您的应急响应计划到位吗?

如果没有计划，您就是盲目飞行。这里列出了您应该遵循的9个步骤。

在开发应急响应（IR，Incident Response）计划时，细节非常关键。但是，即使是最成功的IR计划也可能缺乏关键信息，导致不能很快的恢复正常业务运营。

Cybereason的这一指南深入介绍了九个经常被遗忘，但是非常重要的步骤，您应该将其纳入您的IR计划中。

整个公司都要做好准备

一名优秀的安全领导应能让全公司的员工都参与帮助制定IR计划。虽然CISO最有可能管理应对威胁的团队，但处理好泄露事件的后果则需要整个公司的努力。

例如，如果法律要求企业披露所遇到的泄露事件，那么处理泄露事件影响的银行可能需要其公共关系员工的帮助。

如果对手通过利用公司网站中的漏洞（例如WordPress漏洞）进行攻击，那么银行的Web开发团队也要参与进来。此外，如果员工的个人信息被泄露，则可能需要联系公司的人力资源部门。银行的应急响应计划应包括所有这些部门的反馈。

一个全面的应急响应计划规定了当检测到泄露事件时应通知的关键人员，以及怎样把泄露事件信息通报到整个企业内部和外部。在准备阶段，应向计划中添加通信时间表和关键人员的联系信息。

明确测量和指标

一个成功的应急响应计划会预先定义好安全部门在事件期间要测量的关键性能指标（KPI）。要跟踪的一些比较好的时间相关测量指标包括检测时间、报告事件的时间、分流时间、调查时间和响应时间。定性的，一些要跟踪的指标包括虚警的数量、攻击的性质（基于恶意软件与非恶意软件）和发现事件的工具。

保持测试运行

公司应在准备阶段考虑好可能发生的各种泄露事件场景。应在团队培训、桌面练习和蓝队红队对抗等活动中练习这些场景。企业甚至应该模拟泄露事件，以便员工在真的出现泄露事件时知道自己应该干什么。

在这一阶段，公司发现其弱点和风险因素，找出需要密切监控的活动，并决定怎样把安全预算花出去。如果公司成长非常迅速，那么应该每年或者更频繁地修订IR计划。此外，应急响应计划应包括所有的业务规章制度。

对显示为良性的警报展开调查

威胁检测可以从最初看起来是良性的并且与安全无关的情形开始。例如，对运行较慢的计算机进行IT调查可能会发现机器感染了恶意软件，调查对网络钓鱼攻击的恐惧程度，以及通过调查发现是否有人点击了可疑链接。IT专业人员在查看技术问题时一定要检查是不是有破坏的迹象――即使事件似乎与安全无关。

公司针对攻击最好的防御措施是让用户受到良好的训练，例如，他们知道在收到有奇怪链接的电子邮件后应该与安全部门联系。

此外，IT和安全部门不要忽视用户的怀疑。因为一个人的直觉最终可能会发现泄露事件，因此，一定要重视预感。

创建统一的数据库

无论公司使用何种方法来检测威胁，一个重要步骤是把所有事件合并到中央存储库中。公司在这方面通常使用SIEM，但有时这不足以在IT环境中掌握全面情况。

应急响应团队一般会尝试事后为在此环境下发生的所有事件建立一个全景视图。在这一点，建立全面的视图通常为时太晚，应急响应团队最终得到的结果非常不全面，没有任何价值。构建并维护在整个环境中都具有连续性和广泛可见性的数据库不仅对于法规要求至关重要，而且对加快调查和迅速响应也非常重要。

不要忽视工业控制

许多企业具有运行工业系统的设施，例如炼油厂或者制药厂。然而，公司可能不认为攻击者会瞄准这些地方，没有密切监视他们的恶意活动。

在某些情况下，IT或者安全部门以外的其他部门负责管理工业控制系统基础设施。该部门的人员可能缺乏密切监视这些系统所需的知识，有可能导致忽略了安全问题。

遏制和补救

完全停下来，进行彻底的遏制和补救工作，而不是只解决攻击的表面症状――这是非常有必要的。然而，安全部门通常为一个非常广泛的问题提供特定的解决方案，这导致相同的攻击很有可能再次发生。

遏制和a救计划必须基于安全部门对事件的调查结果。一般而言，开发的计划依赖于仅在初步检测期间收集到的信息。例如，如果SIEM检测到与C2服务器的恶意连接，典型的解决方案是终止创建通信的进程，并阻断防火墙中的IP地址。但是，如果恶意软件是持续性的，当计算机重新启动时，它会重新加载，可能使用不同的进程名称，并与不同的服务器进行通信。

之后，安全部门就会针对同一种威胁而没完没了地进行检测、遏制和根除工作。另一方面，如果团队调查了恶意软件所采用的技术和感染媒介，那就会有更好的根除计划，并可能开发出预防计划。

做好事后预算和资源计划

事后工作对于防止安全事件再次发生至关重要。然而，公司往往不完全遵循这一步骤。事后工作产生的一些建议需要花费资金，预算有限的企业可能不会接受这些步骤。成本较低的选择包括向SIEM添加新的检测规则，而一些较为昂贵的事后步骤则需要雇佣额外的安全分析师或者购买技术来检测攻击。

事后阶段也是企业审查其KPI的绩效并确定是否需要进行调整的阶段。例如，安全部门会确定某些检测规则导致出现过多的误报，这些误报不利于对事件做出迅速响应。然后，可以去改进所采用的一组检测规则，或者升级到能力更好的其他检测系统。安全部门还可以决定添加基于用户报告事件的检测规则，而不是基于由SIEM检测到的事件。

整个企业的后续行动

在泄露事件后，企业应准备好投入时间和金钱进行学习和改进。同样重要的是，学习和改进过程不应只有IT和安全部门参与。通常情况下，与准备阶段相似，事后工作只关注安全部门做什么工作――一般是遏制和检测。

如果事后工作只限于安全部门，那么管理过程虽然会比较容易，但没有考虑公司中的其他部门应如何参与才能提高他们在未来更好地应对安全事件的能力。应急响应需要整个企业所有部门的合作，而不仅仅是IT和安全部门。