咨詢公司Forreste曾經(jīng)把2011和2012年稱作“黑客的黃金年代”，而今，2013年剛過去的一個季度顯示這個黃金年代毫無疑問的還在繼續(xù)。在今年前三個月里，Apple，Bit9，F(xiàn)acebook，Microsoft，《紐約時報》，《華爾街日報》，以及Twitter都把安全違規(guī)問題變成了頭等關(guān)注大事。

如今，安全威脅變得更加不容易控制，攻擊技術(shù)變得越來越成熟和復(fù)雜。盡管如此，安全事件響應(yīng)并沒有獲得應(yīng)有的重視。

安全事件響應(yīng)計劃應(yīng)該成為企業(yè)內(nèi)部一項戰(zhàn)略活動。然而即使一個企業(yè)在遭遇了安全違規(guī)之后，安全事件響應(yīng)計劃仍然沒有獲得應(yīng)有的重視。根據(jù)我們最新的福雷斯特安全調(diào)查，2011年和2012年，當(dāng)企業(yè)遭遇安全違規(guī)之后，對于安全事件響應(yīng)計劃的投資僅僅增加5個百分點，從18%上升到23%。一個令人震驚的趨勢是，21%的企業(yè)表示一次安全違規(guī)事件并未導(dǎo)致企業(yè)進(jìn)行任何變化。

在編制我們的安全架構(gòu)與運營一書時，我們確定一個高效的安全事件響應(yīng)計劃應(yīng)該具備七條原則。采用以下原則，你將能更好的應(yīng)對威脅形勢并能從安全事件中實現(xiàn)更有效的恢復(fù)。

1. 自我意識

讓安全事件響應(yīng)團(tuán)隊意識到自身的能力和約束是關(guān)鍵。成功取決于對計劃準(zhǔn)備的客觀認(rèn)識水平。當(dāng)尋求自我意識，安全事件響應(yīng)團(tuán)隊必須避免高估自己對某個威脅的響應(yīng)能力，并清楚在哪里可以獲得幫助。

2. 認(rèn)清技術(shù)的優(yōu)點和局限性

在諸如RSA大會之類的行業(yè)活動展會現(xiàn)場,到處都充斥著一個普遍的市場信息：下一個偉大的技術(shù)將會解決你所有面臨的問題。但高級威脅防護(hù)不等于一個產(chǎn)品，也沒有一個孤立的解決方案可以實現(xiàn)。盡管如此，企業(yè)技術(shù)投資的比重還是高于安全事件響應(yīng)計劃的投資。根據(jù)我們福雷斯特安全調(diào)查，當(dāng)一個安全違規(guī)事件發(fā)生之后，25%的企業(yè)增加了用于購買安全違規(guī)預(yù)防技術(shù)的費用，然而只有23%的企業(yè)增加了用于安全事件響應(yīng)計劃自身的費用。

3. 建立符合實際的報告和衡量機(jī)制

許多企業(yè)使用錯誤的度量機(jī)制來測量他們安全事件響應(yīng)計劃的性能。偵查掃描活動不等于安全事件，就像防病毒(AV)定義更新無法測量安全事件響應(yīng)能力的成功與否一樣。有效的安全事件響應(yīng)團(tuán)隊使用更有意義的業(yè)務(wù)指標(biāo)。一旦你已經(jīng)建立了一個通用的安全事件定義，你就需要測量檢測它所用的時間、抑制它擴(kuò)散所用的時間和補(bǔ)救所用的時間。攻擊者進(jìn)入你的網(wǎng)絡(luò)后你要花多久時間才能檢測到它?一旦檢測出來，你要花多久時間才能抑制住攻擊者?你要花多久時間才能完成對該安全事件的補(bǔ)救工作?這些測量都是以結(jié)果為導(dǎo)向輸出的度量機(jī)制。當(dāng)企業(yè)提升了員工的技能，部署了新的安全控制措施，這些測量數(shù)字就會有所改善。

