本節(jié)概述了基本響應(yīng)計劃的組成部分，分解了在實踐中應(yīng)如何管理事件。這將能夠制定自己的量身定制的計劃。

　　無論組織是 10 人還是 10,000 人，制定有關(guān)如何處理事件的指南都將幫助組織在真實事件的壓力下做出正確的決策。

　　花時間制定計劃將確定事件處理能力的差距。

　　制定事件響應(yīng)計劃是實現(xiàn)穩(wěn)健有效的事件管理和技術(shù)響應(yīng)能力的關(guān)鍵一步。

　　內(nèi)容

　　制定事件響應(yīng) （IR） 計劃

　　事件管理 （IM）

　　事件分類

　　事件分類

　　上報和決策

　　核心技術(shù)響應(yīng)

　　事后審查

　　劇本和監(jiān)管問題

　　事件響應(yīng) （IR） - 制定您的計劃

　　您的網(wǎng)絡(luò)安全事件響應(yīng)計劃應(yīng)該是事件處理過程的起點(diǎn)。

　　基本的事件響應(yīng)計劃應(yīng)包括：

　　主要聯(lián)系人

　　IR 團(tuán)隊/提供商、IT、高級管理人員、法律、公關(guān)、人力資源、保險。 始終考慮人員無法聯(lián)系的風(fēng)險 - 理想情況下，包括至少 2 種聯(lián)系方式和 2 個或更多人（或組）詳細(xì)信息。

　　升級標(biāo)準(zhǔn)

　　隨著關(guān)鍵決策的過程

　　基本流程圖或流程

　　這應(yīng)該涵蓋整個事件生命周期

　　至少一個會議號

　　這應(yīng)該始終可用于緊急事件呼叫

　　有關(guān)法律或監(jiān)管要求的基本指南

　　何時尋求法律支持、人力資源或遵循仔細(xì)的證據(jù)收集指南

　　這是一個基本的計劃，討論的大多數(shù)主題和信息都應(yīng)記錄在組織的 IR 計劃中（或旁邊）。

　　增強(qiáng) IR 計劃，請注意包括：

　　在緊急情況下可以輕松使用的簡單清單

　　用于記錄和跟蹤事件 以及事件后審查的表格，以確保捕獲所有關(guān)鍵要素

　　包括有關(guān) IR 階段的 更多詳細(xì)信息以及有關(guān)控制、分析、補(bǔ)救和從事件中恢復(fù)的更多技術(shù)指導(dǎo)

　　特定類型事件的劇本/指南

　　除了 IR 計劃外，應(yīng)該有相互關(guān)聯(lián)的業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)和通信計劃（包括內(nèi)部 和 外部通信）。

　　事件響應(yīng) - 高級流程

　　下圖提供了一個高級事件響應(yīng)流程的示例，其中的指導(dǎo)說明為紅色。

　　事件管理 - 通訊、監(jiān)督、跟蹤和記錄

　　事件管理匯集了指導(dǎo)、通知和支持整體的協(xié)調(diào)功能響應(yīng)過程，包括多個方面，包括：

　　跟蹤、記錄、分配和關(guān)聯(lián)所有發(fā)現(xiàn)、任務(wù)和通信。請注意，在隨后可能由監(jiān)管機(jī)構(gòu)或法院審查的情況下，仔細(xì)跟蹤整個響應(yīng)非常重要。這包括真實或潛在的數(shù)據(jù)泄露和犯罪活動。

