什么是事件响应计划？

你永远无法预知，你的组织是否会在明天遭遇勒索软件攻击。如果真的发生了这种情况，那么恐慌就是你的敌人，而速度则可以成为你的盟友。所谓“小规模的运营中断”与“灾难性事件”之间的区别，往往就取决于一个人：那就是准备程度。一个结构良好的事件应对计划，能够确保团队在最紧张的时刻也能保持冷静，不会陷入混乱状态。

事件响应计划是一种书面文件，它提供了关于如何检测、应对和恢复网络安全事件的指导。该计划明确了各角色的职责以及相应的操作流程，从而帮助组织能够妥善管理安全事件的整个过程，从最初的警报通知到事后分析阶段。

为什么事件应对计划很重要呢？

安全工具可以检测各种异常情况，但真正应对这些情况的还是人。为了解决问题，你需要有一个详细的检查清单。

如果没有完善的事件应对计划，组织往往会陷入恐慌状态。决策往往基于情感而非逻辑来做出。那些出于好意但操作失误的技术人员，会过快地重启服务器，导致证据被毁。沟通也变得混乱不堪，而法律团队则是通过社交媒体得知了这一漏洞，而不是从CISO那里得到消息。

像PCI DSS和HIPAA安全规则这样的合规要求，都要求企业必须制定有效的事件应对政策和程序。一份详细的事件应对计划，能够显示出企业对监管机构和客户所负的责任与重视程度。

最后，制定事件应对计划还能节省成本。威胁行为者在你的系统中停留的时间越长，清理工作所需的成本就会越高。一个有效的事件响应流程能够降低“响应时间”，从而有助于减少损失，并更快地恢复业务运营。

如何制定事件应对计划

首先，这是一个过程。这个过程需要信息技术部门、法律部门、人力资源部门和公关部门的参与。重要的是，它必须是一个动态变化的文档。

明确其范围和政策内容。

首先，你必须明确各项行动的规则。您的事件应对计划应始于一个明确的政策声明，该声明明确界定了什么才属于安全事件。一台丢失的笔记本电脑算是一种“事件”吗？一封没人点击的钓鱼邮件也算是一种“事件”吗？

请明确界定相关范围。该计划是否涵盖了所有地区性办事处？它是否也包括了第三方供应商以及云环境的相关内容？所有这些明确的界限有助于避免后续可能出现的混淆。

2. 组建你的事件应对团队。

没有人的参与，就无法实施应急响应计划。你需要有一个专门的团队来负责此事，这个团队被称为“计算机安全事件响应团队”（CSIRT），其成员需要明确各自的职责。

• 事件负责人。负责协调应对行动的人，能够做出关键决策，并在整个事件处理过程中拥有最高权威。
• 技术负责人。那些负责分析日志并识别系统问题的人。
• 通信负责人。那个与媒体和员工进行交谈的人。
• 法律顾问。负责与责任相关事务以及监管通知工作的顾问。

在您的事件应对计划中列出这些人，同时包括他们在周末和节假日时的备用联系信息。如果主要联系人正在乘坐飞机时遭遇了危机，那么计划必须明确谁应该接替他的角色。

3. 制定事件响应流程（即整个处理过程）。

请按照经过验证的框架来规划你的计划，这样就能让所有人保持条理清晰。许多组织都遵循NIST或SANS所提出的模型。标准的事件响应流程通常包括以下几个步骤：

1. 准备工作。配置相关工具，并培训员工。
2. 检测与分析。监控系统会发出警报，并识别潜在的威胁。
3. 封锁/限制。阻止其扩散/断开相关系统的连接。
4. 根除。清除那些恶意软件或威胁行为者。
5. 恢复。恢复系统和数据。
6. 事件发生后所采取的行动/措施。从这次事件中吸取教训吧。

4. 制定可操作的操作手册和流程。

像“应对病毒”这样的通用建议并没有实际帮助。对于高风险情况，你需要有具体的应对方案或操作指南。

请为勒索软件相关的事件编写一份应对方案。另外，还需要为商业电子邮件被窃取的情况编写相应的应对方案。此外，还要为涉及客户数据的网络安全漏洞情况编写另一份应对方案。对于每一种情况，事件响应计划都应明确列出事件响应团队必须采取的具体步骤。

