咨詢公司Forreste曾經(jīng)把2011和2012年稱作“黑客的黃金年代”，而今，2013年剛過(guò)去的一個(gè)季度顯示這個(gè)黃金年代毫無(wú)疑問(wèn)的還在繼續(xù)。在今年前三個(gè)月里，Apple，Bit9，F(xiàn)acebook，Microsoft，《紐約時(shí)報(bào)》，《華爾街日?qǐng)?bào)》，以及Twitter都把安全違規(guī)問(wèn)題變成了頭等關(guān)注大事。

如今，安全威脅變得更加不容易控制，攻擊技術(shù)變得越來(lái)越成熟和復(fù)雜。盡管如此，安全事件響應(yīng)并沒(méi)有獲得應(yīng)有的重視。

安全事件響應(yīng)計(jì)劃應(yīng)該成為企業(yè)內(nèi)部一項(xiàng)戰(zhàn)略活動(dòng)。然而即使一個(gè)企業(yè)在遭遇了安全違規(guī)之后，安全事件響應(yīng)計(jì)劃仍然沒(méi)有獲得應(yīng)有的重視。根據(jù)我們最新的福雷斯特安全調(diào)查，2011年和2012年，當(dāng)企業(yè)遭遇安全違規(guī)之后，對(duì)于安全事件響應(yīng)計(jì)劃的投資僅僅增加5個(gè)百分點(diǎn)，從18%上升到23%。一個(gè)令人震驚的趨勢(shì)是，21%的企業(yè)表示一次安全違規(guī)事件并未導(dǎo)致企業(yè)進(jìn)行任何變化。

在編制我們的安全架構(gòu)與運(yùn)營(yíng)一書(shū)時(shí)，我們確定一個(gè)高效的安全事件響應(yīng)計(jì)劃應(yīng)該具備七條原則。采用以下原則，你將能更好的應(yīng)對(duì)威脅形勢(shì)并能從安全事件中實(shí)現(xiàn)更有效的恢復(fù)。

1. 自我意識(shí)

讓安全事件響應(yīng)團(tuán)隊(duì)意識(shí)到自身的能力和約束是關(guān)鍵。成功取決于對(duì)計(jì)劃準(zhǔn)備的客觀認(rèn)識(shí)水平。當(dāng)尋求自我意識(shí)，安全事件響應(yīng)團(tuán)隊(duì)必須避免高估自己對(duì)某個(gè)威脅的響應(yīng)能力，并清楚在哪里可以獲得幫助。

2. 認(rèn)清技術(shù)的優(yōu)點(diǎn)和局限性

在諸如RSA大會(huì)之類的行業(yè)活動(dòng)展會(huì)現(xiàn)場(chǎng),到處都充斥著一個(gè)普遍的市場(chǎng)信息：下一個(gè)偉大的技術(shù)將會(huì)解決你所有面臨的問(wèn)題。但高級(jí)威脅防護(hù)不等于一個(gè)產(chǎn)品，也沒(méi)有一個(gè)孤立的解決方案可以實(shí)現(xiàn)。盡管如此，企業(yè)技術(shù)投資的比重還是高于安全事件響應(yīng)計(jì)劃的投資。根據(jù)我們福雷斯特安全調(diào)查，當(dāng)一個(gè)安全違規(guī)事件發(fā)生之后，25%的企業(yè)增加了用于購(gòu)買安全違規(guī)預(yù)防技術(shù)的費(fèi)用，然而只有23%的企業(yè)增加了用于安全事件響應(yīng)計(jì)劃自身的費(fèi)用。

3. 建立符合實(shí)際的報(bào)告和衡量機(jī)制

許多企業(yè)使用錯(cuò)誤的度量機(jī)制來(lái)測(cè)量他們安全事件響應(yīng)計(jì)劃的性能。偵查掃描活動(dòng)不等于安全事件，就像防病毒(AV)定義更新無(wú)法測(cè)量安全事件響應(yīng)能力的成功與否一樣。有效的安全事件響應(yīng)團(tuán)隊(duì)使用更有意義的業(yè)務(wù)指標(biāo)。一旦你已經(jīng)建立了一個(gè)通用的安全事件定義，你就需要測(cè)量檢測(cè)它所用的時(shí)間、抑制它擴(kuò)散所用的時(shí)間和補(bǔ)救所用的時(shí)間。攻擊者進(jìn)入你的網(wǎng)絡(luò)后你要花多久時(shí)間才能檢測(cè)到它?一旦檢測(cè)出來(lái)，你要花多久時(shí)間才能抑制住攻擊者?你要花多久時(shí)間才能完成對(duì)該安全事件的補(bǔ)救工作?這些測(cè)量都是以結(jié)果為導(dǎo)向輸出的度量機(jī)制。當(dāng)企業(yè)提升了員工的技能，部署了新的安全控制措施，這些測(cè)量數(shù)字就會(huì)有所改善。

