edwinshibu/cybersecurity-grc-portfolio
GitHub: edwinshibu/cybersecurity-grc-portfolio
基于NIST IR和5x5风险矩阵框架的两份完整网络安全GRC模拟案例研究报告,涵盖勒索软件事件响应与企业风险评估。
Stars: 0 | Forks: 0
# 网络安全 GRC 与事件响应案例研究
本 repo 包含两个模拟案例研究,旨在练习网络安全中防御和治理方面的工作:事件响应报告和风险评估。这两项工作最初是作为在 Forage 上进行的 Datacom Cyber Security Operations Job Simulation 的一部分完成的,随后被扩展为完整的独立报告。
**这些是针对虚构公司的模拟练习。它们不是真实的客户业务或真实的事件。**
## 背景
我的主要精力一直集中在通过在 HackerOne 上进行 bug bounty 工作来研究攻击性安全。这些案例研究是一次刻意的练习,旨在从另一方面进行思考,即那些必须在事件发生后进行调查、遏制和报告的团队,以及那些必须在任何事情发生之前识别和优先考虑风险的团队。
## 本 repo 的内容
### 1. 事件响应报告 — Orion Health Services(勒索软件攻击)
一份针对医疗技术提供商模拟勒索软件攻击的完整事件响应报告。涵盖:
- 执行摘要
- 根据妥协指标重构的事件时间线(网络钓鱼邮件、Mimikatz 凭据窃取、横向移动、勒索软件部署)
- 跨数据、系统、业务运营和合规风险(NDB 方案、2020 年隐私法)的影响评估
- 根本原因分析,将每个技术漏洞映射到导致攻击升级的原因
- 优先建议(即时、短期、长期)
`/incident-response-report/`
### 2. 网络安全风险评估报告 — RetailNova Pty Ltd
一份针对模拟零售公司的完整风险评估,围绕威胁和漏洞清单以及完整的风险登记表构建。涵盖:
- 对 8 项关键资产(客户数据、电子商务平台、POS 系统、CRM/ERP、云托管、端点、第三方供应商、内部通信)的威胁和漏洞识别
- 三个经过全面分析的风险,每个风险均源于案例研究中的一个真实历史事件(网络钓鱼、勒索软件、第三方供应商数据泄露)
- 使用 5x5 风险矩阵(可能性 x 后果)计算的固有风险与残余风险评级
- 针对在考虑了现有控制措施后仍保持 HIGH 级别的一个风险的风险升级电子邮件
- 参考风险优先级矩阵和评级标准
`/risk-assessment-report/`
## 值得强调的发现
在 RetailNova 的评估中,即使在考虑了现有的控制措施后,第三方供应商数据泄露的风险仍然保持了 HIGH 的残余评级。这不是错误,这正是问题的关键所在。RetailNova 没有实施任何供应商风险管理计划,因此实际上没有任何东西可以降低这种风险。风险评估只有在愿意向你展示差距所在时才是有用的,而不是假设一种通用的控制措施就能解决所有问题。
## 方法论
两份报告均遵循结构化的框架,而不是临时性的分析:
- **事件响应**遵循 NIST/SANS IR 生命周期:识别、遏制、消除、恢复、经验教训。
- **风险评估**遵循标准的 5x5 风险矩阵(可能性 1-5 x 后果 1-5),并具有单独的固有和残余评级,以便现有控制措施的效果是可见的,而不是假设的。
## 致谢
本报告根据在 Forage 上托管的 Datacom Cyber Security Operations Job Simulation 编写。
## 免责声明
这些报告中引用的所有公司名称、事件和数据均为虚构,仅用于培训目的。不代表任何真实的组织、个人或事件。
标签:安全合规, 库, 应急响应, 案例分析, 网络代理, 网络安全, 防御加固, 隐私保护