　　安排定期更新會議或電話，以及相關(guān)團(tuán)隊的參與

　　將嚴(yán)重事件上報給高級管理層

　　確保適當(dāng)?shù)貍鬟_(dá)事件（向團(tuán)隊、更廣泛的業(yè)務(wù)、其他利益相關(guān)者）

　　確保涵蓋從最初發(fā)現(xiàn)到關(guān)閉的整個事件生命周期。

　　*在發(fā)生敏感事件或由于網(wǎng)絡(luò)/電子郵件/電話系統(tǒng)中斷而無法使用正常渠道時，請考慮安全或替代通信的選項。

　　清晰度至關(guān)重要

　　了解每個人的角色和職責(zé)對于確保事件得到管理和成功處理至關(guān)重要。

　　無論涉及誰，都必須有一個協(xié)調(diào)的中心點(diǎn)，以確保所有調(diào)查結(jié)果相互關(guān)聯(lián)并計劃行動。

　　創(chuàng)建網(wǎng)絡(luò)安全事件響應(yīng)團(tuán)隊中顯示了一組事件響應(yīng)團(tuán)隊角色示例。

　　仔細(xì)記錄事件響應(yīng)、做出的決定、采取的行動、捕獲（或丟失）的數(shù)據(jù)對于事后審查非常有用。如果需要向監(jiān)管機(jī)構(gòu)提供回應(yīng)證據(jù)，則尤其如此。

　　分類 - 了解事件的類型和嚴(yán)重性

　　了解事件的類型和嚴(yán)重性可以確定響應(yīng)有多緊急，還使組織能夠確保從一開始就涉及正確的人員。

　　評估事件時需要考慮兩個方面：嚴(yán)重性和類別或類型。

　　通常根據(jù)以下情況考慮嚴(yán)重性：

　　1、可用性數(shù)據(jù)或系統(tǒng)的可用性是否受到影響？（即對業(yè)務(wù)產(chǎn)出有什么影響？）

　　2、保密敏感數(shù)據(jù)是否被訪問、泄露或竊取？

　　3、正直數(shù)據(jù)或系統(tǒng)是否已被更改以致無法信任？

　　綜上所述，應(yīng)考慮問題的規(guī)模、涉及的系統(tǒng)或數(shù)據(jù)類型以及事件的實際后果。

　　在量化影響時，擁有詳細(xì)說明所有關(guān)鍵資產(chǎn)和數(shù)據(jù)的完整文檔會有所幫助。

　　嚴(yán)重性矩陣

　　為了幫助組織評估事件的嚴(yán)重性，請創(chuàng)建一個示例結(jié)果矩陣，按嚴(yán)重性進(jìn)行評級。這些將有助于了解事件響應(yīng)的嚴(yán)重程度、需要參與的人員以及響應(yīng)是否需要優(yōu)先于其他活動。

　　下面是一個示例嚴(yán)重性矩陣。應(yīng)該仔細(xì)考慮什么對業(yè)務(wù)最重要，并根據(jù)組織定制示例列：

　　嚴(yán)重性例子

　　危急

　　超過 80% 的員工（或幾個關(guān)鍵員工/團(tuán)隊）無法工作

　　沒有已知解決方案的關(guān)鍵系統(tǒng)離線

　　敏感客戶或個人數(shù)據(jù)的高風(fēng)險/明確泄露

　　?[TBC] 的財務(wù)影響

　　嚴(yán)重的聲譽(yù)損害 - 可能會長期影響業(yè)務(wù)

　　高的

　　50% 的員工無法工作

　　泄露個人或敏感數(shù)據(jù)的風(fēng)險

　　非關(guān)鍵系統(tǒng)受到影響，或關(guān)鍵系統(tǒng)受到已知（快速）解決方案的影響

　　?[TBC] 的財務(wù)影響

　　潛在的嚴(yán)重聲譽(yù)損害

　　中等的

　　20% 的員工無法工作

　　可能泄露少量非敏感數(shù)據(jù)

　　聲譽(yù)風(fēng)險低

　　少數(shù)非關(guān)鍵系統(tǒng)受到已知分辨率的影響

　　低的

　　影響最?。ㄈ绻械脑挘?/p>

　　一兩臺非敏感/非關(guān)鍵機(jī)器受影響

　　<10% 的非關(guān)鍵員工暫時受到影響（短期）

　　事件的分類

　　應(yīng)該確定面臨的事件類型。一些例子包括：

　　惡意代碼：網(wǎng)絡(luò)上的惡意軟件感染，包括勒索軟件

　　拒絕服務(wù)：通常會導(dǎo)致網(wǎng)站大量流量癱瘓，可能適用于電話線、其他面向 Web 的系統(tǒng)，在某些情況下也適用于內(nèi)部系統(tǒng)。

