事件响应：解决安全漏洞的分步指南

如果您的公司没有因为安全漏洞遭受损失，那么您可能就是其中的幸运者之一。但是您可能也不会长期安全，因为大多数公司在某个时间点会遇到网络安全事件。当今的网络事件有多种形式，但是，无论系统是在攻击者的手中妥协还是网络钓鱼诈骗导致的访问控制漏洞，企业都必须已记录在案的事件响应策略来处理后果。

面对前所未有的安全事件威胁，我们希望确保我们的客户和合作伙伴制定适当的计划和政策来应对可能出现的任何威胁。尽管此列表并未详尽地详细说明了应对网络攻击所需的步骤（许多步骤会因独特的类型而异），但是这里的“快速分步指南可以在您的公司受到影响时遵循”网络安全漏洞。

1.建立事件响应小组

选择一组选定的人员组成您的事件响应团队（IRT）。为每个成员分配一个预定义的角色和一组职责，在某些情况下，这些职责和职责可能会优先于正常职责。IRT可以由多个部门组成，包括信息技术，合规和人力资源。

值得注意的是，您的事件响应团队应包括您的首席信息安全官（CISO），他将最终指导公司的安全政策方向。

2.确定事件的类型和程度

在您的事件响应小组缓解任何事件之前，它必须清楚地评估损失以确定适当的响应。例如，如果事件是可以快速有效地检测和消除的计算机病毒（并且不会影响内部或外部各方），则正确的应对措施可能是记录该事件并将其记录在案。内部IT部门或外包云提供商可以有效地完成此任务。

但是，如果发生影响多个客户/投资人等的事件，则应将事件升级到IRT。

3.必要时上报事件

某些部门可能会收到某些事件的通知，包括IT团队和/或客户服务团队。这些当事方应运用自己的判断力将事件升级到IRT。如果怀疑有蓄意破坏或针对性袭击事件，应立即上报。这可能包括：用于诱骗员工输入凭据或将钱汇入欺诈性帐户的网络钓鱼骗局，旨在持有公司信息或资产人质的勒索软件或网络间谍活动，或公司网络中断，这些活动可能会导致可疑漏洞或意外停机。

4.通知受影响的各方和外部组织

IRT的一名成员应负责管理与受影响方（例如投资者，第三方供应商等）的通信。根据事件的严重程度，IRT成员将充当组织与执法机构之间的联络人。

5.收集证据

在适当和必要时，IRT负责识别和收集物理和电子证据，作为调查的一部分。

6.减轻风险和风险。

IRT的技术人员应负责监视情况，并确保适当修复因事故造成的任何影响或损害，并采取措施以最大程度地减少未来发生的事故。IRT还需要根据事件确定任何必要的处罚。例如，由于欺诈性网络钓鱼电子邮件而导致的不适当的电汇可能导致负责员工的解雇。