Gartner：响应网络安全事件的三个必备工具

从 Gartner 披露的信息来看，2021 年发生的安全事件平均违规成本达到了 17 年以来的峰值。值得注意的是，安全事件中 10% 是由勒索软件引起，预计这一占比将在 2022 年继续增加。为了更好应对网络安全威胁，安全与风险管理领导者必须提前做好准备。

安全风险管理者应对网络风险时，快速、高效、准确的安全工具必不可少。对此，Gartner 强调，制定事件响应计划、编写详细的响应手册、定期进行桌面演练这三个工具至关重要。通过使用这些工具，企业领导者能够快速采取相应的行动，确保企业安全。接下来，本文详细介绍三个工具的建设情况。

制定事件响应计划

现阶段，网络攻击事件频发，一旦遭受网络攻击，企业往往会被打的措手不及。企业应当做到“未雨绸缪，在晴天时修补屋顶”，在安全防御体系建设时，制定应对网络事件的一般性计划。

1. 绘制流程图，有规可循：

公司制定完善的安全响应计划时，应规定一旦出现安全事件时，有可以遵循的详细步骤。事件责任人(或类似角色)则应确保完整实施所有步骤，并以滚动方式跟踪进展和进行沟通。

2. 定义事件严重等级，分类处理：

企业内部的安全部门一旦监测到安全威胁后，应当对所有安全事件进行分类，并确定严重等级。这样有助于优先处理危险系数最高的事件，一层层往下，条理明确的将所有事件逐级处理。

另外，对安全事件分析、分类后，能够更方便的告知利益相关方事件对企业机构的潜在或现实影响。严重等级还能决定被通知对象、升级路径，以及需要使用的手册。

3. 明确职责，各司其职：

网络安全威胁不仅对企业内部安全防御体系是一个重大考验，更挑战内部安全团队的配合。高效、准确、快速的安全事件响应需要团队合作，这时就要求明晰的职责划分，各司其职，相互配合，更好的处理企业突发的安全事件。

RACI 模型能够明确整个企业机构内有关事件响应的所有角色和相应责任。其中，常见的利益相关方包括C-suite，法务、隐私和人力资源团队。

编制详细的响应手册

企业制定详细的事件响应计划后，清楚了事件处理的流程，清晰了员工职责，但是怎样处理突发的安全事件?还需要制定特定事件类型的详细指南。

1. 编制响应手册

CSIR 团队应该根据常见或影响巨大的事件类型，编制详细的手册。不同于一般性的安全事件响应计划，该响应手册旨在提供更详细的指导和流程。(以勒索软件为例)。

2. 制定勒索软件响应流程

企业应对勒索软件类型的安全事件时，应当绘制勒索软件响应流程和决策树。该流程可用于制定详细的响应程序、明确职责，并制定 CSIR 团队用于指导其响应工作的其他文件。

3. 详细记录响应流程

在处理勒索软件类型的安全事件时，应当与各主题专家(SME)合作，详细记录勒索软件响应流程。其中主要包括具体的指导、工具、示例、设置等，并应明确每个步骤的责任方。

定期进行桌面演练

企业怎样检验内部安全防御体系的效果?当然是通过定期的桌面演练了。工作中，制定多部门配合的演练方案，进行事件响应计划常规测试。

1. 设置议程并邀请参与者

事件响应桌面演练应涉及整个企业机构的领导层和决策者，需要多部门协同合作，共同演练。成功的桌面演练要确定具体的目标，并高度结构化，能够涵盖预先确定好的情景。

2. 设定事件情景和场景：

要想实现最高效的网络安全桌面演练，其结构应该设置为一个初始情景(例如，恶意软件)，并跟随一系列为事件增加新信息的场景。这种结构复刻了真实事件的不确定性变化。

3. 设计具有挑战性的事件场景

桌面演练应该复制利益相关方在实际攻击中必须解决的挑战性问题。以勒索软件攻击为例，在桌面演练中，参与者需对攻击者的赎金要求做出反应。

设计要点如下：

目前，企业支付赎金后，需要考虑以下几点。只有 65% 的数据能够恢复，且只有 8% 的企业机构能够恢复所有数据;加密文件通常无法恢复;攻击者提供的解密工具可能崩溃或失败;复数据可能需要几个星期;不能保证黑客会删除被盗数据，如果信息有价值，他们可能在以后出售或披露这些信息;支付赎金可能比从备份中恢复数据更容易且更便宜，但这只会鼓励犯罪行为;在某些情况下，支付赎金甚至可能违法。

这时候，需要企业领导者权衡是否为勒索软件支付赎金了。

现阶段，企业面临的网络安全威胁日益增长，需要加强内部防御体系建设，以确保自身的网络安全。另外，企业同样需要制定完善的响应计划，明确规定安全事件的处理流程、员工职责和应对策略，及时处理突发的安全事件。

最后，日常的模拟演练同样不可或缺，只有充分熟悉应对网络安全事件的流程，才能做到应对时的游刃有余!

参考文章：https://mp.weixin.qq.com/s/U85aYxe0AYVqndBBNf_Tpg