对于计算机安全事件响应(CSIRT)团队来说,他们必须时刻准备应对突发的网络安全事件。当发生严重安全事件时,要能够第一时间制定应急预案,充分调动团队内外部资源,让所有成员明确自己的任务。此时,保持冷静的头脑和深思熟虑的行动对于成功处理安全事件至关重要,而陷入焦急的恐慌会严重阻碍事件响应团队做出正确的决策。没有哪个组织愿意在安全事件发生时被动应对,因此很多企业已经制定了安全事件响应策略和计划,但随着网络威胁格局的不断变化,需要定期进行调整和优化。本文基于企业安全事件响应的最佳实践经验,总结出7条建议,帮助企业提升安全事件响应能力。1、建立定期的事件响应沟通机制当网络安全事件发生时,无从下手可能会加剧攻击的危害。当需要制定或启动计划时,所有相关人员都必须确切地知道该做什么。为确保每个人都在同一页面上,使用清晰的沟通机制来提高每个安全事件响应团队成员的角色和职责的意识至关重要。当然,这还不够。为了使安全事件响应计划发挥作用,每个人还必须知道其他人在做什么以及每个工作组的主要联系人是谁。同样,保持积极响应的态度也很重要。面对安全事件应对中随时可能出现的挫折和打击,过程中需要积极调动,保持每个参与者的积极性。2、将事件响应计划落实到执行手册中很多企业都制定了安全事件响应计划,但很多时候,却不知道该如何处理。针对威胁的事件响应手册对于有效执行安全事件响应计划至关重要。该手册不必正式发布,但至少应包含易于访问的文档,并可以在事件响应混乱期间提供指导。发生重大安全事件时的一个常见问题是,安全团队知道他们的职责是什么,但不确定如何履行这些职责。安全事件响应执行手册可以提供具体的行动指导,可视为一套安全事件响应的标准操作规程(SOP)。3、持续优化安全事件响应计划安全事件响应计划制定后,并不意味着可以一劳永逸,应定期进行评估和审查。这在当今技术和相应信息系统快速发展和变化的环境中尤为重要。必须定期修订安全事件响应计划,尤其是随着公司的发展。安全事件响应计划需要稳健且足够灵活,以便经常审查和更新。4.主动测试响应计划的有效性企业在安全事件发生时无法发现当前响应计划的缺陷,因此必须主动测试计划的有效性。更重要的是,通过足够的练习,那些负责执行该程序的人会更容易做到这一点。目前企业在事件响应测试中存在的主要问题是在预案执行中压力测试不够充分。事件响应计划压力测试应该让公司的每个人都参与进来,让事件响应计划不断更新,适应企业数字化业务发展的需要,同时也有助于发现和修复业务中的安全隐患部门,因此每个利益相关者都应该参与计划的评估和测试过程。5.为零日事件设置专门的预算如果没有预算来执行,即使是最好的计划也会失败。由于零日事件的不可预测性,企业需要预留专项处置预算。如果企业在突发安全事件后,在高压下做出预算决策,往往难以保证决策的正确性和合理性。6.定期进行企业安全态势审查可靠的安全事件响应计划还需要健康的安全习惯。定期的安全态势审查将使事件响应更加有效,并有助于降低事件风险。常见的审计工作应包括更改密码、更新和轮换密钥、审查访问级别以及检查旧员工帐户或威胁参与者创建的帐户。7.更加重视安全事件响应培训。安全事件响应培训往往很容易被忽视。但是,缺乏培训可能会阻止事件响应计划在最重要的时候得到正确执行和实施。组织应将安全事件响应培训作为优先事项并相应地进行预算。培训应包括讨论各种攻击威胁情景和响应行动的练习。通过安全培训,每个人都知道自己的职责是什么,也可以让团队成员之间更好地分享知识。此外,当新技术被集成到企业环境中时,也应该进行正式培训。
