安全应急响应计划

目标

通过确定事件响应流程，帮助识别，响应和从安全故障中恢复。

为什么要做

安全事件响应有时候会很复杂，缺少提前准备的安全应急响应流程，在发生重大安全风险事件时无法快速从安全事件中恢复过来，可能影响业务的正常运行，造成经济损失。

如何实现

安全事件响应的7个阶段：

• 准备 企业做好最坏的准备。你将如何处理事件？如何恢复？这可能包含提示信息，构建流程，创建策略，创建操作手册/自动化脚本等等；

• 识别 确定事件的真实性，还是一个误报。如果确认是真实事件，识别被影响的资源。安全事件类型可能是未经授权的访问、拒绝服务、恶意代码、不当使用、扫描/探测/试图访问，或调查事件。

• 控制 一旦你知道你要解决的是什么问题，你就可以开始着手处理，可以先从限制其影响范围做起，

• 调查 回顾整个事件，确定引起事件的根因。你可能会需要调查日志，存储，实时内存，和其他内容。

• 根除 找到事件发生的根本原因后，下一步你就需要根除他，包括删除系统中所有被影响的文件，执行病毒扫描，提醒受影响的个人等等。

• 恢复 让你的业务恢复到正常运行。

• 跟进 一旦恢复正常，你应该围绕事件回答以下问题：你遵循计划的流程了么？流程是否有效？什么可以改进？我们是否可以有更好的防御？在这步可以提升未来你的事件响应计划。

谁对这件事情负责？

牵头人 - CISO或者CIO

项目团队 -

• IT架构师：负责规划采用的工具，如何整合到现有架构中；

• 权限管理：负责分配权限，编写权限策略；

• 业务团队： 负责使用工具，落地实施解决方案；

• 安全架构师：负责提供建议和安全相关的指导；

• 安全运营经理：负责确定要运营跟进哪些安全事件，人员的角色和职责，配套使用的工具，考核指标；由于有些问题需要业务部门配合才能及时解决，比如修复未授权访问漏洞，那么该安全事件的责任也应归属到关键责任人上。

• 培训团队：负责安全意识培训，使用培训和流程培训；

衡量成功的标准

• 提前规划的安全事件响应流程配套完成度，比如未经授权访问事件，相关的流程、人员、工具是否都准备完成？安全事件类型可能是未经授权的访问、拒绝服务、恶意代码、不当使用、扫描/探测/试图访问，或调查事件。

• 安全事件发现时间：从安全事件发生到安全团队知悉并开始调查的时间；可以通过监控该时间看是否通过流程提升了安全水平，更快速地发现安全事件进行响应；

• 安全事件解决时间：从安全事件开始调查到业务恢复正常的时间；可以根据安全事件的不同类型和影响范围，设定要求解决的时间，比如重大安全事件的解决时间在8小时内，统计按时解决的安全事件的百分比和数量，进行考核。

• 误报率：除了上面的标准，还可以统计安全事件的误报率，以此判断工具的能力，和安全运营调整识别策略的情况。通常误报率越高，需要人员投入的时间精力越多，效率越低。

完成时间

一般在30～90天内