事件響應計劃成功九步

事件響應(IR)計劃用於測試公司響應安全事件的能力。最終目標，是在縮減修復時間及成本的同時控制住情況，限制對公司造成的傷害。

然而不幸的是，大多數IR計劃都沒能實現承諾。最近的調查顯示，1/3的公司甚至都沒有IR計劃；而在有IR計劃的公司中，IR計劃往往十分簡陋，僅有個基本框架，且甚少涉及除信息安全和IT團隊以外的其他業務線。很多IR計劃還基本未經測試和審查，因而在安全事件降臨時往往達不到預期效果。

想要切實可行的事件響應(IR)計劃，不妨遵循以下九步。

1. 處理業務問題並分配角色

如上所述，有IR計劃的公司太少。即便有個IR計劃，最好的那些計劃都可能會缺乏關鍵信息，或沒納入合適的人。

事實上，IR文檔往往「過時」且「籠統」，「遭遇危機時無法指導具體行動」。這意味著，應從基礎開始實現計劃，規划出正確的架構，併合理安排員工角色。

首先，在開發過程早期，公司企業應將擁有並維護IR文檔的人納入進來。這有助於項目從專項IR計劃轉向常規業務實踐。開發其他關鍵組件，比如事件分類系統（幫助攻擊識別和修復）和數據分類框架，同樣重要。

最關鍵的是，這些計劃真正吃透了公司業務，描清了特定員工應扮演的角色。有人建議，應讓一名高管擔負起在公司各部門實現該計劃的責任，而且各部門的地理位置也不能忽視。

IR計劃必須貼合關鍵業務、公司文化、當前事件響應方式，及改變響應以適應未來發展的方式。

——普華永道網路安全業務負責人 斯洛納·門克斯

定義清晰的角色和責任是關鍵。確保人員都經過良好培訓，可以有效履行這些角色職能和責任非常重要。

2. 確認相關業務部門並讓他們參與進來

與大多數安全問題的根源一樣，未經測試的脆弱IR計劃，往往是因為仍舊以單獨的IT和信息安全部門全權負責而失敗。訓練有素的IR計劃需要業務部門間的合作，因為響應數據泄露或安全事件需要同等級的通信和業務協作。

例如，零售商遭到入侵遺失了信用卡信息，便需要公共關係(PR)部門披露事件，需要Web開發人員找尋並修復軟體缺陷，需要運營部門檢查服務水平協議(SLA)，需要市場部和客戶支持部門。

建立良好IR計劃的最佳方式，是在制定過程中引入利益相關者，確保在公司範圍內獲得最大的認可。RACI表有助於責任分配。

——思科事件響應服務主管 肖恩·梅森

於是，到底哪些人應該牽涉進來呢？除了常規的信息安全團隊和其他支持性IT職能部門，一份各部門的細目清單應成為IR計劃的一部分。高管層、關鍵業務團隊、研發/業務持續性、情報團隊、人力資源、法律、公共關係、執法、外部IR團隊和廠商都是可以酌情納入的。

業務線必須參與到計划過程中。舉個例子，儘管IT和法律可能是一致的，但業務功能擁有者或許不同意某項行動，或者可能看到其他需要被處理的負面影響。在業務層級擁有精準洞見，對規劃一個有效且全面的IR計劃特別重要。

3. 確定KPI以衡量事件

一個好的IR計劃很可能是主觀的，因而普遍不太清楚其有用程度——除非有明確的關鍵績效指標(KPI)定義什麼才是成功的構成因素。專家認為，這些KPI應既定性又定量。對於前者，可包含檢測時間、事件報告(注意：2018年5月即將實行的GDPR規定了72小時報告窗口)、事件分類和調查。定量方面，KPI可包含誤報數量、攻擊本質(惡意軟體還是非惡意軟體)、識別出事件的安全工具等。

IR人員不應該恐懼KPI數據。它們只是對管理的衡量。理解了它們的效用，你才能與高管無礙溝通。公司用KPI衡量績效和響應時間，選擇一套定義良好的KPI可使團隊申請到更多資源，獲得公司的更多支持。

4. 測試，測試，再測試

事件響應中一個最大的問題在於，儘管公司企業確實進行常規紅隊動作，對IR計劃的壓力測試卻往往不足。IR計劃壓力測試應涉及到公司每一個人，最好還模擬出安全事件發生狀態。但實際上，有人說，公司只是有時候知道該測試應該是什麼樣子的。

執行這些測試可以保持IR計劃不斷更新，適應現代社會的需求，同時還特別有助於發現並修復業務線中的薄弱環節。最終，影響到安全預算的投入方向。

認識到有很多公司僅僅創建但不測試IR計劃很重要。測試有可能成為後勤噩夢，往往需要一整天，甚至很多天。IR計劃測試最大的障礙，與高管的時間、協調和承諾有關。測試還需要高管商討那些日常運營未必受影響而被認為不緊急的事項。

5. 經常審查計劃

IR計劃必須定期修訂，尤其是在公司不斷成長的情況下。IR計劃須足夠健壯，要能提供極好的操作框架，同時還需足夠靈活，幾乎可以處理所有面臨的情況。靈活性與IR計劃更新容易程度相關，應經常審查並更新計劃。

6. 定義事件

與KPI緊密相關的，是事件定義——確定哪些是事件而哪些不是。這麼做，可以找出哪些東西必須處理，而哪些可以無視，確保你的安全團隊專心處理最嚴重的問題。

比如說，攻擊嘗試是事件嗎？或者攻擊者成功侵入了才值得響應？一旦定義好，公司企業就可通過發現並記錄影響到當前安全狀態的威脅、風險和潛在失敗，來執行事件威脅分析。

美國國家標準與技術局(NIST)的事件拓撲學，將事件粗略分類為未授權訪問、惡意代碼、拒絕服務和不當使用，可將之作為一份有用的指南。

7. 組建由IR分析師領導的團隊

事件響應團隊分析安全問題與威脅情報報告，制定出公司的事件響應策略。事件響應團隊的類型很多，可以是內部的、外部的，或者內外兼容的。

有人認為，儘管該過程必須涉及各方利益相關者、IT團隊內部及外部人士(包括主要調查人員和IT主管)，該過程十分依賴有經驗的滲透測試員和IR領導者，卻依然是不爭的事實。

通常，團隊包含各方面的技術人員，最重要的主管和網路取證人員。另外，好的團隊往往配備有內存分析專家、惡意軟體分析和威脅情報技術人員。

但是，別忽視了滲透測試和捕獵團隊，這樣攻擊和記錄分析技能才有用武之地。對IR團隊經理來說，能做到以上所有，且理解高管說話做事方式的老練IR分析師，才是最值得尋找並珍惜的人才。

8. 實施正確的工具

良好IR計劃將圍繞網路可見性、攻擊者檢測、恰當的警報、團隊安全通信，以及與公司其他部門的良好溝通展開。好的威脅情報有助對攻擊者活動的可見性與理解，良好溝通可使IR團隊向公司其他部門解釋安全事件以便推行修復。

9. 建立溝通策略

事件響應中任何時候都必不可少的就是溝通了，有一套通告第三方和內部團隊的溝通策略尤其重要。而對外，司法部門和潛在事件修復提供者也應被通告，僱員則是內部溝通的首要對象。他們應該知道事件響應計劃，接受響應流程培訓，能夠清楚了解自己的角色。