對于計算機安全事件響應(yīng)（CSIRT）團(tuán)隊來說，必須時刻準(zhǔn)備好應(yīng)對突發(fā)的網(wǎng)絡(luò)安全事件。在嚴(yán)重安全事件發(fā)生時，需要能夠第一時間制定應(yīng)急處置方案，充分調(diào)動內(nèi)外部團(tuán)隊資源，并讓所有成員明確自己的任務(wù)。此刻，保持頭腦冷靜、行動周全對于成功處理安全事件至關(guān)重要，而如果陷入到焦慮不安的恐慌中，將會嚴(yán)重影響事件響應(yīng)團(tuán)隊做出正確的決策。

　　沒有組織想在安全事件發(fā)生時才被動響應(yīng)，因此許多企業(yè)都已經(jīng)制定了安全事件響應(yīng)的策略和計劃，但隨著網(wǎng)絡(luò)威脅形勢的不斷變化，需要定期對其進(jìn)行調(diào)整和優(yōu)化改進(jìn)。本文基于企業(yè)安全事件響應(yīng)的最佳實踐經(jīng)驗，總結(jié)了幫助企業(yè)提升安全事件響應(yīng)能力的7點建議。

　　01 建立定期的事件響應(yīng)溝通機制

　　當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時，不知道從何處入手可能會加劇攻擊的損害后果。當(dāng)需要制定或啟動計劃時，每個參與人員都必須準(zhǔn)確地知道自己該做什么。為確保每個人都能保持同步，使用清晰的溝通機制，提高每個安全事件響應(yīng)團(tuán)隊成員對自身角色和責(zé)任的認(rèn)識至關(guān)重要。當(dāng)然，這還遠(yuǎn)遠(yuǎn)不夠，為了讓安全事件響應(yīng)計劃能夠順利進(jìn)行，每個人還必須知道其他人都在做什么，以及誰是每個工作小組的關(guān)鍵聯(lián)系人。同樣，保持積極的響應(yīng)態(tài)度也很重要。安全事件響應(yīng)中隨時會面臨挫折和打擊，在此過程中，需要積極調(diào)動并保持每個參與者的積極性。

　　02 將事件響應(yīng)計劃落實到執(zhí)行手冊

　　許多企業(yè)都已經(jīng)制定了安全事件響應(yīng)計劃，但很多時候，他們并不知道如何處理它。針對威脅的事件響應(yīng)手冊對于有效的執(zhí)行安全事件響應(yīng)計劃至關(guān)重要。該手冊不一定要正式發(fā)布，但至少應(yīng)該包含一個易于訪問的文檔，并且可以在事件響應(yīng)混亂期提供指導(dǎo)。

　　當(dāng)重大安全事件發(fā)生后的一個常見問題是，安全團(tuán)隊知道他們的責(zé)任是什么，但不確定如何履行這些責(zé)任。安全事件響應(yīng)執(zhí)行手冊可以提供具體的行動指導(dǎo)，它可以被認(rèn)為是一套安全事件響應(yīng)的標(biāo)準(zhǔn)操作程序（SOP）。

　　03 持續(xù)優(yōu)化安全事件響應(yīng)計劃

　　安全事件響應(yīng)計劃創(chuàng)建后，不代表可以一勞永逸了，應(yīng)該定期進(jìn)行評估和審核。這一點在當(dāng)今技術(shù)和相應(yīng)的信息系統(tǒng)快速發(fā)展和變化的環(huán)境中尤為重要。安全事件響應(yīng)計劃必須定期修訂，尤其是在公司不斷成長的情況下。安全事件響應(yīng)計劃需足夠健壯，同時還需足夠靈活，企業(yè)應(yīng)經(jīng)常審查并更新事件響應(yīng)計劃。

　　04 主動測試響應(yīng)計劃的有效性

　　企業(yè)不能在安全事件發(fā)生時才發(fā)現(xiàn)目前的響應(yīng)計劃缺陷，因此必須主動測試計劃的有效性。更重要的是，如果有足夠的練習(xí)，那些負(fù)責(zé)執(zhí)行該計劃的人會更容易做到這一點。目前，企業(yè)在事件響應(yīng)測試中的主要問題在于，對計劃落實中的壓力測試存在不足，事件響應(yīng)計劃壓力測試應(yīng)涉及到公司每一個人，這樣可以保持事件響應(yīng)計劃能夠不斷更新，并適應(yīng)企業(yè)數(shù)字化業(yè)務(wù)發(fā)展的需求，同時還有助于發(fā)現(xiàn)并修復(fù)業(yè)務(wù)部門存在的安全風(fēng)險隱患，因此每個利益相關(guān)者都應(yīng)該參與到計劃的評估測試過程中。

　　05 為零日事件設(shè)置專項預(yù)算

　　如果沒有預(yù)算來執(zhí)行，即便是最好的計劃也會失敗。由于零日（zero-day）事件的不可預(yù)知性，企業(yè)需要預(yù)留專項處置預(yù)算。如果企業(yè)是在突發(fā)性安全事件發(fā)生后的高壓狀態(tài)下做出預(yù)算決定，這時候往往難以保障決策的正確性與合理性。

　　06 定期開展企業(yè)安全狀況審查

　　可靠的安全事件響應(yīng)計劃還需要健康的安全習(xí)慣。定期開展安全狀況審查將使事件響應(yīng)工作更加有效，并有助于降低事故發(fā)生的風(fēng)險。常見的審查工作應(yīng)包括更改密碼、更新和輪換密鑰、審查訪問級別以及檢查舊員工賬戶或威脅者創(chuàng)建的賬戶。

　　07 更加重視安全事件響應(yīng)培訓(xùn)

　　安全事件響應(yīng)的培訓(xùn)工作往往很容易被忽略。然而，在最關(guān)鍵的時候，缺乏培訓(xùn)可能會導(dǎo)致事件響應(yīng)計劃不能正確的執(zhí)行和落地。企業(yè)應(yīng)該將安全事件響應(yīng)培訓(xùn)作為優(yōu)先事項并相應(yīng)地賦予預(yù)算。培訓(xùn)內(nèi)容應(yīng)該包括討論各種被攻擊的威脅場景和響應(yīng)行動的練習(xí)。通過安全培訓(xùn)可以讓每個人知道他們的職責(zé)是什么，還可以讓團(tuán)隊成員之間的知識更好共享。此外，當(dāng)新技術(shù)被整合應(yīng)用到企業(yè)環(huán)境中時，也應(yīng)該進(jìn)行正式培訓(xùn)。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<