提升安全事件响应能力的难点与建议

对于计算机安全事件响应（CSIRT）团队来说，必须时刻准备好应对突发的网络安全事件。在严重安全事件发生时，需要能够第一时间制定应急处置方案，充分调动内外部团队资源，并让所有成员明确自己的任务。此刻，保持头脑冷静、行动周全对于成功处理安全事件至关重要，而如果陷入到焦虑不安的恐慌中，将会严重影响事件响应团队做出正确的决策。

没有组织想在安全事件发生时才被动响应，因此许多企业都已经制定了安全事件响应的策略和计划，但随着网络威胁形势的不断变化，需要定期对其进行调整和优化改进。本文基于企业安全事件响应的最佳实践经验，总结了帮助企业提升安全事件响应能力的7点建议。

当网络安全事件发生时，不知道从何处入手可能会加剧攻击的损害后果。当需要制定或启动计划时，每个参与人员都必须准确地知道自己该做什么。为确保每个人都能保持同步，使用清晰的沟通机制，提高每个安全事件响应团队成员对自身角色和责任的认识至关重要。当然，这还远远不够，为了让安全事件响应计划能够顺利进行，每个人还必须知道其他人都在做什么，以及谁是每个工作小组的关键联系人。同样，保持积极的响应态度也很重要。安全事件响应中随时会面临挫折和打击，在此过程中，需要积极调动并保持每个参与者的积极性。

许多企业都已经制定了安全事件响应计划，但很多时候，他们并不知道如何处理它。针对威胁的事件响应手册对于有效的执行安全事件响应计划至关重要。该手册不一定要正式发布，但至少应该包含一个易于访问的文档，并且可以在事件响应混乱期提供指导。

当重大安全事件发生后的一个常见问题是，安全团队知道他们的责任是什么，但不确定如何履行这些责任。安全事件响应执行手册可以提供具体的行动指导，它可以被认为是一套安全事件响应的标准操作程序（SOP）。

安全事件响应计划创建后，不代表可以一劳永逸了，应该定期进行评估和审核。这一点在当今技术和相应的信息系统快速发展和变化的环境中尤为重要。安全事件响应计划必须定期修订，尤其是在公司不断成长的情况下。安全事件响应计划需足够健壮，同时还需足够灵活，企业应经常审查并更新事件响应计划。

企业不能在安全事件发生时才发现目前的响应计划缺陷，因此必须主动测试计划的有效性。更重要的是，如果有足够的练习，那些负责执行该计划的人会更容易做到这一点。目前，企业在事件响应测试中的主要问题在于，对计划落实中的压力测试存在不足，事件响应计划压力测试应涉及到公司每一个人，这样可以保持事件响应计划能够不断更新，并适应企业数字化业务发展的需求，同时还有助于发现并修复业务部门存在的安全风险隐患，因此每个利益相关者都应该参与到计划的评估测试过程中。

如果没有预算来执行，即便是最好的计划也会失败。由于零日（zero-day）事件的不可预知性，企业需要预留专项处置预算。如果企业是在突发性安全事件发生后的高压状态下做出预算决定，这时候往往难以保障决策的正确性与合理性。

可靠的安全事件响应计划还需要健康的安全习惯。定期开展安全状况审查将使事件响应工作更加有效，并有助于降低事故发生的风险。常见的审查工作应包括更改密码、更新和轮换密钥、审查访问级别以及检查旧员工账户或威胁者创建的账户。

安全事件响应的培训工作往往很容易被忽略。然而，在最关键的时候，缺乏培训可能会导致事件响应计划不能正确的执行和落地。企业应该将安全事件响应培训作为优先事项并相应地赋予预算。培训内容应该包括讨论各种被攻击的威胁场景和响应行动的练习。通过安全培训可以让每个人知道他们的职责是什么，还可以让团队成员之间的知识更好共享。此外，当新技术被整合应用到企业环境中时，也应该进行正式培训。

https://www.paloaltonetworks.com/blog/2022/09/improve-your-existing-incident-response-plan/