快的！一旦您意識(shí)到您的網(wǎng)絡(luò)受到攻擊，您必須做的第一件事是什么？如果你仍然需要時(shí)間來想一個(gè)答案，那就意味著你沒有計(jì)劃。這可能會(huì)導(dǎo)致您對(duì)威脅的響應(yīng)速度慢得多，并可能導(dǎo)致嚴(yán)重后果，因?yàn)樵谏婕熬W(wǎng)絡(luò)攻擊時(shí)，每一秒都很重要。消除威脅所需的時(shí)間越長，風(fēng)險(xiǎn)就越大。?

根據(jù)智能技術(shù)解決方案安全顧問 Jeff Farr 的說法，許多因素會(huì)影響企業(yè)對(duì)威脅的響應(yīng)方式。然而，他們可能犯的第一個(gè)錯(cuò)誤是沒有計(jì)劃。“想象一下經(jīng)歷一場重大災(zāi)難。你要度過難關(guān)的唯一方法就是做好計(jì)劃，”他說。?

在本文中，我們將深入探討 1) 為什么需要事件響應(yīng)計(jì)劃 (IRP) 以及 2) 它需要采取哪些步驟才能在安全事件中為您提供指導(dǎo)。?

事件響應(yīng)計(jì)劃的重要性?

IRP可幫助您確定遇到安全事件時(shí)要采取的下一個(gè)合乎邏輯的步驟。換句話說，它可以準(zhǔn)確地告知您的團(tuán)隊(duì)他們?cè)诓煌瑘鼍爸行枰鍪裁矗瑤椭麄儏f(xié)調(diào)行動(dòng)。這可以防止失誤并節(jié)省寶貴的時(shí)間。這樣做可以防止攻擊升級(jí)或蔓延到其他資源，從而使您能夠更快地響應(yīng)、緩解和管理安全事件。?

然而，并不是所有的 IRP 都是一樣的。它根據(jù)每個(gè)公司的獨(dú)特需求而有所不同。但是，為了有效，所有 IRP 都需要具備幾個(gè)關(guān)鍵步驟。在下面查看它們：?

第 1 步：通知所有相關(guān)方

如果發(fā)生安全事件，您需要做的第一件事是立即通知所有相關(guān)方。“他們中的很多人不告訴任何人，”法爾說。??

對(duì)于您和您的團(tuán)隊(duì)來說，這意味著報(bào)告您在網(wǎng)絡(luò)中看到的任何可疑活動(dòng)，即使這意味著當(dāng)您不小心點(diǎn)擊某些東西時(shí)報(bào)告您自己。這將允許 IT 人員或負(fù)責(zé)您的安全的 IT 支持公司在威脅傳播之前遏制或消除威脅。它將有助于減輕安全事件的損害。?

在通知負(fù)責(zé)安全的人員后，您需要聯(lián)系您的法律部門尋求建議。他們將能夠指導(dǎo)您哪些信息需要與當(dāng)局分享，哪些信息可以保密。?

您需要聯(lián)系的下一個(gè)是您的網(wǎng)絡(luò)保險(xiǎn)公司。這將有助于加快獲得保險(xiǎn)的過程，并將告知您保險(xiǎn)公司將采取哪些步驟來幫助您。?

最后，您可以致電聯(lián)邦調(diào)查局 (FBI)。如果您有網(wǎng)絡(luò)保險(xiǎn)，您的提供商可能會(huì)建議您向他們報(bào)告該事件。他們擁有豐富的知識(shí)、經(jīng)驗(yàn)和專業(yè)知識(shí)，可以幫助您處理安全事件。此外，如果您的企業(yè)被視為關(guān)鍵基礎(chǔ)設(shè)施的一部分，則根據(jù) 2022 年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案，您有法律義務(wù)報(bào)告安全事件。通知所有相關(guān)方后，讓每個(gè)人都了解事件的最新狀態(tài)。?

第 2 步：分析威脅

了解你的敵人是成功的一半。如果您知道自己面臨什么樣的威脅，您將能夠更好地應(yīng)對(duì)和減輕其影響。例如，如果您知道它是勒索軟件，您就會(huì)知道必須在它感染其他設(shè)備或數(shù)據(jù)庫之前迅速將其關(guān)閉并隔離。?

第 3 步：遏制或消除威脅?

當(dāng)您擁有正確的工具（例如端點(diǎn)檢測和響應(yīng) (EDR) 軟件）時(shí)，確定如何處理威脅會(huì)相對(duì)容易。根據(jù) Farr 的說法，正確的網(wǎng)絡(luò)安全軟件可以檢測到威脅并為您隔離或消除它。?

不幸的是，如果您沒有上述工具，情況恰恰相反，您可能不得不在組織之外尋找解決方案。這可能會(huì)導(dǎo)致嚴(yán)重的問題，因?yàn)?/span>在任何安全事件中時(shí)間都是必不可少的。

第 4 步：進(jìn)行取證調(diào)查

一旦威脅被消除，分析事件是如何發(fā)生的以防止將來出現(xiàn)另一個(gè)問題至關(guān)重要。創(chuàng)建詳細(xì)的報(bào)告并記錄所有內(nèi)容。這樣做將幫助您找出需要改進(jìn)的地方，并有助于可能發(fā)生的任何調(diào)查或訴訟。?

準(zhǔn)備好了解有關(guān)如何應(yīng)對(duì)安全事件的更多信息了嗎？

無論您的網(wǎng)絡(luò)安全有多先進(jìn)，安全事件仍然可能發(fā)生。考慮到這一點(diǎn)，為可能威脅您業(yè)務(wù)未來的任何情況做好準(zhǔn)備至關(guān)重要。IRP 可以幫助指導(dǎo)您的團(tuán)隊(duì)，防止代價(jià)高昂的失誤并讓您更快地響應(yīng)安全事件。

雖然 IRP 需要根據(jù)貴公司的獨(dú)特需求和情況進(jìn)行定制，但有幾個(gè)步驟是任何有效計(jì)劃的支柱。重申一下，以下是這些步驟：?

第 1 步 - 通知所有相關(guān)方

第 2 步 - 分析威脅

第 3 步 - 遏制和消除威脅

第 4 步 - 進(jìn)行取證調(diào)查