　　網(wǎng)絡(luò)釣魚：試圖說服某人信任鏈接/附件的電子郵件。

　　未經(jīng)授權(quán)的訪問：未經(jīng)授權(quán)的人（內(nèi)部或外部）訪問系統(tǒng)、賬戶、數(shù)據(jù)——例如訪問某人的電子郵件或帳戶。

　　內(nèi)部人員：員工的惡意或意外行為導(dǎo)致安全事件。

　　數(shù)據(jù)泄露：丟失/被盜的設(shè)備或硬拷貝文件、未經(jīng)授權(quán)的訪問或從網(wǎng)絡(luò)中提取數(shù)據(jù)（通常與上述一些相關(guān)聯(lián)）。

　　有針對性的攻擊：專門針對企業(yè)的攻擊 - 通常是由老練的攻擊者發(fā)起的（通常包括上述幾個類別）。

　　類別矩陣

　　與嚴(yán)重性一樣，創(chuàng)建不同類別的矩陣非常有用。

　　可以通過在每個類別旁邊添加不同嚴(yán)重性事件的示例來增強(qiáng)這一點(diǎn)。這將有助于指導(dǎo)和告知回應(yīng)。

　　圖片

　　上報 - 決策和權(quán)力

　　升級

　　通常，矩陣用于確定事件的嚴(yán)重性或優(yōu)先級。嚴(yán)重性級別將告知需要多快處理事件以及可能需要將其上報給誰。

　　例如，一個高?；蛭＜钡氖录芸赡芸偸切枰蠄蟮?CIO 或董事會級別。低優(yōu)先級事件很可能由 IT 安全團(tuán)隊單獨(dú)處理。應(yīng)該記錄上報聯(lián)系人是誰，以及他們的聯(lián)系方式（包括非工作時間）以及上報需要多快發(fā)生。

　　當(dāng)局

　　升級到的人必須有權(quán)做出關(guān)鍵決定。例如，當(dāng)決策可能導(dǎo)致重大業(yè)務(wù)影響時，例如使關(guān)鍵服務(wù)或系統(tǒng)脫機(jī)。

　　確定有權(quán)（或擁有授權(quán)）做出此類決定的人員，并確保上報流程酌情包括這些關(guān)鍵人員。如果主要聯(lián)系人不可用，考慮代理和使其他人能夠做出決定的流程也很重要。

　　除了通用指南之外，確定技術(shù)團(tuán)隊?wèi)?yīng)根據(jù)最高業(yè)務(wù)風(fēng)險自主行動的特定情況以及早期采取遏制措施可能會減少特定事件的影響的特定情況可能很有用。

　　核心響應(yīng) - 事件響應(yīng)周期

　　技術(shù)響應(yīng)能力中詳細(xì)考慮了分析、遏制、修復(fù)和恢復(fù)四個核心響應(yīng)階段。

　　但是，此處提供了每個階段的簡要說明。

　　分析

　　遏制/緩解

　　修復(fù)/根除

　　恢復(fù)

　　在整個響應(yīng)過程中，應(yīng)跟蹤所有任務(wù)和發(fā)現(xiàn)。調(diào)查結(jié)果和分析應(yīng)該相互關(guān)聯(lián)，重新確定響應(yīng)行動的優(yōu)先級。

　　在某些情況下，響應(yīng)需要升級或降級。

　　事件后審查和關(guān)閉 - 從事件中學(xué)習(xí)

　　事后審查應(yīng)包括：

　　事件本身的教訓(xùn)

　　是否有安全改進(jìn)可以防止事件發(fā)生或啟用早期檢測？

　　考慮可以防止或檢測到此事件的戰(zhàn)術(shù)修復(fù)以及可能只能在多個事件中識別的戰(zhàn)略解決方案。例如，無效的治理流程導(dǎo)致通過以前未記錄的、面向互聯(lián)網(wǎng)的資產(chǎn)進(jìn)行多次入侵。

　　特別是，是否有任何信息對您的回答有很大幫助，但很難或不可能獲得？制定計劃，在未來發(fā)生任何攻擊之前收集這些數(shù)據(jù)。

　　回應(yīng)的教訓(xùn)

