联邦能源管理委员会(FERC)北美电力可靠性公司(NERC)发布了一项关于电力企业网络事件响应和优秀实践恢复的研究。
可查看报告原文:
https://cms.ferc.gov/sites/default/files/2020-09/FERC&NERC_CYPRES_Report.pdf
报告主要基于美国八家电力公司专家共享的信息,可以改善事件响应和事件恢复计划,以确保电气系统在网络安全事件发生时的可靠性。
一般来说,建立明确的事件响应计划是一项复杂的任务,个性化组织的使命、规模、结构和功能,但通常包括以下共同因素:
- 定义范围(适用于谁,涵盖了什么内容,在什么场景背景下)
- 定义计算机安全事件和攻击、人员角色和责任、响应权限(如断开设备权限)、报告要求、外部通信和信息共享的要求和指南,以及性能评估程序。
在准备阶段,必须明确明确人员角色的定义,促进问责制,并授权人员在适当的情况下采取行动,避免不必要的延误。同时,要积极利用技术和自动化工具,培养训练有素的人员,不断提高人员技能,如需要从过去的网络安全事件/演习测试中学习经验,弥补不足。
在测试和分析阶段,建议使用安全基准来测试潜在的网络事件,并使用决策树或流程图快速评估是否达到特定的风险阈值,以及某些情况是否符合安全事件的条件。
在遏制和消除阶段,组织应深入了解潜在威胁、潜在影响和缓解威胁的对策,并分析前一阶段决策的影响。如果遏制威胁需要切断所有外部连接,则需要彻底了解此类决策的潜在影响。同时,应考虑不确定时间事件对企业资源的影响。
在事后活动中,从以往事件中吸取教训,进行模拟活动,找出内部IRR计划中明显的不足。
最后,IRR该计划是应对网络威胁的重要策略,可以减少网络攻击者的自然优势。当响应团队准备好测试、控制和消除网络威胁时,确保业务攻击的影响最小化。