《地球戰(zhàn)栗》作者Ayn Rand曾經(jīng)說：“最難理解的莫過于平時(shí)習(xí)以為常的事情出了狀況。”這種說法非常適用于IT和信息社區(qū)在事件響應(yīng)方面的做法。每家企業(yè)都看似安全、合規(guī)且能夠處理任何發(fā)生的安全事件，當(dāng)然，等事情真正發(fā)生時(shí)就不是那么回事兒了。事實(shí)上，企業(yè)的事件響應(yīng)政策存在很多空白、漏洞和不足。作為IT或安全管理人員，事件發(fā)生后，你會(huì)突然變成被關(guān)注的焦點(diǎn)，但是很多情況下，你都沒做好準(zhǔn)備。

[[165382]]

很多事件響應(yīng)計(jì)劃只是理論，而沒有實(shí)際做法。而恰恰企業(yè)應(yīng)該制定明確做法，在事件或泄露事故發(fā)生后可供大家遵循。請不要再使用非正式政策，這些政策通常不會(huì)被強(qiáng)制執(zhí)行，大多數(shù)人也不重視。如今，詳細(xì)的安全事件響應(yīng)政策或計(jì)劃與企業(yè)災(zāi)難恢復(fù)計(jì)劃一樣重要，甚至要更加重要。如果你沒有事件響應(yīng)策略或可行程序，那么是時(shí)候開始部署了。不過，你應(yīng)該避免犯這些錯(cuò)誤：

• 在沒有全部正確信息的情況下作出決策

正如豎立IT和安全目標(biāo)能夠指引你朝正確的方向前進(jìn)，你需要從系統(tǒng)和人員那里獲取良好的信息以有效應(yīng)對安全事件。不過，對于某些事件，有些人會(huì)對發(fā)生的事情找合理化借口，并將原本不好的事情說成好的事情。在很多情況下，人們在完全沒有任何信息的情況下作出決策，這對企業(yè)安全來說很不好。

• 專注于清單項(xiàng)目而不是流程

現(xiàn)實(shí)情況是，很多企業(yè)并沒有對其信息風(fēng)險(xiǎn)進(jìn)行真正的評估。大多數(shù)IT和安全專業(yè)人員不知道敏感信息的位置;在數(shù)據(jù)泄露的情況下，非常難以發(fā)現(xiàn)哪些系統(tǒng)和信息已被泄露。對于網(wǎng)絡(luò)事件響應(yīng)，企業(yè)不應(yīng)該使用核對清單，應(yīng)注重流程。

• 行動(dòng)速度不夠快

部署事件響應(yīng)政策的首要目標(biāo)之一是：保持與任何隨后調(diào)查有關(guān)的系統(tǒng)、信息和日志記錄的完整性。企業(yè)應(yīng)該獲取這些信息并使其隨時(shí)可用。理想情況下，你應(yīng)該有外部事件響應(yīng)和隨時(shí)協(xié)助取證公司的任何調(diào)查。

• 律師沒有作為事件響應(yīng)領(lǐng)導(dǎo)者

在法律方面，關(guān)鍵策略是獲取和維持律師-委托人特權(quán)。你的律師應(yīng)該起領(lǐng)導(dǎo)作用，特別是要擔(dān)負(fù)起與安全團(tuán)隊(duì)成員及外部供應(yīng)商聯(lián)系的主要人員。

• 沒有提前準(zhǔn)備適當(dāng)?shù)墓ぞ?/strong>