本節(jié)概述了基本響應(yīng)計(jì)劃的組成部分，分解了在實(shí)踐中應(yīng)如何管理事件。這將能夠制定自己的量身定制的計(jì)劃。

　　無(wú)論組織是 10 人還是 10,000 人，制定有關(guān)如何處理事件的指南都將幫助組織在真實(shí)事件的壓力下做出正確的決策。

　　花時(shí)間制定計(jì)劃將確定事件處理能力的差距。

　　制定事件響應(yīng)計(jì)劃是實(shí)現(xiàn)穩(wěn)健有效的事件管理和技術(shù)響應(yīng)能力的關(guān)鍵一步。

　　內(nèi)容

　　制定事件響應(yīng) （IR） 計(jì)劃

　　事件管理 （IM）

　　事件分類

　　事件分類

　　上報(bào)和決策

　　核心技術(shù)響應(yīng)

　　事后審查

　　劇本和監(jiān)管問(wèn)題

　　事件響應(yīng) （IR） - 制定您的計(jì)劃

　　您的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃應(yīng)該是事件處理過(guò)程的起點(diǎn)。

　　基本的事件響應(yīng)計(jì)劃應(yīng)包括：

　　主要聯(lián)系人

　　IR 團(tuán)隊(duì)/提供商、IT、高級(jí)管理人員、法律、公關(guān)、人力資源、保險(xiǎn)。 始終考慮人員無(wú)法聯(lián)系的風(fēng)險(xiǎn) - 理想情況下，包括至少 2 種聯(lián)系方式和 2 個(gè)或更多人（或組）詳細(xì)信息。

　　升級(jí)標(biāo)準(zhǔn)

　　隨著關(guān)鍵決策的過(guò)程

　　基本流程圖或流程

　　這應(yīng)該涵蓋整個(gè)事件生命周期

　　至少一個(gè)會(huì)議號(hào)

　　這應(yīng)該始終可用于緊急事件呼叫

　　有關(guān)法律或監(jiān)管要求的基本指南

　　何時(shí)尋求法律支持、人力資源或遵循仔細(xì)的證據(jù)收集指南

　　這是一個(gè)基本的計(jì)劃，討論的大多數(shù)主題和信息都應(yīng)記錄在組織的 IR 計(jì)劃中（或旁邊）。

　　增強(qiáng) IR 計(jì)劃，請(qǐng)注意包括：

　　在緊急情況下可以輕松使用的簡(jiǎn)單清單

　　用于記錄和跟蹤事件 以及事件后審查的表格，以確保捕獲所有關(guān)鍵要素

　　包括有關(guān) IR 階段的 更多詳細(xì)信息以及有關(guān)控制、分析、補(bǔ)救和從事件中恢復(fù)的更多技術(shù)指導(dǎo)

　　特定類型事件的劇本/指南

　　除了 IR 計(jì)劃外，應(yīng)該有相互關(guān)聯(lián)的業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)和通信計(jì)劃（包括內(nèi)部 和 外部通信）。

　　事件響應(yīng) - 高級(jí)流程

　　下圖提供了一個(gè)高級(jí)事件響應(yīng)流程的示例，其中的指導(dǎo)說(shuō)明為紅色。

　　事件管理 - 通訊、監(jiān)督、跟蹤和記錄

　　事件管理匯集了指導(dǎo)、通知和支持整體的協(xié)調(diào)功能響應(yīng)過(guò)程，包括多個(gè)方面，包括：

　　跟蹤、記錄、分配和關(guān)聯(lián)所有發(fā)現(xiàn)、任務(wù)和通信。請(qǐng)注意，在隨后可能由監(jiān)管機(jī)構(gòu)或法院審查的情況下，仔細(xì)跟蹤整個(gè)響應(yīng)非常重要。這包括真實(shí)或潛在的數(shù)據(jù)泄露和犯罪活動(dòng)。

　　安排定期更新會(huì)議或電話，以及相關(guān)團(tuán)隊(duì)的參與

　　將嚴(yán)重事件上報(bào)給高級(jí)管理層

　　確保適當(dāng)?shù)貍鬟_(dá)事件（向團(tuán)隊(duì)、更廣泛的業(yè)務(wù)、其他利益相關(guān)者）

　　確保涵蓋從最初發(fā)現(xiàn)到關(guān)閉的整個(gè)事件生命周期。

　　*在發(fā)生敏感事件或由于網(wǎng)絡(luò)/電子郵件/電話系統(tǒng)中斷而無(wú)法使用正常渠道時(shí)，請(qǐng)考慮安全或替代通信的選項(xiàng)。