4. 讓計(jì)劃可擴(kuò)展

當(dāng)處理全球性公司的安全事件時(shí)，安全事件響應(yīng)的可擴(kuò)展性就變成非常關(guān)鍵的因素。很多人會(huì)對(duì)世界上最大的公司作了錯(cuò)誤的假設(shè)，僅僅因?yàn)樗鼈儞碛凶畛墒斓募夹g(shù)和能力。事實(shí)上，全球性公司的規(guī)模和自身復(fù)雜性導(dǎo)致安全事件響應(yīng)特別具有挑戰(zhàn)性。正如一位咨詢公司的安全事件響應(yīng)總監(jiān)所說(shuō)：“個(gè)頭越大，摔得越重”。流程和監(jiān)督對(duì)于確保安全事件響應(yīng)計(jì)劃的可擴(kuò)展性來(lái)說(shuō)至關(guān)重要。

5.內(nèi)外協(xié)作

安全事件響應(yīng)團(tuán)隊(duì)不是孤立的在工作;他們是一個(gè)更大社區(qū)的一部分。鑒于企業(yè)面對(duì)的絕大多數(shù)威脅形勢(shì)和操作上的限制，這些團(tuán)隊(duì)必須工作在一個(gè)更大的社區(qū)內(nèi)才能成功。成功的團(tuán)隊(duì)能建立良好的IT關(guān)系，認(rèn)識(shí)到顧問(wèn)的重要性，并能在可信合作伙伴之間共享威脅信息。

6.鼓勵(lì)高管參與

在過(guò)去，安全專家們?cè)跒椴┑脴I(yè)務(wù)領(lǐng)導(dǎo)的關(guān)注而努力奮斗。但過(guò)度聚焦在戰(zhàn)術(shù)安全度量指標(biāo)上，不能與業(yè)務(wù)需求保持一致，以及“不存在的部門”的名聲，已經(jīng)遏制了業(yè)務(wù)領(lǐng)導(dǎo)對(duì)安全的興趣。然而根據(jù)福雷斯特調(diào)查顯示，最近幾年發(fā)生的高調(diào)的網(wǎng)絡(luò)攻擊事件已經(jīng)提升了70%本次調(diào)查受訪企業(yè)的高管的安全意識(shí)。業(yè)務(wù)領(lǐng)袖們正從《華爾街周刊》和《金融時(shí)報(bào)》的頭版閱讀著這些網(wǎng)絡(luò)攻擊的文章?，F(xiàn)在是時(shí)候利用這個(gè)優(yōu)勢(shì)去鼓勵(lì)那些已經(jīng)準(zhǔn)備好聽(tīng)你的見(jiàn)解的高管門參與其中。

7.自主運(yùn)作

安全事件響應(yīng)團(tuán)隊(duì)的工作就是打擊攻擊者，他們必須感覺(jué)到有權(quán)作出關(guān)鍵決定，而不是必需花時(shí)間去尋求對(duì)他們行動(dòng)的審批。當(dāng)數(shù)據(jù)正從你的網(wǎng)絡(luò)向外泄漏，損失是以秒來(lái)計(jì)算的，你必須建立一個(gè)啟用自主權(quán)的框架。為了啟動(dòng)自主權(quán)，安全事件響應(yīng)團(tuán)隊(duì)必須制定清晰的交戰(zhàn)規(guī)則定義，避免出現(xiàn)微觀管理和向上操縱指揮系統(tǒng)現(xiàn)象。最后，你必須確保高層管理層支持安全事件響應(yīng)分析師們做出的決定——哪怕這個(gè)響應(yīng)決定最后被證明是錯(cuò)的。錯(cuò)誤會(huì)發(fā)生，但一旦他們這樣做了，安全領(lǐng)導(dǎo)必須支持這些前線的分析師們的決定。安全事件響應(yīng)參與者們必須能感覺(jué)到管理層將會(huì)支持他們的決定，當(dāng)做了錯(cuò)誤的決定，安全事件響應(yīng)團(tuán)隊(duì)不會(huì)因此成為替罪羊。

你的客戶(和大多數(shù)公眾)并不期望你的企業(yè)具有防彈能力;大家越來(lái)越同情那些被資金充裕、技術(shù)高超、有組織的犯罪分子侵害的企業(yè)。對(duì)于一次安全違規(guī)事件的態(tài)度，已經(jīng)從指責(zé)的紅字轉(zhuǎn)變成鼓勵(lì)勇氣的紅勛章。一個(gè)協(xié)調(diào)一致、行動(dòng)利落的安全響應(yīng)計(jì)劃能優(yōu)先確保對(duì)客戶的透明溝通和保護(hù)客戶身份和財(cái)務(wù)信息，這將會(huì)提高你企業(yè)的品牌。