预计到2021年，网络犯罪将使全球企业每年损失大约6万亿美元，这种威胁同样适用于具有一定规模的组织和业务单位。据统计，仅在英国，小型企业每天就会遭受65000次的网络攻击，虽然许多都是攻击未遂事件，可一旦攻击发生，造成的后果却不可想象。

很难想象，目前还没有哪个业务没有嵌入到互联网，这就意味着每个企业都需要为不可避免的攻击做好应急准备。网络事件响应计划（IRP）就是一种为组织提前做好预防的预防机制，无论发生什么响应，都可以管理一致且协调的响应，从而限制事件可能对正在进行的操作产生的影响。

本文会详细介绍如何创建有效IRP，并将创建过程分为几个关键阶段。然而，在考虑编写IRP之前，需要进行一些关键的分析，并将其记录下来，以捕获组织的关键流程、过程、资产和风险。如果没有这第一步，任何IRP可能都会明显缺乏其有效性。

创建IRP的准备工作

在开始设计组织应如何应对网络攻击的计划之前，我们先要将一些关键点拿出来着重介绍一下，这些关键事项还将支持和告知业务连续性需求和灾难恢复优先级，即:

首先，了解关键业务功能和流程，它们如何工作，以及它们为业务提供了什么价值；

其次，确定对支持关键业务功能或流程至关重要的系统和基础架构的组成部分，有效地绘制依赖关系图，包括在何处使用第三方；

最后，了解和建模关键业务功能或流程将如何应对组织面临的最可能威胁；

有些预防措施可能看起来特别繁琐，但在发生攻击时可能证明是特别重要，以支持对可能需要考虑的遏制行动作出适当的决策。

创建一个分类矩阵并分配角色和职责

在完成上述准备工作之后，现在需要优先考虑以下这些信息：企业最依赖的最关键的信息、最重要的流程和供应商是什么？列出结果的优先级并为每个元素分配严重性分类，将使组织作为一个整体更好地理解什么对它是重要的，以及组织使用的人员、流程、技术和信息的风险。

完成优先级列表后，下一步是确定谁应该参与每个级别的严重性，以及每个阶段的升级程序应该是什么。该计划的这一元素应与IT事件管理流程以及任何现存的危机管理计划和程序有内在联系，因为任何网络事件都可能从IT事件开始，但很可能最终的危机来自更广泛组织的支持，包括但不限于法律、市场营销、公关、人力资源、风险管理、运营和设施。

从人员，流程和技术（PPT）角度思考问题也是一个好主意，因为这三个方面中的一个经常被规范化事件响应计划的团队所忽视：

1. 将合适的人员纳入网络事件响应团队(CIRT)，将使组织作出及时和连贯的反应；

2. 简单而健壮的流程将支持情景感知并减少混淆；

3. 适当的技术支持CIRT和流程将简化和加快事件的解决；

4. 预先商定的计划将加快响应，并预先设定授权机构，既节省宝贵时间，又保留控制权；

合理安排计划中的每个步骤

该计划应包括在处理事件时要采取的明确步骤，以及如何在一开始就对事件进行分类，这有助于每个人了解问题所在。计划应包括以下具体方面：

1. 如何记录，升级和报告事件；

2. 事件的优先排序和沟通；

3. 各个计划中的人员角色和责任；

4. 联系方式：

4.1 事件响应团队成员；

4.2 相关第三方；

4.3 利益相关者；

5. 保险政策详情（如果有网络保险的话）；

6. 尽快对接到相应的缓解措施，以支持对特定情景并遏制或根除恶意预警； 

进行协调部署

这可以说是事件响应计划中最重要的一步了，没有这一步，所有的计划都是空谈。要让整个组织理解和采用事件响应策略，制定一个部署计划是至关重要的。理想情况下，这可以通过一个简单的桌面练习来完成。

该计划需要时刻保持更新，以保持准确和有效。当一个组织发生变化或发展时，防御计划也必须跟上，以便它仍然有效。就好比，如果企业迁入新的办公场所，但是在发生火灾时使用了以前房屋的消防计划，那么原计划就不太可能有用。该道理同样适用于IRP，IT升级，公司结构变更，新的供应商……，但所有变更都需要纳入计划，以使其有效。我们建议对计划制定者要随时对计划进行审查。另外，定期执行该计划，让计划有机会进行实战。

总结

网络IRP对于确保组织减少网络攻击至关重要，考虑到这一点，各个组织才应该尽可能做好准备，制定计划以最大限度地减少攻击影响。

本文翻译自：https://www.contextis.com/en/blog/why-an-incident-response-plan-helps-to-take-the-sting-out-of-a-cyber-incident如若转载，请注明原文地址： https://www.4hou.com/web/20303.html