網絡安全事(shì)件(jiàn)響應計(jì)劃的十個常見(jiàn)錯誤

發布時間：

2023-04-25

來(lái)源：

　　将關鍵業務系統和數據進行備份是防止嚴重網絡攻擊後果的主動安全措施，但(dàn)即使組織已經使用了可(kě)靠的備份工(gōng)具或服務，它也可(kě)能會在網絡攻擊中受到影(yǐng)響。企業不能等到攻擊發生(shēng)時才發現備份機(jī)制已經失效，這樣将會非常的被動。企業應該在安全可(kě)控的環境下測試備份機(jī)制的有效性和健壯性，可(kě)以采用道德黑(hēi)客攻擊方法，針對保存敏感數據的系統發動攻擊。

　　沒有組織想在網絡安全事(shì)件(jiàn)發生(shēng)時才被動響應，因此許多企業都(dōu)已經制定了安全事(shì)件(jiàn)響應的策略和計(jì)劃，盡量減小攻擊事(shì)件(jiàn)造成的影(yǐng)響。然而，但(dàn)随着網絡威脅形勢的不斷變化，很多錯誤的做法可(kě)能會破壞響應計(jì)劃的有效執行，并使組織的系統暴露在更多威脅的面前。以下是企業在制定網絡安全事(shì)件(jiàn)響應計(jì)劃時最常見(jiàn)的10個錯誤：

　　01響應流程過于繁瑣

　　在一些企業的網絡安全事(shì)件(jiàn)響應計(jì)劃中，包含了複雜的響應流程和策略，而在危急關頭，安全人(rén)員(yuán)往往沒有最好的狀态來(lái)執行複雜的響應流程，也不利于團隊集中精力解決事(shì)件(jiàn)，反而會影(yǐng)響到事(shì)件(jiàn)處置的時間和效果。隻有在網絡安全攻擊事(shì)件(jiàn)發生(shēng)的危急關頭，企業才需要真正啓動事(shì)件(jiàn)響應計(jì)劃，而在争分(fēn)奪秒的情況下，簡單直觀的事(shì)件(jiàn)處置流程會更容易落實，還(hái)節省時間。

　　02指揮鏈不清晰

　　網絡安全事(shì)件(jiàn)響應計(jì)劃并不會自(zì)動執行，需要由明确分(fēn)工(gōng)的人(rén)和團隊來(lái)執行。當很多人(rén)共同應對一起事(shì)件(jiàn)時，企業需要按照(zhào)指揮鏈爲人(rén)員(yuán)分(fēn)配角色和職責。高度協同合作(zuò)并讓每個人(rén)都(dōu)與所采取的行動保持同步是非常關鍵的。

　　很多企業組織可(kě)能已在事(shì)件(jiàn)響應計(jì)劃中設計(jì)了所有必要的程序，但(dàn)是如(rú)果統籌規劃好這些步驟的執行順序和啓動條件(jiàn)，實際能起到的作(zuò)用就(jiù)會非常有限。企業應該通過明确的角色和責任來(lái)避免，提前做好安排，才能在緊急情況下迅速響應。

　　03沒有确立優先級

　　優先解決那些可(kě)能危及系統的問(wèn)題有助于創建更安全的數字環境，但(dàn)如(rú)果将響應資源浪費在那些可(kě)能的影(yǐng)子事(shì)件(jiàn)上，隻會适得(de)其反。大(dà)量實踐表明，後果嚴重的網絡安全事(shì)件(jiàn)必然會發生(shēng)，所以組織需要能夠根據事(shì)件(jiàn)的影(yǐng)響來(lái)确定響應優先級，不然就(jiù)會産生(shēng)事(shì)件(jiàn)疲勞，嚴重威脅發生(shēng)時卻無力解決。

　　但(dàn)是事(shì)實上，很多企業在安全事(shì)件(jiàn)響應時，還(hái)是在随機(jī)選擇優先處理(lǐ)的事(shì)件(jiàn)，并且沒有建立可(kě)量化的優先級評估指标。在網絡安全事(shì)件(jiàn)響應時，最關鍵的威脅數據應該得(de)到最大(dà)程度的重視和關注，企業要根據事(shì)件(jiàn)與數據情報的綜合分(fēn)析爲事(shì)件(jiàn)響應确定優先級。

　　04使用通用的響應計(jì)劃

　　目前的市場上，有很多通用型的網絡安全事(shì)件(jiàn)響應計(jì)劃，并宣稱可(kě)以幫助企業節省事(shì)件(jiàn)響應的時間和資源投入，但(dàn)事(shì)實恰恰相(xiàng)反。這些通用型事(shì)件(jiàn)響應計(jì)劃對企業的幫助非常有限，有時甚至會适得(de)其反。沒有兩個組織的網絡系統和響應需求是完全一樣的，因此最有效的事(shì)件(jiàn)響應計(jì)劃是需要按需定制的。組織應當針對自(zì)身(shēn)系統的特定情況，并圍繞自(zì)身(shēn)的能力優勢來(lái)構建防禦體(tǐ)系。盡管一些知名的網絡安全框架（比如(rú)《NIST計(jì)算機(jī)安全事(shì)件(jiàn)處理(lǐ)指南(nán)》）提供了标準化的響應流程，但(dàn)企業應該以此作(zuò)爲參考，根據自(zì)身(shēn)獨特的網絡環境定制事(shì)件(jiàn)響應流程。

