隨著安全措施的發(fā)展，對手的能力也在不斷發(fā)展。因此，沒有任何安全措施是完美的。事故可能并且?guī)艑l(fā)生，因此為此做好準(zhǔn)備非常重要。

　　規(guī)劃、構(gòu)建、開發(fā)和維護(hù)有效的網(wǎng)絡(luò)事件響應(yīng)能力。

　　良好準(zhǔn)備是必備的

　　近年來，媒體報道了許多網(wǎng)絡(luò)事件，當(dāng)然還有許多事件沒有報道出來。其中包括廣泛且具有破壞性的勒索軟件攻擊以及敏感的個人或公司數(shù)據(jù)被盜。與此同時，欺詐和網(wǎng)絡(luò)犯罪每年繼續(xù)造成數(shù)以百萬計的損失。

　　事件可能是機(jī)會主義的或有針對性的，威脅可能來自組織的外部和內(nèi)部。但是，無論威脅的性質(zhì)如何，只有一件事可以幫助組織妥善處理網(wǎng)絡(luò)事件：做好準(zhǔn)備。

　　制定應(yīng)對計劃

　　當(dāng)不可避免的網(wǎng)絡(luò)事件或攻擊發(fā)生時，事件響應(yīng)計劃和能力應(yīng)該能夠適時啟動。

　　精心策劃和執(zhí)行的響應(yīng)將有助于最大限度地減少網(wǎng)絡(luò)攻擊造成的損害，意味著從減少丟失的數(shù)據(jù)量到最大程度地減少公眾和媒體的曝光度等。

　　事件響應(yīng)是網(wǎng)絡(luò)安全生命周期一部分

　　事件響應(yīng)是網(wǎng)絡(luò)安全生命周期的關(guān)鍵部分，但為了做出適當(dāng)?shù)捻憫?yīng)，必須考慮其周期的其他要素。正如美國國家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST） 所確定的，生命周期是：識別、保護(hù)、檢測、響應(yīng)、恢復(fù)。

　　事件響應(yīng)計劃還應(yīng)與災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)性和危機(jī)管理計劃相關(guān)聯(lián)，并得到相關(guān)能力的支持。當(dāng)事件嚴(yán)重到足以對業(yè)務(wù)造成重大中斷和/或損害時，這些就會發(fā)揮作用。

　　事件響應(yīng)計劃結(jié)構(gòu)

　　在現(xiàn)實世界中，如果沒有具備適當(dāng)技能的合適人員，出色的技術(shù)和技術(shù)能力可能仍然無法做出出色的反應(yīng)。

　　同樣，沒有事件響應(yīng)計劃或相關(guān)數(shù)據(jù)分析工具的熟練人員可能會遇到困難。

　　在實際響應(yīng)中，流程、人員和技術(shù)能力都相互重疊，相輔相成。為了便于閱讀和解釋，可將其劃分開來。

　　集合結(jié)構(gòu)

　　1

　　事件響應(yīng)概述

　　一個高層次的介紹到事件響應(yīng)過程，包括檢測和通知的重要問題。

　　2

　　網(wǎng)絡(luò)事件響應(yīng)流程

　　概述基本響應(yīng)計劃的組成部分，分解在實踐中應(yīng)如何管理事件并檢查響應(yīng)的各個階段，量身定制計劃。

　　3

　　事件響應(yīng)小組

　　關(guān)于組建事件響應(yīng)團(tuán)隊的建議，包括所需的技能和角色。包括每個企業(yè)應(yīng)具備的關(guān)鍵技能，以及只有大型企業(yè)可能具備的技能，研究如何發(fā)展這些技能。

　　4

　　技術(shù)能力

　　發(fā)生網(wǎng)絡(luò)安全事件時所需的技術(shù)，考慮日志和其他類型的證據(jù)，以及有助于成功解決網(wǎng)絡(luò)安全事件的技術(shù)操作和分析。

　　5

　　建立和維護(hù)能力

　　在設(shè)計、構(gòu)建和維護(hù)事件響應(yīng) （IR） 能力時需要考慮什么。

　　6

　　附錄：事件時間表

　　動作的故障應(yīng)采取遏制各類事故的信息，包括評論。