　　清晰度至關(guān)重要

　　了解每個(gè)人的角色和職責(zé)對(duì)于確保事件得到管理和成功處理至關(guān)重要。

　　無(wú)論涉及誰(shuí)，都必須有一個(gè)協(xié)調(diào)的中心點(diǎn)，以確保所有調(diào)查結(jié)果相互關(guān)聯(lián)并計(jì)劃行動(dòng)。

　　創(chuàng)建網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊(duì)中顯示了一組事件響應(yīng)團(tuán)隊(duì)角色示例。

　　仔細(xì)記錄事件響應(yīng)、做出的決定、采取的行動(dòng)、捕獲（或丟失）的數(shù)據(jù)對(duì)于事后審查非常有用。如果需要向監(jiān)管機(jī)構(gòu)提供回應(yīng)證據(jù)，則尤其如此。

　　分類 - 了解事件的類型和嚴(yán)重性

　　了解事件的類型和嚴(yán)重性可以確定響應(yīng)有多緊急，還使組織能夠確保從一開(kāi)始就涉及正確的人員。

　　評(píng)估事件時(shí)需要考慮兩個(gè)方面：嚴(yán)重性和類別或類型。

　　通常根據(jù)以下情況考慮嚴(yán)重性：

　　1、可用性數(shù)據(jù)或系統(tǒng)的可用性是否受到影響？（即對(duì)業(yè)務(wù)產(chǎn)出有什么影響？）

　　2、保密敏感數(shù)據(jù)是否被訪問(wèn)、泄露或竊?。?/p>

　　3、正直數(shù)據(jù)或系統(tǒng)是否已被更改以致無(wú)法信任？

　　綜上所述，應(yīng)考慮問(wèn)題的規(guī)模、涉及的系統(tǒng)或數(shù)據(jù)類型以及事件的實(shí)際后果。

　　在量化影響時(shí)，擁有詳細(xì)說(shuō)明所有關(guān)鍵資產(chǎn)和數(shù)據(jù)的完整文檔會(huì)有所幫助。

　　嚴(yán)重性矩陣

　　為了幫助組織評(píng)估事件的嚴(yán)重性，請(qǐng)創(chuàng)建一個(gè)示例結(jié)果矩陣，按嚴(yán)重性進(jìn)行評(píng)級(jí)。這些將有助于了解事件響應(yīng)的嚴(yán)重程度、需要參與的人員以及響應(yīng)是否需要優(yōu)先于其他活動(dòng)。

　　下面是一個(gè)示例嚴(yán)重性矩陣。應(yīng)該仔細(xì)考慮什么對(duì)業(yè)務(wù)最重要，并根據(jù)組織定制示例列：

　　嚴(yán)重性例子

　　危急

　　超過(guò) 80% 的員工（或幾個(gè)關(guān)鍵員工/團(tuán)隊(duì)）無(wú)法工作

　　沒(méi)有已知解決方案的關(guān)鍵系統(tǒng)離線

　　敏感客戶或個(gè)人數(shù)據(jù)的高風(fēng)險(xiǎn)/明確泄露

　　?[TBC] 的財(cái)務(wù)影響

　　嚴(yán)重的聲譽(yù)損害 - 可能會(huì)長(zhǎng)期影響業(yè)務(wù)

　　高的

　　50% 的員工無(wú)法工作

　　泄露個(gè)人或敏感數(shù)據(jù)的風(fēng)險(xiǎn)

　　非關(guān)鍵系統(tǒng)受到影響，或關(guān)鍵系統(tǒng)受到已知（快速）解決方案的影響

　　?[TBC] 的財(cái)務(wù)影響

　　潛在的嚴(yán)重聲譽(yù)損害

　　中等的

　　20% 的員工無(wú)法工作

　　可能泄露少量非敏感數(shù)據(jù)

　　聲譽(yù)風(fēng)險(xiǎn)低

　　少數(shù)非關(guān)鍵系統(tǒng)受到已知分辨率的影響

　　低的

　　影響最小（如果有的話）

　　一兩臺(tái)非敏感/非關(guān)鍵機(jī)器受影響

　　<10% 的非關(guān)鍵員工暫時(shí)受到影響（短期）

　　事件的分類

　　應(yīng)該確定面臨的事件類型。一些例子包括：

　　惡意代碼：網(wǎng)絡(luò)上的惡意軟件感染，包括勒索軟件

　　拒絕服務(wù)：通常會(huì)導(dǎo)致網(wǎng)站大量流量癱瘓，可能適用于電話線、其他面向 Web 的系統(tǒng)，在某些情況下也適用于內(nèi)部系統(tǒng)。

