Gartner：響應網絡安全事件的3個必備工具

從 Gartner 披露的信息來看，2021 年發生的安全事件平均違規成本達到了 17 年以來的峰值。值得注意的是，安全事件中 10% 是由勒索軟件引起，預計這一占比將在 2022 年繼續增加。為了更好應對網絡安全威脅，安全與風險管理領導者必須提前做好準備。

安全風險管理者應對網絡風險時，快速、高效、準確的安全工具必不可少。對此，Gartner 強調，制定事件響應計劃、編寫詳細的響應手冊、定期進行桌面演練這三個工具至關重要。通過使用這些工具，企業領導者能夠快速采取相應的行動，確保企業安全。接下來，本文詳細介紹三個工具的建設情況。

 制定事件響應計劃 

現階段，網絡攻擊事件頻發，一旦遭受網絡攻擊，企業往往會被打的措手不及。企業應當做到“未雨綢繆，在晴天時修補屋頂”，在安全防御體系建設時，制定應對網絡事件的一般性計劃。

1. 繪制流程圖，有規可循：

公司制定完善的安全響應計劃時，應規定一旦出現安全事件時，有可以遵循的詳細步驟。事件責任人（或類似角色）則應確保完整實施所有步驟，并以滾動方式跟蹤進展和進行溝通。

2. 定義事件嚴重等級，分類處理：

企業內部的安全部門一旦監測到安全威脅后，應當對所有安全事件進行分類，并確定嚴重等級。這樣有助于優先處理危險系數最高的事件，一層層往下，條理明確的將所有事件逐級處理。

另外，對安全事件分析、分類后，能夠更方便的告知利益相關方事件對企業機構的潛在或現實影響。嚴重等級還能決定被通知對象、升級路徑，以及需要使用的手冊。

3. 明確職責，各司其職：

網絡安全威脅不僅對企業內部安全防御體系是一個重大考驗，更挑戰內部安全團隊的配合。高效、準確、快速的安全事件響應需要團隊合作，這時就要求明晰的職責劃分，各司其職，相互配合，更好的處理企業突發的安全事件。

RACI 模型能夠明確整個企業機構內有關事件響應的所有角色和相應責任。其中，常見的利益相關方包括C-suite，法務、隱私和人力資源團隊。

 編制詳細的響應手冊 

企業制定詳細的事件響應計劃后，清楚了事件處理的流程，清晰了員工職責，但是怎樣處理突發的安全事件？還需要制定特定事件類型的詳細指南。

1. 編制響應手冊

CSIR 團隊應該根據常見或影響巨大的事件類型，編制詳細的手冊。不同于一般性的安全事件響應計劃，該響應手冊旨在提供更詳細的指導和流程。（以勒索軟件為例）。

2. 制定勒索軟件響應流程

企業應對勒索軟件類型的安全事件時，應當繪制勒索軟件響應流程和決策樹。該流程可用于制定詳細的響應程序、明確職責，并制定 CSIR 團隊用于指導其響應工作的其他文件。

3. 詳細記錄響應流程

在處理勒索軟件類型的安全事件時，應當與各主題專家（SME）合作，詳細記錄勒索軟件響應流程。其中主要包括具體的指導、工具、示例、設置等，并應明確每個步驟的責任方。

 定期進行桌面演練 

企業怎樣檢驗內部安全防御體系的效果？當然是通過定期的桌面演練了。工作中，制定多部門配合的演練方案，進行事件響應計劃常規測試。

1. 設置議程并邀請參與者

事件響應桌面演練應涉及整個企業機構的領導層和決策者，需要多部門協同合作，共同演練。成功的桌面演練要確定具體的目標，并高度結構化，能夠涵蓋預先確定好的情景。

2. 設定事件情景和場景：

要想實現最高效的網絡安全桌面演練，其結構應該設置為一個初始情景（例如，惡意軟件），并跟隨一系列為事件增加新信息的場景。這種結構復刻了真實事件的不確定性變化。

3. 設計具有挑戰性的事件場景

桌面演練應該復制利益相關方在實際攻擊中必須解決的挑戰性問題。以勒索軟件攻擊為例，在桌面演練中，參與者需對攻擊者的贖金要求做出反應。

設計要點如下：

目前，企業支付贖金后，需要考慮以下幾點。只有 65% 的數據能夠恢復，且只有 8% 的企業機構能夠恢復所有數據；加密文件通常無法恢復；攻擊者提供的解密工具可能崩潰或失敗；復數據可能需要幾個星期；不能保證黑客會刪除被盜數據，如果信息有價值，他們可能在以后出售或披露這些信息；支付贖金可能比從備份中恢復數據更容易且更便宜，但這只會鼓勵犯罪行為；在某些情況下，支付贖金甚至可能違法。

這時候，需要企業領導者權衡是否為勒索軟件支付贖金了。

 總結 

現階段，企業面臨的網絡安全威脅日益增長，需要加強內部防御體系建設，以確保自身的網絡安全。另外，企業同樣需要制定完善的響應計劃，明確規定安全事件的處理流程、員工職責和應對策略，及時處理突發的安全事件。

最后，日常的模擬演練同樣不可或缺，只有充分熟悉應對網絡安全事件的流程，才能做到應對時的游刃有余！

參考文章：

https://mp.weixin.qq.com/s/U85aYxe0AYVqndBBNf_Tpg