　　05使用已過時的響應計(jì)劃

　　企業會在一些曆史的處置實踐中形成思維定勢，并依賴于延續這些固化的處置策略和流程。然而，很多時候安全事(shì)件(jiàn)的發生(shēng)難以預測，固化的解決方法往往無法有效發揮作(zuò)用。當企業面對網絡安全危機(jī)時，運用已過時的響應策略不會有多大(dà)實際的幫助。

　　響應計(jì)劃好比系統的支持文檔。系統在不斷發展變化，這需要在安全應對策略中也有所體(tǐ)現。擁有靈活的策略和流程可(kě)以幫助企業适應不斷變化的處置需求，并在需要時找到正确、合适的解決方案。

　　06不了解系統安全環境

　　企業隻有充分(fēn)了解目前信息系統的安全環境（包括使用的應用軟件(jiàn)、開放(fàng)端口和第三方服務等），才能根據系統的真實狀态，定制合适的事(shì)件(jiàn)響應計(jì)劃，不然既不知道哪裡(lǐ)出了問(wèn)題，也不知道該如(rú)何解決問(wèn)題。

　　這種了解需要基于全面的系統運行态勢觀察和監控，可(kě)以通過安裝先進的網絡監控工(gōng)具來(lái)實現。這類工(gōng)具可(kě)以提供有關企業網絡平台上的安全漏洞、異常行爲風(fēng)險和運營活動等實時數據信息。

　　07缺乏度量指标

　　網絡安全事(shì)件(jiàn)響應是一項持續性工(gōng)作(zuò)。爲了改善響應計(jì)劃的效果，企業組織必須不斷衡量自(zì)身(shēn)的安全态勢表現。确定具體(tǐ)指标可(kě)以爲衡量相(xiàng)應計(jì)劃的有效性提供一個參考标準。以事(shì)件(jiàn)響應時間爲例。響應威脅的速度越快(kuài)，恢複數據的效果就(jiù)越好。隻有長期跟蹤響應時間，并努力做得(de)更好，才能不斷改善相(xiàng)應計(jì)劃中的這個指标。

　　08無效的可(kě)執行文檔

　　當重大(dà)安全事(shì)件(jiàn)發生(shēng)後的一個常見(jiàn)問(wèn)題是，安全團隊知道他(tā)們的責任是什麽，但(dàn)不确定如(rú)何履行這些責任。編寫安全事(shì)件(jiàn)響應執行文檔可(kě)以爲安全團隊提供具體(tǐ)的行動指導，已經成爲保證安全事(shì)件(jiàn)響應計(jì)劃有效落地的标準操作(zuò)程序（SOP）。但(dàn)實際的問(wèn)題是：響應計(jì)劃的各種細則是否有效地記入了文檔？文檔内容是否清晰全面？

　　事(shì)件(jiàn)響應文檔對于有效執行安全事(shì)件(jiàn)響應計(jì)劃至關重要。該文檔應該讓每一個參與安全事(shì)件(jiàn)響應的成員(yuán)都(dōu)易于訪問(wèn)，并且可(kě)以在事(shì)件(jiàn)響應混亂期提供指導。編寫文檔切勿模棱兩可(kě)，避免使用技術(shù)術(shù)語。用盡量簡單的話(huà)把每一步都(dōu)講清楚，以便任何人(rén)都(dōu)能踐行。

　　09孤立的安全事(shì)件(jiàn)報告

　　随着數字化轉型的深入，企業中部署的應用系統和安全工(gōng)具也在随之激增，這也爲企業安全分(fēn)析師(shī)帶來(lái)了更多工(gōng)作(zuò)負擔，他(tā)們必須分(fēn)散精力處理(lǐ)更多的監控、關聯以及警報響應工(gōng)作(zuò)。雖然這些系統都(dōu)是獨立工(gōng)作(zuò)，但(dàn)其運行中的問(wèn)題都(dōu)會影(yǐng)響到組織的整體(tǐ)運作(zuò)态勢。如(rú)果網絡安全響應計(jì)劃沒有全面考慮到來(lái)自(zì)所有系統的數據，就(jiù)會缺乏完整性。企業應該充分(fēn)利用先進自(zì)動化工(gōng)具，全面收集各類系統上的所有數據，并将它們存儲在易于訪問(wèn)和檢索的地方，這樣才能兼顧各個方面的安全風(fēng)險，确保沒有漏網之魚。

　　10沒有做好備份

　　01響應流程過于繁瑣

　　02指揮鏈不清晰

　　03沒有确立優先級

　　04使用通用的響應計(jì)劃

　　05使用已過時的響應計(jì)劃

　　06不了解系統安全環境

　　07缺乏度量指标

　　08無效的可(kě)執行文檔

　　09孤立的安全事(shì)件(jiàn)報告

　　10沒有做好備份

　　參考鏈接：https://www.makeuseof.com/common-incident-response-plan-mistakes/