10个常见的事件响应计划错误，该如何避免？

网络安全事件的问题在于“何时出现”，而非“是否出现”。企业安全团队必须提前制定有效的事件响应计划，将攻击的影响降至最低。但是，往往会出现一些事件响应计划错误，使网络系统面临进一步的威胁。企业安全团队应该注意以下10个常见的事件响应计划错误：

一、通用型计划不适用于所有系统

网络安全供应商在市场上提供现成的通用型事件响应计划，声称这些计划可以节省时间和资源投入，购买后可以立即投入使用。可事与愿违，没有两个网络系统和响应需求是完全一致的。现成的通用型事件响应计划可能适用于A系统，但不一定适用于B系统。最有效的事件响应计划是根据需求定制。NIST 计算机安全事件处理指南提供了标准化的响应程序，安全团队可以针对自身系统特有的网络环境来构建防御体系。

二、不了解系统的安全环境

安全团队需要充分了解系统的安全环境（包括应用程序、开放端口、第三方服务等）。通过安装先进的网络监控工具来跟踪和报告所有活动，这些工具能提供有关网络平台上的安全漏洞、威胁和异常行为等实时数据。基于全面的系统安全环境监控，了解其真实情况，才能为系统定制合适的事件响应计划，安全团队可以知道哪里出了问题，该如何去解决问题。

三、过于复杂的响应程序

任何需要启动事件响应计划的安全状态都是不容乐观的，实施简单而全面的战略比实施复杂的战略容易得多。过于复杂的响应程序会让安全团队失去对事件处理的最佳状态，同时也在浪费时间。在危机面前，每一秒都非常重要。一个简单而全面的响应程序可以更快地实施，并节省时间，达到更优的处理效果。

四、没有响应分工机制

事件响应计划不是自动或个人单独执行的，而是提前建立分工机制。当遇到网络攻击时，安全团队中的每一位成员高度协同合作，并且所采取的行动保持同步是非常关键的，统筹协调每一位成员的角色分配与职责，能有序地、高效地应对突如其来的事件。其实，很多企业在响应文档中已详细说明了响应流程，但是没有规划启动条件与执行安排，便难以达到预期效果。

五、没有一套衡量指标

若要提高事件响应计划的质量，就必须制定一套衡量指标，可以为衡量事件响应计划的有效性提供一个参考标准。以事件响应时间为例，对威胁的响应速度越快，恢复数据的效果就越好。而且，恢复能力也是一个需要考虑的指标。事件响应是一项持续性的工作。只有长期跟踪响应，才能不断改善计划中的每个指标。

六、没有及时更新响应计划

很多时候安全事件的发生难以预测，固化的解决方法往往无法有效发挥作用。当安全团队面临网络安全危机时，运用许久没更新的响应计划，不会有多大实际的帮助。响应计划好比系统的支持文档，系统在不断发展变化，事件响应计划也需要及时更新。为了防止更新疲劳，安全团队可以安排一个定期更新的时间，比如每个月、每三个月。

七、响应执行文档表达不清晰

当重大安全事件发生后的一个常见问题是，安全团队知道他们的责任是什么，但不确定如何履行这些责任。编写安全事件响应执行文档可以为安全团队提供具体的行动指导。但实际的问题是：响应计划的各种细则是否有效地记入了文档？文档内容是否清晰全面？事件响应文档对于有效执行安全事件响应计划至关重要。该文档应该让每一位参与安全事件响应的成员都易于访问，并且可以在事件响应混乱期提供指导。编写文档切勿模棱两可，避免使用技术术语，用尽量简单的话把每一步都讲清楚，以便任何成员都能看明白且践行。

八、没有确定优先级

事实上，很多安全团队在响应时，还是在随机选择优先处理的事件，没有建立可量化的优先级评估指标。因此，在响应网络安全事件时，容易产生误导。最关键的威胁情报应该得到最大程度的重视，安全团队必须为事件响应确定优先级。

九、没有完整的响应计划

在数字化转型的浪潮下，企业中部署的应用系统和安全工具也在随之激增，安全团队必须处理更多的监察与警报响应工作。虽然这些系统都是独立工作，但其运行中的问题都会影响到企业的整体安全态势。如果事件响应计划没有全面考虑来自所有系统的数据，就会缺乏完整性。安全团队应该充分利用先进自动化工具，收集各类系统上的所有数据，并将它们存储在易于访问和检索的地方，这样才能兼顾各方面的安全风险。

十、备份系统出现故障

备份数据是一种主动预防任何形式数据泄露的安全措施。即使发生网络攻击，也能拥有一份数据副本作为依靠。然而，无论是使用受信任的备份应用程序或服务，它还是有可能在网络攻击中受到影响。不要等到网络攻击发生时才去检查备份是否有效，可能会得到意料之外的结果。安全团队应该在可控的环境下测试备份系统的有效性和安全性，可以采用白帽黑客的攻击方法，对包含敏感数据的系统发动攻击。如果备份系统出现故障，安全团队将有机会在不丢失备份数据的情况下处理问题。

高效的事件响应计划能减轻由网络攻击带来的损失

安全团队无法知晓网络罪犯分子何时攻击系统以及他们将如何攻击系统，但安全团队可以控制事件发生之后的影响程度。高效的事件响应计划可以为防御措施注入一些信心，指导有意义的行动，而不是束手无策。工控安全供应商 Claroty 与数据安全管理供应商 Cohesity 的网络安全解决方案，能有助于安全团队完善事件响应计划。

Claroty 是一家工业网络安全供应商，能够保护其环境中的所有网络化物理系统，扩展物联网 (XIoT)，实现工业可视化、工控安全事件响应、安全远程访问等。Claroty 平台可以优化远程用户活动的事件响应。 其案例研究展示了 IT 安全运营中心 (SOC) 人员和 OT 人员如何利用 Claroty 平台优化 OT 远程访问会话期间触发的警报管理。

Cohesity 数据安全管理平台，其对抗勒索软件的解决方案，诠释了采用多层方法来保护备份数据免受勒索软件的侵害，并进行检测，从攻击中快速恢复。Cyberworld 科明大同是 Claroty 和 Cohesity 的中国区总代理商，欢迎联系我们的销售经理，获取有关工控安全、数据备份和网络安全的产品资料，为您的企业打造更高效的网络安全事件响应计划。我们期待您的联络！