美国联邦能源管理委员会(FERC)和北美电力可靠性公司(NERC)发布了一项有关电力企业的网络事件响应和恢复优秀实践的研究。
报告原文可查看:
https://cms.ferc.gov/sites/default/files/2020-09/FERC%26NERC_CYPRES_Report.pdf
据悉,该报告主要基于美国八家电力公司的专家共享的信息,能够改善事件响应和事件恢复规划,以确保在发生网络安全事件时电气系统的可靠性。
一般来说,建立清晰的事件响应规划是一项复杂的任务,同时要针对组织的使命、规模、结构和职能进行个性化设置,但通常也会包含以下共同要素:
- 定义范围(适用于谁,涵盖了哪些内容,以及在什么场景背景下)
- 定义计算机安全事件和攻击事件、人员角色和职责、响应权限(例如断开设备的权限)、报告要求,外部通信和信息共享的要求和指南,以及性能评估的程序。
为了制定出IRR(事件响应和恢复)计划的最佳实践,可以从几个阶段循序渐进地进行。
在准备阶段,必须包括对人员角色的明确定义,促进问责制,并在适当的情况下授权人员采取行动避免不必要的延误。同时,应该积极利用技术和自动化工具,并且培养训练有素的人员,不断提升人员的技能,如需要从过去的网络安全事件/演习测试中学习经验,弥补不足。
在检测和分析阶段,建议使用安全基准来检测潜在的网络事件,并采用决策树或流程图来快速评估是否达到特定的风险阈值,以及某些情况是否符合安全事件条件。
在遏制和消除阶段,组织应该对潜在威胁、潜在影响以及为缓解威胁而部署的对策有深入的了解,以及分析前一阶段做出的决定的影响,如遏制威胁是需要断开外部所有连接,那么就需要彻底了解这类决定的潜在影响。同时,要考虑到不确定时长的事件响应对于企业资源的影响。
在事后活动中,从先前事件中吸取经验教训,并进行模拟活动,以找出内部IRR计划中明显的不足之处。
最后,IRR计划是应对网络威胁的重要策略,可以减轻网络攻击者拥有的自然优势。当响应团队准备好检测、控制并在适当时消除网络威胁,才能保证业务遭受攻击的影响最小化。