安全資訊

沒(méi)有組織想在網(wǎng)絡(luò )安全事件發(fā)生時(shí)才被動(dòng)響應，因此許多企業(yè)都已經(jīng)制定了安全事件響應的策略和計劃，盡量減小攻擊事件造成的影響。然而，但隨著(zhù)網(wǎng)絡(luò )威脅形勢的不斷變化，很多錯誤的做法可能會(huì )破壞響應計劃的有效執行，并使組織的系統暴露在更多威脅的面前。以下是企業(yè)在制定網(wǎng)絡(luò )安全事件響應計劃時(shí)最常見(jiàn)的10個(gè)錯誤！

一、響應流程過(guò)于繁瑣

在一些企業(yè)的網(wǎng)絡(luò )安全事件響應計劃中，包含了復雜的響應流程和策略，而在危急關(guān)頭，安全人員往往沒(méi)有最好的狀態(tài)來(lái)執行復雜的響應流程，也不利于團隊集中精力解決事件，反而會(huì )影響到事件處置的時(shí)間和效果。只有在網(wǎng)絡(luò )安全攻擊事件發(fā)生的危急關(guān)頭，企業(yè)才需要真正啟動(dòng)事件響應計劃，而在爭分奪秒的情況下，簡(jiǎn)單直觀(guān)的事件處置流程會(huì )更容易落實(shí)，還節省時(shí)間。

二、指揮鏈不清晰
 

網(wǎng)絡(luò )安全事件響應計劃并不會(huì )自動(dòng)執行，需要由明確分工的人和團隊來(lái)執行。當很多人共同應對一起事件時(shí)，企業(yè)需要按照指揮鏈為人員分配角色和職責。高度協(xié)同合作并讓每個(gè)人都與所采取的行動(dòng)保持同步是非常關(guān)鍵的。
 

很多企業(yè)組織可能已在事件響應計劃中設計了所有必要的程序，但是如果統籌規劃好這些步驟的執行順序和啟動(dòng)條件，實(shí)際能起到的作用就會(huì )非常有限。企業(yè)應該通過(guò)明確的角色和責任來(lái)避免，提前做好安排，才能在緊急情況下迅速響應。

三、沒(méi)有確立優(yōu)先級

優(yōu)先解決那些可能危及系統的問(wèn)題有助于創(chuàng )建更安全的數字環(huán)境，但如果將響應資源浪費在那些可能的影子事件上，只會(huì )適得其反。大量實(shí)踐表明，后果嚴重的網(wǎng)絡(luò )安全事件必然會(huì )發(fā)生，所以組織需要能夠根據事件的影響來(lái)確定響應優(yōu)先級，不然就會(huì )產(chǎn)生事件疲勞，嚴重威脅發(fā)生時(shí)卻無(wú)力解決。

但是事實(shí)上，很多企業(yè)在安全事件響應時(shí)，還是在隨機選擇優(yōu)先處理的事件，并且沒(méi)有建立可量化的優(yōu)先級評估指標。在網(wǎng)絡(luò )安全事件響應時(shí)，最關(guān)鍵的威脅數據應該得到最大程度的重視和關(guān)注，企業(yè)要根據事件與數據情報的綜合分析為事件響應確定優(yōu)先級。

四、使用通用的響應計劃

目前的市場(chǎng)上，有很多通用型的網(wǎng)絡(luò )安全事件響應計劃，并宣稱(chēng)可以幫助企業(yè)節省事件響應的時(shí)間和資源投入，但事實(shí)恰恰相反。這些通用型事件響應計劃對企業(yè)的幫助非常有限，有時(shí)甚至會(huì )適得其反。沒(méi)有兩個(gè)組織的網(wǎng)絡(luò )系統和響應需求是完全一樣的，因此最有效的事件響應計劃是需要按需定制的。組織應當針對自身系統的特定情況，并圍繞自身的能力優(yōu)勢來(lái)構建防御體系。盡管一些知名的網(wǎng)絡(luò )安全框架（比如《NIST計算機安全事件處理指南》）提供了標準化的響應流程，但企業(yè)應該以此作為參考，根據自身獨特的網(wǎng)絡(luò )環(huán)境定制事件響應流程。

五、使用已過(guò)時(shí)的響應計劃

企業(yè)會(huì )在一些歷史的處置實(shí)踐中形成思維定勢，并依賴(lài)于延續這些固化的處置策略和流程。然而，很多時(shí)候安全事件的發(fā)生難以預測，固化的解決方法往往無(wú)法有效發(fā)揮作用。當企業(yè)面對網(wǎng)絡(luò )安全危機時(shí)，運用已過(guò)時(shí)的響應策略不會(huì )有多大實(shí)際的幫助。
 

