提升安全事件響應能力的難點與建議

對於計算機安全事件響應（CSIRT）團隊來説，必須時刻準備好應對突發的網絡安全事件。在嚴重安全事件發生時，需要能夠第一時間制定應急處置方案，充分調動內外部團隊資源，並讓所有成員明確自己的任務。此刻，保持頭腦冷靜、行動周全對於成功處理安全事件至關重要，而如果陷入到焦慮不安的恐慌中，將會嚴重影響事件響應團隊做出正確的決策。

沒有組織想在安全事件發生時才被動響應，因此許多企業都已經制定了安全事件響應的策略和計劃，但隨着網絡威脅形勢的不斷變化，需要定期對其進行調整和優化改進。本文基於企業安全事件響應的最佳實踐經驗，總結了幫助企業提升安全事件響應能力的7點建議。

1、建立定期的事件響應溝通機制

當網絡安全事件發生時，不知道從何處入手可能會加劇攻擊的損害後果。當需要制定或啟動計劃時，每個參與人員都必須準確地知道自己該做什麼。為確保每個人都能保持同步，使用清晰的溝通機制，提高每個安全事件響應團隊成員對自身角色和責任的認識至關重要。當然，這還遠遠不夠，為了讓安全事件響應計劃能夠順利進行，每個人還必須知道其他人都在做什麼，以及誰是每個工作小組的關鍵聯繫人。同樣，保持積極的響應態度也很重要。安全事件響應中隨時會面臨挫折和打擊，在此過程中，需要積極調動並保持每個參與者的積極性。

2、將事件響應計劃落實到執行手冊

許多企業都已經制定了安全事件響應計劃，但很多時候，他們並不知道如何處理它。針對威脅的事件響應手冊對於有效的執行安全事件響應計劃至關重要。該手冊不一定要正式發佈，但至少應該包含一個易於訪問的文檔，並且可以在事件響應混亂期提供指導。

當重大安全事件發生後的一個常見問題是，安全團隊知道他們的責任是什麼，但不確定如何履行這些責任。安全事件響應執行手冊可以提供具體的行動指導，它可以被認為是一套安全事件響應的標準操作程序（SOP）。

3、持續優化安全事件響應計劃

安全事件響應計劃創建後，不代表可以一勞永逸了，應該定期進行評估和審核。這一點在當今技術和相應的信息系統快速發展和變化的環境中尤為重要。安全事件響應計劃必須定期修訂，尤其是在公司不斷成長的情況下。安全事件響應計劃需足夠健壯，同時還需足夠靈活，企業應經常審查並更新事件響應計劃。

4、主動測試響應計劃的有效性

企業不能在安全事件發生時才發現目前的響應計劃缺陷，因此必須主動測試計劃的有效性。更重要的是，如果有足夠的練習，那些負責執行該計劃的人會更容易做到這一點。目前，企業在事件響應測試中的主要問題在於，對計劃落實中的壓力測試存在不足，事件響應計劃壓力測試應涉及到公司每一個人，這樣可以保持事件響應計劃能夠不斷更新，並適應企業數字化業務發展的需求，同時還有助於發現並修復業務部門存在的安全風險隱患，因此每個利益相關者都應該參與到計劃的評估測試過程中。

5、為零日事件設置專項預算

如果沒有預算來執行，即便是最好的計劃也會失敗。由於零日（zero-day）事件的不可預知性，企業需要預留專項處置預算。如果企業是在突發性安全事件發生後的高壓狀態下做出預算決定，這時候往往難以保障決策的正確性與合理性。

6、定期開展企業安全狀況審查

可靠的安全事件響應計劃還需要健康的安全習慣。定期開展安全狀況審查將使事件響應工作更加有效，並有助於降低事故發生的風險。常見的審查工作應包括更改密碼、更新和輪換密鑰、審查訪問級別以及檢查舊員工賬户或威脅者創建的賬户。

7、更加重視安全事件響應培訓

安全事件響應的培訓工作往往很容易被忽略。然而，在最關鍵的時候，缺乏培訓可能會導致事件響應計劃不能正確的執行和落地。企業應該將安全事件響應培訓作為優先事項並相應地賦予預算。培訓內容應該包括討論各種被攻擊的威脅場景和響應行動的練習。通過安全培訓可以讓每個人知道他們的職責是什麼，還可以讓團隊成員之間的知識更好共享。此外，當新技術被整合應用到企業環境中時，也應該進行正式培訓。