事件管理

事件响应（IR）是一种系统化的方法，帮助IT团队为IT事件做好准备和计划，包括服务中断、组织安全漏洞或网络攻击。鉴于企业目前采用的远程工作情况，没有一个组织可以完全避免IT事件，特别是安全事件。当安全事件发生时，它们受到重创，导致数据破坏，违反保密性，并导致生产力和财务损失重大损失，这需要付出大量努力才能从中恢复过来。然而，通过建设性的IR计划，可以更有效地处理这些情况，并更快地恢复正常状态。Ponemon的数据泄露成本报表证实，拥有强大安全IR计划的组织平均减少了约200万美元的安全事件引发成本。

因此，组织应将明确的IR计划及其行动方案视为优先事项，并设计一个IR流程，定义事件对其公司来说是什么，创建一个具有角色的事件响应团队，并尽快培训他们。

组织应对事件的方法，即响应程序，对事件的后果有重大影响。通常，事件响应过程从建立IR计划开始，为其组织及其运作量身定制，并将角色和责任委托给事件响应团队。根据国家标准与技术研究所（NIST）的数据，以下是安全事件事件响应的不同阶段。

1.准备

准备工作是事件响应的最关键阶段。制定战略，记录它，建立事件响应团队，指定角色和职责，适当的沟通和培训，以及采购所需的软件和硬件，都是事件响应计划的一部分，并为安全漏洞做准备。

2.检测和分析

这个阶段是实际IR发生的时候，从识别和报表安全事件开始。这导致了谁报表事件以及如何报表事件的问题。

该组织的所有成员都应了解到位的IR计划，并应在怀疑安全漏洞时立即报表。告知客户IR计划也很重要，这样他们也可以留意。员工和客户都必须报表他们在工作环境中检测到的安全问题。以下是一些不应忽视该问题的情况，必须尽快报表以做出快速反应。

• 客户向组织的支持渠道报表安全问题
• 通过内部检测到的安全问题对客户数据构成威胁
• 从入侵检测系统和监控工具触发的安全告警
• 可能携带病毒的电子邮件通信
• 在组织的任何设备上检测恶意软件

当员工发现安全事件时，他们必须向IR团队报表。组织应该使用不同的模式来检测安全事件，例如自助服务门户上的网络表单、电子邮件、聊天、电话、包括微软团队在内的协作数字工作区等。这必须明确定义为IR计划的一部分，并为员工和客户发布。

NIST列出了检测和分析阶段的五个步骤：

• 识别安全事件的早期迹象
• 分析迹象，将实际威胁与虚假告警区分开来
• 将事件记录为处理该问题的所有事实和相关响应程序
• 根据影响分析确定事件的优先级，考虑到其对业务功能和保密性的影响，以及恢复所需的时间和响应工作
• IR团队通知相关团队和个人，解释IR计划，以及快速恢复的步骤

3.遏制、根除和恢复

遏制阶段背后的想法是尽早控制事件，并以不会造成任何进一步损害的方式阻止其影响。这需要确定受到攻击的确切系统，并通过IR遏制、根除和恢复策略来减轻影响。可以使用有效的事件管理工具来消除问题，并使用服务台知识库中发布的知识文章来推动解决方案。为了使安全事件不再被视为威胁，应该制定恢复战略。这个阶段还包括检查受影响的系统，并将它们带回商业环境。

所有这些战略都应建立在安全事件的严重性、受影响系统的状况、对业务的影响、记录证据和事件的所有信息，以及协调战略所需的工具和资源等标准之上。

4.审查（事件后分析）

涉及IR团队、组织当局和参与安全事件的每个人的反馈和审查会议必须记录经验教训，并分析IR计划及其在每个阶段战略的有效性。以下是在审查阶段需要反思的几点：

• 事件的根本原因和发生地点
• 事件本可以预防吗
• IR计划和IR团队的绩效
• 战略在每个阶段的有效性
• 可能从裂缝中掉下来的任务
• 如果采取不同做法，任何会效果更好的步骤
• 威胁检测，以防止未来发生类似事件

在了解了应如何处理事件响应后，同样重要的是要意识到，如果没有正确的工具，实现有效的IR流程可能具有挑战性。组织有时缺乏内部所需的技能，需要外包IR。无论哪种方式，为了有效处理IR，管理事件的综合工具都是确保安全事件造成的破坏和停机时间最小化的优势。