一、前言
今天这一篇文章主要就是介绍应急响应中的KPI。不过在讨论之前,还是得简单的介绍一下什么是应急响应。
二、什么是应急响应?
“应急响应”对应的英文是“Incident Response”(IR),是一种处理安全事件、漏洞和网络威胁的结构化方法。通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
三、应急响应流程
应急响应流程可以参考NIST其中明确了应急响应4个阶段并细分出了6个步骤。
**准备阶段:**人员、预案手册(Playbook)、工具;
**检测与分析阶段:**确认安全事件类型,明确事件等级;
**遏制、根除和恢复阶段:**立即止损,根据安全事件类型选择对应的遏制方法并制定恢复计划;
**事后总结:**从本次的安全事件中改进流程,并将新数据反馈到应急响应流程的准备阶段。你应该询问、调查并记录以下问题的答案:
-
-
发生了什么,在什么时候?
-
事件响应小组对事件的处理情况如何?是否遵循了流程,是否足够?
-
更早地发现还需要哪些信息?
-
是否采取了任何导致损坏或阻碍恢复的错误操作?
-
如果下次发生同样的事件,我们可以采取哪些不同的做法?
-
我们能否与其他组织或其他部门更好地分享信息?
-
我们是否学会了防止类似事件再次发生的方法?
-
我们是否发现了类似事件的新预兆或迹象,以供将来观察?
-