網絡事件的范圍可以從輕微的停電到全面的網絡攻擊。無論事件規模如何，制定明確的指導方針都可以幫助組織制定有效且標準化的響應計劃。

系統管理、審計、網絡和安全 (SANS) 研究所是提供網絡安全培訓、研究和認證的領先組織之一。他們在該領域數十年的經驗使他們在 2012 年發布了他們的網絡安全框架，即事件處理手冊。自發布以來，SANS 框架已被公認為最全面的事件響應方法之一，并已被全球許多有影響力的組織實施。

以下是 SANS 框架的事件響應過程的六個步驟：

一、準備

準備工作就是讓您的團隊準備好盡可能快速有效地處理事件。當您采取的每一步都可能影響結果時，準備并制定應對計劃將使世界變得不同。

準備過程涉及制定政策，這些政策是明確的書面原則或實踐。然后將這些策略納入響應計劃，以指導您的組織在整個事件中的行動。響應計劃的很大一部分是事件的優先級，這應該基于業務影響。高影響事件更有可能引起高層管理人員的注意。

二、鑒別

識別過程通常涉及從日志文件、入侵檢測系統和其他來源收集信息，以確定是否存在偏離規范的情況。請記住，偏差并不一定意味著事件。非 IT 員工也可以幫助識別事件，主要是當他們的系統行為異常時。

三、遏制

確定事件后，重點應轉向控制和最小化其影響。這個階段有幾個步驟：

1. 短期遏制

此步驟的主要目的是最大程度地減少事件并阻止它造成進一步的損害（例如，將受感染的設備與組織的網絡斷開連接）。

2. 系統備份

在擦除受影響的系統之前，有必要拍攝一張顯示系統在感染期間的狀態的取證圖像。法醫圖像可以在刑事案件中派上用場，并防止將來發生類似的事情。

3. 長期遏制

最后一步是臨時修復受影響的系統，以便可以使用它并防止生產暫停。這可以通過安裝安全補丁和其他措施來防止未來升級。

四、根除

根除是擦除系統以刪除任何惡意內容的階段。這通常是通過使用系統在生產中使用之前的原始磁盤映像重新構想系統來完成的，“新”系統應配備足夠的工具和強大的安全措施，以防止未來的攻擊。

五、恢復

恢復過程將使受影響的系統重新投入生產，但只有在仔細測試、監控和驗證它們不會導致再次感染之后。必須擁有必要的工具來測試、監控和驗證系統，以確保其功能齊全且干凈。系統的用戶應該有一個設定的測試周期，以及恢復操作的時間和日期。

六、得到教訓

SANS 框架的最后階段只能通過前五個階段的持續和詳細的文檔來實現。然后可以將文檔編譯成一份報告，總結事件并回答事件發生的時間、原因和方式。該報告的主要目標是幫助組織從事件中吸取教訓。它可以幫助提高員工績效，并成為未來類似事件中的參考點。最好召開一次經驗教訓會議，簡明扼要地總結事件并概述未來的行動方案。