　　網(wǎng)絡(luò)釣魚(yú)：試圖說(shuō)服某人信任鏈接/附件的電子郵件。

　　未經(jīng)授權(quán)的訪問(wèn)：未經(jīng)授權(quán)的人（內(nèi)部或外部）訪問(wèn)系統(tǒng)、賬戶、數(shù)據(jù)——例如訪問(wèn)某人的電子郵件或帳戶。

　　內(nèi)部人員：?jiǎn)T工的惡意或意外行為導(dǎo)致安全事件。

　　數(shù)據(jù)泄露：丟失/被盜的設(shè)備或硬拷貝文件、未經(jīng)授權(quán)的訪問(wèn)或從網(wǎng)絡(luò)中提取數(shù)據(jù)（通常與上述一些相關(guān)聯(lián)）。

　　有針對(duì)性的攻擊：專門(mén)針對(duì)企業(yè)的攻擊 - 通常是由老練的攻擊者發(fā)起的（通常包括上述幾個(gè)類別）。

　　類別矩陣

　　與嚴(yán)重性一樣，創(chuàng)建不同類別的矩陣非常有用。

　　可以通過(guò)在每個(gè)類別旁邊添加不同嚴(yán)重性事件的示例來(lái)增強(qiáng)這一點(diǎn)。這將有助于指導(dǎo)和告知回應(yīng)。

　　圖片

　　上報(bào) - 決策和權(quán)力

　　升級(jí)

　　通常，矩陣用于確定事件的嚴(yán)重性或優(yōu)先級(jí)。嚴(yán)重性級(jí)別將告知需要多快處理事件以及可能需要將其上報(bào)給誰(shuí)。

　　例如，一個(gè)高危或危急的事件很可能總是需要上報(bào)到 CIO 或董事會(huì)級(jí)別。低優(yōu)先級(jí)事件很可能由 IT 安全團(tuán)隊(duì)單獨(dú)處理。應(yīng)該記錄上報(bào)聯(lián)系人是誰(shuí)，以及他們的聯(lián)系方式（包括非工作時(shí)間）以及上報(bào)需要多快發(fā)生。

　　當(dāng)局

　　升級(jí)到的人必須有權(quán)做出關(guān)鍵決定。例如，當(dāng)決策可能導(dǎo)致重大業(yè)務(wù)影響時(shí)，例如使關(guān)鍵服務(wù)或系統(tǒng)脫機(jī)。

　　確定有權(quán)（或擁有授權(quán)）做出此類決定的人員，并確保上報(bào)流程酌情包括這些關(guān)鍵人員。如果主要聯(lián)系人不可用，考慮代理和使其他人能夠做出決定的流程也很重要。

　　除了通用指南之外，確定技術(shù)團(tuán)隊(duì)?wèi)?yīng)根據(jù)最高業(yè)務(wù)風(fēng)險(xiǎn)自主行動(dòng)的特定情況以及早期采取遏制措施可能會(huì)減少特定事件的影響的特定情況可能很有用。

　　核心響應(yīng) - 事件響應(yīng)周期

　　技術(shù)響應(yīng)能力中詳細(xì)考慮了分析、遏制、修復(fù)和恢復(fù)四個(gè)核心響應(yīng)階段。

　　但是，此處提供了每個(gè)階段的簡(jiǎn)要說(shuō)明。

　　分析

　　遏制/緩解

　　修復(fù)/根除

　　恢復(fù)

　　在整個(gè)響應(yīng)過(guò)程中，應(yīng)跟蹤所有任務(wù)和發(fā)現(xiàn)。調(diào)查結(jié)果和分析應(yīng)該相互關(guān)聯(lián)，重新確定響應(yīng)行動(dòng)的優(yōu)先級(jí)。

　　在某些情況下，響應(yīng)需要升級(jí)或降級(jí)。

　　事件后審查和關(guān)閉 - 從事件中學(xué)習(xí)

　　事后審查應(yīng)包括：

　　事件本身的教訓(xùn)

　　是否有安全改進(jìn)可以防止事件發(fā)生或啟用早期檢測(cè)？

　　考慮可以防止或檢測(cè)到此事件的戰(zhàn)術(shù)修復(fù)以及可能只能在多個(gè)事件中識(shí)別的戰(zhàn)略解決方案。例如，無(wú)效的治理流程導(dǎo)致通過(guò)以前未記錄的、面向互聯(lián)網(wǎng)的資產(chǎn)進(jìn)行多次入侵。

　　特別是，是否有任何信息對(duì)您的回答有很大幫助，但很難或不可能獲得？制定計(jì)劃，在未來(lái)發(fā)生任何攻擊之前收集這些數(shù)據(jù)。

　　回應(yīng)的教訓(xùn)

