什么是突发事件响应？

突发事件响应 (IR) 是指快速识别攻击、最大限度降低其影响、控制损害并修复原因，以降低未来发生突发事件的风险。

让我们来定义突发事件响应

在某种程度上，几乎每家公司都创建了突发事件响应流程。但是，对于希望建立更正式流程的公司来说，必须提出以下相关问题：

1. 如果发生突发事件，应采取哪些步骤来促使有关责任方作出应对？
2. 您的应对计划应该有多全面和具体？
3. 您是否有足够的人员（和合适的人员）来做出适当的回应？
4. 对于响应突发事件并恢复正常运维，您可接受的服务级别协议是什么？

根据 Ponemon Institute 的一项研究，这些问题的答案很可能不是最佳答案，因为大多数公司在一个或多个领域都存在不足：

77% 的公司没有制定一致的正式计划

57% 的受访者表示响应时间有所增加

77% 的受访者表示，他们难以聘用和留住安全员工*

平均而言，识别恶意攻击或犯罪攻击需要 214 天，控制和恢复需要 77 天。很明显，需要更好的突发事件响应管理机制，以全面保护企业免受每天出现的不断增加的威胁的影响。

*IBM 研究：应对网络安全突发事件仍是企业面临的重大挑战

A. 合适的团队 - 为了提供最有效的突发事件响应，无论您的公司规模如何，行业专家都建议在您的团队中包含以下角色。显然，技术团队将发挥带头作用，但您公司中的其他职能部门也应该参与进来，尤其是在发生严重攻击的情况下。一旦确定了担任这些角色的人员，就需要对他们进行培训，让其了解在发生具有广泛影响的严重攻击时应承担什么责任：突发事件响应、安全分析、IT、威胁研究、法律、人力资源、企业沟通、风险管理、管理层和外部安全取证专家。

B. 合适的计划 - 全面突发事件响应计划至少包括以下策略和流程：

• 让团队做好应对任何威胁的准备
• 检测并确定突发事件的类型和严重性
• 控制和限制损害
• 确定其影响和相关风险
• 查找并消除根本原因
• 缓解并消除攻击
• 分析和修改攻击后计划，以防止未来发生攻击

当攻击发生时，沟通是关键，因此，请确保在响应计划中创建良好的沟通流程。

C. 合适的工具 - 随着未知攻击的数量不断增加，合适的工具可能能够为您的公司节省大量时间和资金，这将有助于保护您的客户和您的品牌忠诚度。

信息是任何突发事件响应计划的关键资产。因此，云端端点安全解决方案通常会为您提供最全面的工具，以最快的方式缓解攻击，包括通过以下方式访问关键数据：

• 捕获未经筛选的数据可让响应团队深入了解端点行为，而不仅仅是以前发现的攻击模式和行为。这是将攻击调查时间从数天缩短到几分钟的关键所在，特别是考虑到目前所利用的未知攻击方法越来越多。
• 数据分析可提供对所有端点活动（包括当前活动和历史活动）的可见性。借助正确的数据，您可以查看攻击的起点并确定攻击路径，所有这些都将有助于更快地进行修复。
• 外部威胁情报有助于快速识别您尚未发现但其他公司已发现的威胁。同样，如果您知道自己要处理什么，就可以更快地做出响应。
• 实时响应功能可帮您修复远程端点并消除不必要的重建映像工作。

关于网络弹性企业的第三次年度研究

几乎所有关于公司面临的安全挑战的研究都包含有关聘用和留住熟练安全人员的难度的统计数据，上述 Ponemon 研究中 77% 的受访者面临同样的问题。全球范围内的关键安全职位短缺近 200 万人。

缺乏合适的安全人员会严重影响任何突发事件响应，因此公司正在寻求外包这样的安全功能。事实上，Gartner 认为，2018 年安全外包服务支出超过 180 亿美元，这是继咨询服务之后的第二大安全支出领域。

聘用合适的人员很困难，这是有道理的，因为代管服务可以快速填补安全团队中的任何空缺。它可以帮您确定警报的优先级、发现新威胁并加快调查速度。这些服务通常由技能娴熟的威胁专家组成，他们可以持续关注您公司的环境，识别新出现的威胁，并在您的团队最需要帮助时提供对关键安全服务的访问权限。

*Gartner 预测，2018 年全球安全支出将达到 960 亿美元，比 2017 年增长 8%