在美國NIST CSF 資訊保安框架之下,企業須「辨識」電腦網絡風險,然後作出適當的「保護」措施。今期本欄繼續介紹NIST CSF的第三部份:「偵測(Detect)」。

「偵測(Detect)」的作用是,當網絡出現異常或發生事故,能夠及時發現並即時發出警報。正如一輛私家車,車門鎖用來提供「保護」,而防盜系統則可以「偵測」到異常震動,並即時發出聲響。問題是,怎樣才算恰當的「偵測」呢?是否所有「風吹草動」都應觸動警報系統呢?

NIST CSF建議資訊保安人員在展開偵測工作時先要釐清何為網絡「異常及事故」(Anomalies and events),了解異常情況對系統的潛在影響,並訂定發出警報的門檻。

「持續監察」(Continuous monitoring)是「偵測」重要一環,除了監察系統之外,企業現場環境、操作人員和服務供應商也是監察的範圍,定期掃描系統有否出現安全漏洞。

企業須制定清晰的「偵測程序」(Detection processes),包括不同人員的角色及責任,確保程序符合行業法規,不斷更新和改進。

管理層有責任制定有效的「偵測」策略及計劃,其中推動「主動偵測」非常重要。現時許多防禦或偵測系統均具備「預測」功能,可根據過往記錄,更準確地判斷是否出現異常,改善偵測結果。企業亦可移除不必要的功能,或加強對特定範圍的防禦,從而避免過度敏感及減少誤報。

當「偵測」到網絡異常警報之後,該如何「應對(Respond)」呢?本欄下星期再談。