不要重新发明轮子，从模板开始吧。使用模板可以确保不会遗漏诸如证据保存或保管链等重要的分类项。

5. 通过自定义集成来实现自动化控制。

在遏制阶段，速度至关重要，尤其是在初期阶段。如果您的事件响应团队不得不手动登录二十个不同的控制台来撤销受攻击用户的访问权限，那么攻击者已经成功移动了他们的位置。

在这里，将网络访问工具与威胁检测功能相结合就变得非常重要了。例如，思博提供了定制化的集成方案，可以帮助您自动化处理威胁的遏制过程。

自定义集成功能允许您通过API直接将思博与您的网络安全系统（如EDR、SIEM、XDR等）进行连接。您可以配置检测工具，以便在检测到严重威胁时，立即向思博发送Webhook警报。

一旦被触发，思博可以立即：

• 断开该用户的连接。立即切断与公司网关的连接。
• 使当前正在进行的会话失效。在用户重新获得访问权限之前，必须先将其注销，然后强制其重新认证。

这种自动化过程是实时进行的，通常会在人类分析师打开相关工单之前就完成。这意味着你可以创建多达10种不同的集成方案。无论警报来自端点防护系统还是电子邮件安全系统，响应都是即时的。

6. 制定沟通计划。

如果失去了公众的信任，那么这种技术上的修复措施可能毫无用处。你的事件应对计划必须明确说明谁与谁进行沟通。

• 内部。如何告知员工电子邮件系统已经崩溃，同时又不让黑客知道他们已经掌握了这个系统的信息呢？（提示：不要使用被攻破的电子邮件系统。）
• 外部。谁会与媒体联系？谁会通知客户？谁会联系执法部门呢？

许多事件响应计划模板中都包含了预先编写好的通知内容。在如此紧张的网络安全危机中，你肯定不想从零开始起草一份新闻稿。

7. 与灾难恢复计划区分开来

通常，人们会将事件响应计划与灾难恢复计划混淆在一起。虽然这两种计划可以相互补充，但它们之间还是存在明显的区别。

该事件应对计划的重点是阻止攻击的继续。灾难恢复计划的重点在于，在局势稳定之后，恢复IT基础设施以及确保业务的持续运行。如果服务器被勒索软件破坏，那么IR计划将负责进行调查和应对工作；而灾难恢复计划则负责从备份中恢复数据。你的文档应明确说明这两者的关系。

8. 训练、测试以及更新相关内容。

一个未经测试的计划，终究只是理论而已。你必须定期演练自己的危机应对计划。可以组织一些模拟演练，让危机应对团队来讨论如何应对各种模拟的攻击情况。

沟通流程是否顺畅？各技术负责人是否获得了他们所需的权限？事件应对计划模板是否能够涵盖您云环境中的具体细节？

使用这些测试来完善文档的内容。技术变化得非常快，如果你的事件应对计划仍然参考的是三年前就已经退役的服务器，那可就麻烦了。

那么，究竟是什么因素能够打造出一个成功的事件应对计划呢？

一个成功的计划，应该是真正被付诸实施的计划。它不应该只是一份长达300页的论文而已。而应该是一系列清单、流程图以及联系方式的集合，这些内容可以由那些处于压力之下的人在凌晨3点时就能轻松遵循起来。

最好的事件应对计划，能够同时兼顾制度的严格性与灵活性。它提供了一种严格的沟通与权力分配机制（这样大家都能知道谁负责什么），同时又能为技术实施提供灵活性（因为每道难题都是不同的）。

此外，它还依赖于可见性。如果你不知道自己拥有哪些资产，那么就无法有效地执行事件响应流程。请确保你的计划中包含最新的关键资产清单以及数据映射信息。

总结

事件应对计划的目的是无法阻止每一次攻击（那是不可能的）。我们的目标是确保，当发生安全事件时，该事件能够得到有效处理，而不会演变成导致公司崩溃的灾难性事件。

明确界定你的事件应对团队，利用像思博这样的工具来自动化处理关键步骤，定期测试你的应对流程——这样就能增强企业的抗风险能力。

开始规划吧，不要等到出现安全问题时才采取行动。先找到一个事件应对计划的模板，召集相关利益相关者，然后从这个月开始制定你的事件应对计划。一旦出现了安全漏洞，你会庆幸自己提前做好了准备。