4. 讓計劃可擴(kuò)展

當(dāng)處理全球性公司的安全事件時，安全事件響應(yīng)的可擴(kuò)展性就變成非常關(guān)鍵的因素。很多人會對世界上最大的公司作了錯誤的假設(shè)，僅僅因為它們擁有最成熟的技術(shù)和能力。事實上，全球性公司的規(guī)模和自身復(fù)雜性導(dǎo)致安全事件響應(yīng)特別具有挑戰(zhàn)性。正如一位咨詢公司的安全事件響應(yīng)總監(jiān)所說：“個頭越大，摔得越重”。流程和監(jiān)督對于確保安全事件響應(yīng)計劃的可擴(kuò)展性來說至關(guān)重要。

5.內(nèi)外協(xié)作

安全事件響應(yīng)團(tuán)隊不是孤立的在工作;他們是一個更大社區(qū)的一部分。鑒于企業(yè)面對的絕大多數(shù)威脅形勢和操作上的限制，這些團(tuán)隊必須工作在一個更大的社區(qū)內(nèi)才能成功。成功的團(tuán)隊能建立良好的IT關(guān)系，認(rèn)識到顧問的重要性，并能在可信合作伙伴之間共享威脅信息。

6.鼓勵高管參與

在過去，安全專家們在為博得業(yè)務(wù)領(lǐng)導(dǎo)的關(guān)注而努力奮斗。但過度聚焦在戰(zhàn)術(shù)安全度量指標(biāo)上，不能與業(yè)務(wù)需求保持一致，以及“不存在的部門”的名聲，已經(jīng)遏制了業(yè)務(wù)領(lǐng)導(dǎo)對安全的興趣。然而根據(jù)福雷斯特調(diào)查顯示，最近幾年發(fā)生的高調(diào)的網(wǎng)絡(luò)攻擊事件已經(jīng)提升了70%本次調(diào)查受訪企業(yè)的高管的安全意識。業(yè)務(wù)領(lǐng)袖們正從《華爾街周刊》和《金融時報》的頭版閱讀著這些網(wǎng)絡(luò)攻擊的文章。現(xiàn)在是時候利用這個優(yōu)勢去鼓勵那些已經(jīng)準(zhǔn)備好聽你的見解的高管門參與其中。

7.自主運作

安全事件響應(yīng)團(tuán)隊的工作就是打擊攻擊者，他們必須感覺到有權(quán)作出關(guān)鍵決定，而不是必需花時間去尋求對他們行動的審批。當(dāng)數(shù)據(jù)正從你的網(wǎng)絡(luò)向外泄漏，損失是以秒來計算的，你必須建立一個啟用自主權(quán)的框架。為了啟動自主權(quán)，安全事件響應(yīng)團(tuán)隊必須制定清晰的交戰(zhàn)規(guī)則定義，避免出現(xiàn)微觀管理和向上操縱指揮系統(tǒng)現(xiàn)象。最后，你必須確保高層管理層支持安全事件響應(yīng)分析師們做出的決定——哪怕這個響應(yīng)決定最后被證明是錯的。錯誤會發(fā)生，但一旦他們這樣做了，安全領(lǐng)導(dǎo)必須支持這些前線的分析師們的決定。安全事件響應(yīng)參與者們必須能感覺到管理層將會支持他們的決定，當(dāng)做了錯誤的決定，安全事件響應(yīng)團(tuán)隊不會因此成為替罪羊。

你的客戶(和大多數(shù)公眾)并不期望你的企業(yè)具有防彈能力;大家越來越同情那些被資金充裕、技術(shù)高超、有組織的犯罪分子侵害的企業(yè)。對于一次安全違規(guī)事件的態(tài)度，已經(jīng)從指責(zé)的紅字轉(zhuǎn)變成鼓勵勇氣的紅勛章。一個協(xié)調(diào)一致、行動利落的安全響應(yīng)計劃能優(yōu)先確保對客戶的透明溝通和保護(hù)客戶身份和財務(wù)信息，這將會提高你企業(yè)的品牌。