對于計算機安全事件響應（CSIRT）團隊來說，必須時刻準備好應對突發(fā)的網絡安全事件。在嚴重安全事件發(fā)生時，需要能夠第一時間制定應急處置方案，充分調動內外部團隊資源，并讓所有成員明確自己的任務。此刻，保持頭腦冷靜、行動周全對于成功處理安全事件至關重要，而如果陷入到焦慮不安的恐慌中，將會嚴重影響事件響應團隊做出正確的決策。

　　沒有組織想在安全事件發(fā)生時才被動響應，因此許多企業(yè)都已經制定了安全事件響應的策略和計劃，但隨著網絡威脅形勢的不斷變化，需要定期對其進行調整和優(yōu)化改進。本文基于企業(yè)安全事件響應的最佳實踐經驗，總結了幫助企業(yè)提升安全事件響應能力的7點建議。

　　01 建立定期的事件響應溝通機制

　　當網絡安全事件發(fā)生時，不知道從何處入手可能會加劇攻擊的損害后果。當需要制定或啟動計劃時，每個參與人員都必須準確地知道自己該做什么。為確保每個人都能保持同步，使用清晰的溝通機制，提高每個安全事件響應團隊成員對自身角色和責任的認識至關重要。當然，這還遠遠不夠，為了讓安全事件響應計劃能夠順利進行，每個人還必須知道其他人都在做什么，以及誰是每個工作小組的關鍵聯系人。同樣，保持積極的響應態(tài)度也很重要。安全事件響應中隨時會面臨挫折和打擊，在此過程中，需要積極調動并保持每個參與者的積極性。

　　02 將事件響應計劃落實到執(zhí)行手冊

　　許多企業(yè)都已經制定了安全事件響應計劃，但很多時候，他們并不知道如何處理它。針對威脅的事件響應手冊對于有效的執(zhí)行安全事件響應計劃至關重要。該手冊不一定要正式發(fā)布，但至少應該包含一個易于訪問的文檔，并且可以在事件響應混亂期提供指導。

　　當重大安全事件發(fā)生后的一個常見問題是，安全團隊知道他們的責任是什么，但不確定如何履行這些責任。安全事件響應執(zhí)行手冊可以提供具體的行動指導，它可以被認為是一套安全事件響應的標準操作程序（SOP）。

　　03 持續(xù)優(yōu)化安全事件響應計劃

　　安全事件響應計劃創(chuàng)建后，不代表可以一勞永逸了，應該定期進行評估和審核。這一點在當今技術和相應的信息系統(tǒng)快速發(fā)展和變化的環(huán)境中尤為重要。安全事件響應計劃必須定期修訂，尤其是在公司不斷成長的情況下。安全事件響應計劃需足夠健壯，同時還需足夠靈活，企業(yè)應經常審查并更新事件響應計劃。

　　04 主動測試響應計劃的有效性

　　企業(yè)不能在安全事件發(fā)生時才發(fā)現目前的響應計劃缺陷，因此必須主動測試計劃的有效性。更重要的是，如果有足夠的練習，那些負責執(zhí)行該計劃的人會更容易做到這一點。目前，企業(yè)在事件響應測試中的主要問題在于，對計劃落實中的壓力測試存在不足，事件響應計劃壓力測試應涉及到公司每一個人，這樣可以保持事件響應計劃能夠不斷更新，并適應企業(yè)數字化業(yè)務發(fā)展的需求，同時還有助于發(fā)現并修復業(yè)務部門存在的安全風險隱患，因此每個利益相關者都應該參與到計劃的評估測試過程中。

　　05 為零日事件設置專項預算

　　如果沒有預算來執(zhí)行，即便是最好的計劃也會失敗。由于零日（zero-day）事件的不可預知性，企業(yè)需要預留專項處置預算。如果企業(yè)是在突發(fā)性安全事件發(fā)生后的高壓狀態(tài)下做出預算決定，這時候往往難以保障決策的正確性與合理性。

　　06 定期開展企業(yè)安全狀況審查

　　可靠的安全事件響應計劃還需要健康的安全習慣。定期開展安全狀況審查將使事件響應工作更加有效，并有助于降低事故發(fā)生的風險。常見的審查工作應包括更改密碼、更新和輪換密鑰、審查訪問級別以及檢查舊員工賬戶或威脅者創(chuàng)建的賬戶。

　　07 更加重視安全事件響應培訓

　　安全事件響應的培訓工作往往很容易被忽略。然而，在最關鍵的時候，缺乏培訓可能會導致事件響應計劃不能正確的執(zhí)行和落地。企業(yè)應該將安全事件響應培訓作為優(yōu)先事項并相應地賦予預算。培訓內容應該包括討論各種被攻擊的威脅場景和響應行動的練習。通過安全培訓可以讓每個人知道他們的職責是什么，還可以讓團隊成員之間的知識更好共享。此外，當新技術被整合應用到企業(yè)環(huán)境中時，也應該進行正式培訓。

更多信息可以來這里獲取==>>電子技術應用-AET<<