在美国NIST CSF 资讯保安框架之下,企业须「辨识」电脑网络风险,然后作出适当的「保护」措施。今期本栏继续介绍NIST CSF的第三部份:「侦测(Detect)」。

「侦测(Detect)」的作用是,当网络出现异常或发生事故,能够及时发现并即时发出警报。正如一辆私家车,车门锁用来提供「保护」,而防盗系统则可以「侦测」到异常震动,并即时发出声响。问题是,怎样才算恰当的「侦测」呢?是否所有「风吹草动」都应触动警报系统呢?

NIST CSF建议资讯保安人员在展开侦测工作时先要釐清何为网络「异常及事故」(Anomalies and events),了解异常情况对系统的潜在影响,并订定发出警报的门槛。

「持续监察」(Continuous monitoring)是「侦测」重要一环,除了监察系统之外,企业现场环境、操作人员和服务供应商也是监察的范围,定期扫描系统有否出现安全漏洞。

企业须制定清晰的「侦测程序」(Detection processes),包括不同人员的角色及责任,确保程序符合行业法规,不断更新和改进。

管理层有责任制定有效的「侦测」策略及计划,其中推动「主动侦测」非常重要。现时许多防御或侦测系统均具备「预测」功能,可根据过往记录,更准确地判断是否出现异常,改善侦测结果。企业亦可移除不必要的功能,或加强对特定范围的防御,从而避免过度敏感及减少误报。

当「侦测」到网络异常警报之后,该如何「应对(Respond)」呢?本栏下星期再谈。