響應計劃好比系統的支持文檔。系統在不斷發(fā)展變化，這需要在安全應對策略中也有所體現。擁有靈活的策略和流程可以幫助企業(yè)適應不斷變化的處置需求，并在需要時(shí)找到正確、合適的解決方案。

六、不了解系統安全環(huán)境
 

企業(yè)只有充分了解目前信息系統的安全環(huán)境（包括使用的應用軟件、開(kāi)放端口和第三方服務(wù)等），才能根據系統的真實(shí)狀態(tài)，定制合適的事件響應計劃，不然既不知道哪里出了問(wèn)題，也不知道該如何解決問(wèn)題。
 

這種了解需要基于全面的系統運行態(tài)勢觀(guān)察和監控，可以通過(guò)安裝先進(jìn)的網(wǎng)絡(luò )監控工具來(lái)實(shí)現。這類(lèi)工具可以提供有關(guān)企業(yè)網(wǎng)絡(luò )平臺上的安全漏洞、異常行為風(fēng)險和運營(yíng)活動(dòng)等實(shí)時(shí)數據信息。

七、缺乏度量指標
 

網(wǎng)絡(luò )安全事件響應是一項持續性工作。為了改善響應計劃的效果，企業(yè)組織必須不斷衡量自身的安全態(tài)勢表現。確定具體指標可以為衡量相應計劃的有效性提供一個(gè)參考標準。以事件響應時(shí)間為例。響應威脅的速度越快，恢復數據的效果就越好。只有長(cháng)期跟蹤響應時(shí)間，并努力做得更好，才能不斷改善相應計劃中的這個(gè)指標。

八、無(wú)效的可執行文檔

當重大安全事件發(fā)生后的一個(gè)常見(jiàn)問(wèn)題是，安全團隊知道他們的責任是什么，但不確定如何履行這些責任。編寫(xiě)安全事件響應執行文檔可以為安全團隊提供具體的行動(dòng)指導，已經(jīng)成為保證安全事件響應計劃有效落地的標準操作程序（SOP）。但實(shí)際的問(wèn)題是：響應計劃的各種細則是否有效地記入了文檔？文檔內容是否清晰全面？
 

事件響應文檔對于有效執行安全事件響應計劃至關(guān)重要。該文檔應該讓每一個(gè)參與安全事件響應的成員都易于訪(fǎng)問(wèn)，并且可以在事件響應混亂期提供指導。編寫(xiě)文檔切勿模棱兩可，避免使用技術(shù)術(shù)語(yǔ)。用盡量簡(jiǎn)單的話(huà)把每一步都講清楚，以便任何人都能踐行。

九、孤立的安全事件報告
 

隨著(zhù)數字化轉型的深入，企業(yè)中部署的應用系統和安全工具也在隨之激增，這也為企業(yè)安全分析師帶來(lái)了更多工作負擔，他們必須分散精力處理更多的監控、關(guān)聯(lián)以及警報響應工作。雖然這些系統都是獨立工作，但其運行中的問(wèn)題都會(huì )影響到組織的整體運作態(tài)勢。如果網(wǎng)絡(luò )安全響應計劃沒(méi)有全面考慮到來(lái)自所有系統的數據，就會(huì )缺乏完整性。企業(yè)應該充分利用先進(jìn)自動(dòng)化工具，全面收集各類(lèi)系統上的所有數據，并將它們存儲在易于訪(fǎng)問(wèn)和檢索的地方，這樣才能兼顧各個(gè)方面的安全風(fēng)險，確保沒(méi)有漏網(wǎng)之魚(yú)。

十、沒(méi)有做好備份

將關(guān)鍵業(yè)務(wù)系統和數據進(jìn)行備份是防止嚴重網(wǎng)絡(luò )攻擊后果的主動(dòng)安全措施，但即使組織已經(jīng)使用了可靠的備份工具或服務(wù)，它也可能會(huì )在網(wǎng)絡(luò )攻擊中受到影響。企業(yè)不能等到攻擊發(fā)生時(shí)才發(fā)現備份機制已經(jīng)失效，這樣將會(huì )非常的被動(dòng)。企業(yè)應該在安全可控的環(huán)境下測試備份機制的有效性和健壯性，可以采用道德黑客攻擊方法，針對保存敏感數據的系統發(fā)動(dòng)攻擊。