9.4 处理IDPS报警

9.4.1 总则

IDPS通常会产生大量报警, 需要对其全面分析, 以区分其中有价值的报警和无价值的报警。报警信息主要包含检测到的攻击的简明摘要,主要包括:

– 检测到攻击的时间或日期;

– 检测到攻击的传感器IP地址;

– 供应商特定的攻击名称;

– 标准的攻击名称(如果存在);

– 源和目的IP地址;

– 源和目的端口号;

– 攻击利用的网络协议。

此外, 一些IDPS提供了所利用攻击方法的通用详细信息, 其允许操作人员评估攻击的严重程度,主要包含:

– 攻击的描述;

– 攻击的严重性等级;

– 由攻击造成的损失类型;

– 攻击利用的脆弱性类型:

– 易受到攻击的软件的类型列表及版本号列表;

– 相关补丁列表;

– 可公开通报的参考信息,内含攻击或脆弱性的详细信息。

9.4.2 信息安全事件响应团队(ISIRT)

组织内部需配备信息安全事件响应团队(IS IRT) , 以响应报警。IS IRT需规划建立安全事件(如病毒、系统的内部误用及其他类型的攻击)处理的相关规程,主要给出发生信息安全事件时要采取的行动,并为人员培训建立时间表,就信息事件处理过程中人员的职责进行培训。安全事件报告和处理的更多信息见GB/T20985.1-2017。

9.4.3 外包

安全服务供应商除了提供IDPS产品外, 还提供IDPS托管服务, 包括提供咨询服务及提供运行中心管理服务。许多组织选择将一些支持类服务(如安全服务)托管给服务供应商,从而不必培训和保留具备专业技能的人员。当组织将其IDPS服务托管给安全服务商时, 需确定经济上是否可行, 以及安全服务商在保持机密性的同时是否提供适当的支持。与IDPS安全服务供应商合作需注意如下内容:

– 提供何种保密协议;

– IDPS监视人员具备的资格;

– 监督人员具备的资格;

– 服务提供商和组织内部安全人员之间的联络和沟通安排;

– 供应商是否可以提供紧急响应服务,以补充组织的能力;

– 供应商是否提供取证调查服务;

– 供应商是否提供服务级别协议(SLA) ;

– 哪些报告可供选择,它们是否能根据组织的需求定制;

– 是否能为组织定制检测策略,或者是否必须使用供应商预设的检测策略;

– 为了执行这些协议,采取的技术措施;

– 服务提供方人员采取的安全审查程序。

服务级别协议SLA主要包括:

– 定期(如每日、每周等)报告的内容;

– 响应时间的指标;

– 发生攻击时的通报机制(如电子邮件、呼叫器、短消息系统、多媒体系统、电话等);

– 事件追踪和管理程序;

– 保密和非公开协议。

优点:

– 同等花费下.相对组织自己提供服务,托管安全服务提供方可提供更高级别的安全;

– 通常花费更少的成本,可更快、更有效地实现7×24h能力;

– 由于许多托管安全服务提供方可访问来自不同客户的信息,他们能够更好的处理可疑活动并识别攻击;

– 减少将有效IDPS规程集成在一起所需要的时间, 以及重复所有实施细节所需的时间;

– 无需对员工提供最新IDPS工具和能力的持续专业培训(尽管需要了解IDPS能力) 。

缺点:

– 需监视和审计外包方,使其符合安全要求、限制和策略;

– 可能向第三方暴露敏感信息;

– 如果实施不当可能会比内部支持成本更高;

– 能剥夺对敏感数据的控制。

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~