　　響應(yīng)是否成功且有效？

　　有沒(méi)有可以更好地處理的元素？

　　是否有可能有用但不可用的數(shù)據(jù)（例如，正確的日志，或在響應(yīng)早期被覆蓋的內(nèi)容？）。保留響應(yīng)期間活動(dòng)的記錄將有助于此審查。

　　問(wèn)題

　　應(yīng)該跨人員、流程和技術(shù)能力考慮這些問(wèn)題。

　　例如：

　　是否有相關(guān)數(shù)據(jù)和工具可用于進(jìn)行分析？

　　流程和溝通是否運(yùn)作良好？

　　是否有合適的人參與并有權(quán)做出必要的決定？

　　劇本

　　劇本（或運(yùn)行手冊(cè)）是詳細(xì)的響應(yīng)計(jì)劃，通常側(cè)重于特定的事件類型。

　　典型的劇本示例包括“惡意軟件感染”、“網(wǎng)絡(luò)釣魚(yú)電子郵件”、“數(shù)據(jù)泄露”等。

　　我們建議從前 3-5 種最有可能和高風(fēng)險(xiǎn)的事件類型開(kāi)始。要確定這些是什么，請(qǐng)查看之前影響組織的事件，并利用與您所在行業(yè)和所在國(guó)家/地區(qū)相關(guān)的威脅情報(bào)和一般網(wǎng)絡(luò)安全新聞。

　　還應(yīng)該考慮那些適用于全球的威脅，例如主要的勒索軟件攻擊。

　　至少，應(yīng)該記錄一組簡(jiǎn)單的說(shuō)明，這些說(shuō)明至少涵蓋每個(gè)事件的前幾個(gè)小時(shí)，因?yàn)檫@些可能是最關(guān)鍵和時(shí)間緊迫的。

　　手冊(cè)說(shuō)明應(yīng)包括：

　　與誰(shuí)聯(lián)系 - 技術(shù)團(tuán)隊(duì)、供應(yīng)商、高級(jí)管理人員，以及在需要時(shí)何時(shí)與法律、人力資源、公關(guān)聯(lián)系

　　如何理解/分類事件（與此類事件相關(guān)的細(xì)節(jié)）

　　減少影響/防止進(jìn)一步影響的指南 - 特定類型的遏制或緩解行動(dòng)

　　必要時(shí)保留證據(jù)或數(shù)據(jù)的步驟

　　增強(qiáng)的劇本

　　還可以包括更多的事件類型和額外的指導(dǎo)階段。例如，關(guān)于分析、如何完全補(bǔ)救和從事件中恢復(fù)、如何以及何時(shí)關(guān)閉以及如何執(zhí)行事件后審查的指導(dǎo)。

　　應(yīng)該考慮法律、媒體和監(jiān)管方面的問(wèn)題?；蛘?，IR 團(tuán)隊(duì)的劇本可能只包含有關(guān)何時(shí)與這些團(tuán)隊(duì)合作的指導(dǎo)，他們可能在這方面有自己的詳細(xì)指導(dǎo)。

　　如果合適，還可以在事件管理和編排系統(tǒng)中實(shí)施和嵌入劇本。

　　法律和監(jiān)管要求

　　無(wú)論業(yè)務(wù)類型如何，位于英國(guó)或歐盟或在英國(guó)或歐盟開(kāi)展業(yè)務(wù)，都需要遵守GDPR和DPA法規(guī)。在中國(guó)，則需要遵守《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)。

　　幾乎所有組織都將保存員工及其客戶的個(gè)人數(shù)據(jù)。該行業(yè)可能還有特定的監(jiān)管要求，并且可能存在基于任何合同協(xié)議的特定客戶報(bào)告要求。

　　這方面的最低準(zhǔn)備工作應(yīng)包括參與法律咨詢和記錄：

　　根據(jù)企業(yè)持有的數(shù)據(jù)類型和數(shù)量（包括供應(yīng)商持有的任何數(shù)據(jù)），什么構(gòu)成可報(bào)告事件

　　何時(shí)以及如何獲得法律支持

　　需要額外的步驟。例如，保存證據(jù)或記錄所采取的行動(dòng)

　　為了進(jìn)一步改善這一點(diǎn)，還應(yīng)考慮以下幾點(diǎn)：

　　創(chuàng)建可用于任何監(jiān)管報(bào)告的表格

　　舉辦研討會(huì)，重點(diǎn)關(guān)注援引法律/監(jiān)管要求的場(chǎng)景，并演練適當(dāng)?shù)牟襟E

　　執(zhí)法和取證

　　如果決定進(jìn)行任何法律訴訟（例如起訴犯罪分子），則還需要聘請(qǐng)相關(guān)執(zhí)法機(jī)構(gòu)。這（以及任何民事案件）可能需要謹(jǐn)慎處理證據(jù)。