件,詳細說明誰應該在何時採取什麼行動。
- 劇本通常與安全資訊與事件管理(SIEM)工具一起使用。
- 劇本也與安全協調、自動化和回應(SOAR)工具一起使用,自動化處理SIEM或威脅偵測與回應(MDR)等工具產生的重複性任務。
Review: Use playbooks to respond to incidents
影片:Wrap-up
影片在講述劇本(Playbooks)在網路安全事件應變中的重要性。
- 劇本提供一個結構化且一致的方法來處理安全事件。
- 劇本能幫助安全分析師快速應對事件,並將損害降到最低。
- 影片中也提到了事件回應劇本的六個階段。
Congratulations on completing Course 2!
影片:Course wrap-up
- 首先回顧了 CISSP (Certified Information Systems Security Professional) 的八個安全領域 (Security Domains),並著重探討了商業營運的威脅 (Threats)、風險 (Risks) 和弱點 (Vulnerabilities)。
- 接著探討了安全框架 (Security Frameworks) 和控制 (Controls),以及如何將它們作為建立安全管理政策和流程的起點。
- 其中討論了 CIA 三要素 (Confidentiality, Integrity, Availability)、NIST 框架 (National Institute of Standards and Technology) 和安全設計原則 (Security Design Principles),以及它們如何讓整個安全社群受益。
- 接著討論了框架、控制和原則如何與安全審計 (Security Audits) 相關聯。
- 還探討了 SIEM (Security Information and Event Management) 控制面板等基本安全工具,以及如何使用它們來保護商業營運。
- 最後,涵蓋了如何使用劇本 (Playbooks) 來保護資產和數據。
作為一名安全分析師,你可能需要同時處理多項任務。了解你所掌握的工具以及如何使用它們,將提升你在該領域的知識,同時幫助你成功完成日常任務。
留言
張貼留言