　　響應(yīng)是否成功且有效？

　　有沒有可以更好地處理的元素？

　　是否有可能有用但不可用的數(shù)據(jù)（例如，正確的日志，或在響應(yīng)早期被覆蓋的內(nèi)容？）。保留響應(yīng)期間活動的記錄將有助于此審查。

　　問題

　　應(yīng)該跨人員、流程和技術(shù)能力考慮這些問題。

　　例如：

　　是否有相關(guān)數(shù)據(jù)和工具可用于進(jìn)行分析？

　　流程和溝通是否運(yùn)作良好？

　　是否有合適的人參與并有權(quán)做出必要的決定？

　　劇本

　　劇本（或運(yùn)行手冊）是詳細(xì)的響應(yīng)計劃，通常側(cè)重于特定的事件類型。

　　典型的劇本示例包括“惡意軟件感染”、“網(wǎng)絡(luò)釣魚電子郵件”、“數(shù)據(jù)泄露”等。

　　我們建議從前 3-5 種最有可能和高風(fēng)險的事件類型開始。要確定這些是什么，請查看之前影響組織的事件，并利用與您所在行業(yè)和所在國家/地區(qū)相關(guān)的威脅情報和一般網(wǎng)絡(luò)安全新聞。

　　還應(yīng)該考慮那些適用于全球的威脅，例如主要的勒索軟件攻擊。

　　至少，應(yīng)該記錄一組簡單的說明，這些說明至少涵蓋每個事件的前幾個小時，因為這些可能是最關(guān)鍵和時間緊迫的。

　　手冊說明應(yīng)包括：

　　與誰聯(lián)系 - 技術(shù)團(tuán)隊、供應(yīng)商、高級管理人員，以及在需要時何時與法律、人力資源、公關(guān)聯(lián)系

　　如何理解/分類事件（與此類事件相關(guān)的細(xì)節(jié)）

　　減少影響/防止進(jìn)一步影響的指南 - 特定類型的遏制或緩解行動

　　必要時保留證據(jù)或數(shù)據(jù)的步驟

　　增強(qiáng)的劇本

　　還可以包括更多的事件類型和額外的指導(dǎo)階段。例如，關(guān)于分析、如何完全補(bǔ)救和從事件中恢復(fù)、如何以及何時關(guān)閉以及如何執(zhí)行事件后審查的指導(dǎo)。

　　應(yīng)該考慮法律、媒體和監(jiān)管方面的問題?；蛘?，IR 團(tuán)隊的劇本可能只包含有關(guān)何時與這些團(tuán)隊合作的指導(dǎo)，他們可能在這方面有自己的詳細(xì)指導(dǎo)。

　　如果合適，還可以在事件管理和編排系統(tǒng)中實施和嵌入劇本。

　　法律和監(jiān)管要求

　　無論業(yè)務(wù)類型如何，位于英國或歐盟或在英國或歐盟開展業(yè)務(wù)，都需要遵守GDPR和DPA法規(guī)。在中國，則需要遵守《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)。

　　幾乎所有組織都將保存員工及其客戶的個人數(shù)據(jù)。該行業(yè)可能還有特定的監(jiān)管要求，并且可能存在基于任何合同協(xié)議的特定客戶報告要求。

　　這方面的最低準(zhǔn)備工作應(yīng)包括參與法律咨詢和記錄：

　　根據(jù)企業(yè)持有的數(shù)據(jù)類型和數(shù)量（包括供應(yīng)商持有的任何數(shù)據(jù)），什么構(gòu)成可報告事件

　　何時以及如何獲得法律支持

　　需要額外的步驟。例如，保存證據(jù)或記錄所采取的行動

　　為了進(jìn)一步改善這一點(diǎn)，還應(yīng)考慮以下幾點(diǎn)：

　　創(chuàng)建可用于任何監(jiān)管報告的表格

　　舉辦研討會，重點(diǎn)關(guān)注援引法律/監(jiān)管要求的場景，并演練適當(dāng)?shù)牟襟E

　　執(zhí)法和取證

　　如果決定進(jìn)行任何法律訴訟（例如起訴犯罪分子），則還需要聘請相關(guān)執(zhí)法機(jī)構(gòu)。這（以及任何民事案件）可能需要謹(jǐn)慎處理證據(jù)。