事件响应

在网络安全中，事件响应指的是组织检测、分析和补救网络攻击的工具和技术。事件响应通常包括多个利益相关方，包括 IT、安全、企业沟通、财务和法律。事件响应的核心目标有两个。

首先，它旨在通过在威胁行为者达到目的之前发现并击退他们，从而最大限度地减少破坏性网络事件的影响；如果做不到这一点，它还可以确保组织有足够的复原力来避免攻击造成的持久破坏。事件响应计划还分析每个破坏性事件，以确定组织今后如何防止类似事件的发生。

想象一下两个组织被相同的勒索软件攻击的情景。

第一种组织有应对威胁的明确策略。其安全团队立即隔离受感染的系统，识别勒索软件菌株，然后决定是对这些系统进行消毒还是完全清除。攻击几乎在开始时就得到了解决，公司立即向客户和利益相关者通报了发生的情况。

攻击发生后，组织会对发生的情况进行检查，并将学到的知识用于改进安全。

由于缺乏事件响应计划，第二个组织需要更长的时间来动员和应对威胁。因此，勒索软件有机会在更多的基础设施中传播，并在此过程中锁定多个关键业务系统。与利益相关者的沟通--如果有的话--模糊且不一致。

这些例子清楚地说明了为什么需要制定事件响应计划。如果没有这样的计划，您的团队能否高效、有效地应对网络攻击主要还是看运气。鉴于这些事件会对企业声誉造成持久影响，您不能冒这种风险。

换句话说，事件响应计划可帮助企业最大限度地减少声誉和经济损失，更有效地遵守行业法规，缩短事件响应时间，并改善整体安全状况。

事件响应是事件管理的一部分，但许多组织会交替使用这两个术语。两者的主要区别在于，事件管理的重点更广泛、更具战略性。而事件响应则更具技术性和即时性，侧重于在网络攻击发生时直接解决。

事件管理战略通常包括以下内容：

• 在网络事件发生前制定管理和应对计划
• 在破坏性事件中监督事件响应工作
• 必要时利用第三方的专业知识
• 管理危机传播渠道和计划
• 确定事件中应遵循的指挥系统
• 事故后取证和后续行动

而事件响应则包括以下内容：

• 监测和初步识别潜在的网络攻击
• 在内部、通过 MSSP 或通过自动威胁检测平台将事件通知相关人员
• 确定攻击的具体性质和目标，以及最有效的阻止方式
• 从备份中恢复任何受损的系统和数据

• 确保您的事件响应计划定义明确，并具有足够的灵活性，以应对突发网络事件
• 所有人员都应可随时查阅投资者关系文件，文件中应列出所有政策、战略和流程
• 部署完全独立于业务生态系统的 IR 工具，并定期测试其功效
• 将事件响应培训和准备工作纳入组织文化

• 通过扩展检测和响应 (XDR) 等解决方案，保持对攻击面持续、实时的可见性
• 在生态系统中主动查找威胁和漏洞
• 采用零信任网络访问 (ZTNA)以及某种形式的入侵检测和防御系统

• 利用先进的端点防护平台 (EPP)等技术，迅速有效地识别和隔离威胁
• 确保每个系统、资产和设备都能从生态系统中快速气隙排出
• 保存全面的日志文件，以备数字取证之用

• 消毒或清除所有受感染的系统
• 在从备份恢复之前，请绝对确保您 的备份不包含刚刚消除的威胁 
• 锁定威胁行为者可能重新进入企业的任何潜在途径

• 在恢复运行的过程中，继续监控、测试和验证所有资产和数据，检查是否有受损迹象
• 为全面恢复制定切实可行的路线图；向利益相关者说明这一点以及潜在的短期和长期影响

• 回顾整个事件，回答下列问题：
  • 怎么了？
  • 怎么会这样？
  • 我们怎样才能防止今后发生这种情况？
• 评估事件响应计划的有效性，并确定可针对未来事件加以改进的潜在领域