反面模式（anti-pattern）在軟件工程大量存在，主要是指在應(yīng)用實(shí)踐中經(jīng)常出現(xiàn)但又低效或是有待優(yōu)化的設(shè)計(jì)模式，以及那些不能很好解決問題的低效方法。通過對反面模式進(jìn)行研究和分析，可以幫助開發(fā)者在系統(tǒng)研發(fā)時(shí)主動(dòng)規(guī)避，防止產(chǎn)品在實(shí)際交付中出現(xiàn)問題。

　　網(wǎng)絡(luò)安全事件響應(yīng)是企業(yè)正在不斷探索和完善的一個(gè)新領(lǐng)域，在此過程中，一些組織嚴(yán)重依賴于模式化、經(jīng)驗(yàn)化的傳統(tǒng)處置流程，卻往往忽略了其中存在的很多反面模式。為了幫助企業(yè)提升網(wǎng)絡(luò)安全事件相應(yīng)效率，本文收集整理了安全事件響應(yīng)中經(jīng)常會(huì)遇到、應(yīng)當(dāng)避免使用的一些常見反面模式。通過對這些反面模式的分析總結(jié)，能夠讓安全人員從錯(cuò)誤或者失敗中學(xué)習(xí)提高，避免類似問題再次發(fā)生。

　　反面模式1：將事件通報(bào)安全團(tuán)隊(duì)的每個(gè)人

　　每當(dāng)檢測到安全事件發(fā)生時(shí)舊立刻通報(bào)所有安全人員并不是很好的應(yīng)急響應(yīng)做法，除非滿足以下兩個(gè)條件時(shí)：

　　組織中的安全團(tuán)隊(duì)規(guī)模較小，可以快速通報(bào)，并且需要團(tuán)隊(duì)所有能力協(xié)同工作；

　　安全事件非常嚴(yán)重，讓所有人都參與進(jìn)來是更好的選擇；

　　當(dāng)企業(yè)安全團(tuán)隊(duì)規(guī)模不斷擴(kuò)大時(shí)，全面通報(bào)安全事件的做法可能并不理想，因?yàn)樽罱K會(huì)通知到一些與事件無關(guān)的人。這可能會(huì)加重安全告警疲勞，當(dāng)安全人員的專注力總是被無關(guān)事務(wù)干擾時(shí)，很多嚴(yán)重的安全事件反而會(huì)忽略。

　　優(yōu)化方案：

　　建立“隨叫隨到”的值班制度，并設(shè)置有針對性的告警策略，這樣可以幫助企業(yè)有效地分配處置任務(wù)并防止事件警報(bào)疲勞。

　　反面模式2：頻繁進(jìn)行處置信息同步

　　事件響應(yīng)者在處理突發(fā)安全事件時(shí)，往往希望一線處置人員不斷更新事件動(dòng)態(tài)。當(dāng)然，更新是有好處的，因?yàn)檫@樣可以讓更多人充分了解情況，從而可能提供更多的建議和方案。然而，在處理很多重大安全事件時(shí)，團(tuán)隊(duì)如果被迫更多地關(guān)注于發(fā)送更新動(dòng)態(tài)，就會(huì)無法集中精力解決事件，這可能會(huì)影響到事件處置的過程和效果。

　　優(yōu)化方案：

　　指派專人負(fù)責(zé)處理溝通事宜和動(dòng)態(tài)更新，及時(shí)向團(tuán)隊(duì)同步最新的進(jìn)展情況。

　　反面模式3：處置決策需要充分的討論

　　有一種觀點(diǎn)認(rèn)為，在處置重大安全事件決策時(shí)，需要經(jīng)過充分討論才能保障措施的正確性，因此過程中充斥著混亂和恐慌都是正常的。但實(shí)踐表明，這種認(rèn)知并不正確。當(dāng)很多人共同應(yīng)對一起事件時(shí)，需要高度協(xié)同合作并讓每個(gè)人都與所采取的行動(dòng)保持同步是非常關(guān)鍵的。混亂和恐慌會(huì)使情況惡化，應(yīng)該通過明確的角色和責(zé)任來避免。

　　優(yōu)化方案：

　　安全團(tuán)隊(duì)?wèi)?yīng)該有一個(gè)決策領(lǐng)導(dǎo)人，負(fù)責(zé)決策并授權(quán)可能影響結(jié)果的更改。響應(yīng)團(tuán)隊(duì)還可以使用線上會(huì)議平臺(tái)來確保有效的溝通，防止混亂和恐慌。

　　反面模式4：事件發(fā)生后才開始評估危害性

　　在事件發(fā)生后才分析事件的嚴(yán)重性無疑是在浪費(fèi)處置的時(shí)間。這段時(shí)間應(yīng)該用來全力解決事件。企業(yè)應(yīng)該為各種可能的安全事件提前定義出明確的嚴(yán)重性級別，因?yàn)槭录憫?yīng)、計(jì)劃和決策都需要依據(jù)其嚴(yán)重性來開展。理想狀態(tài)下，規(guī)則應(yīng)該是技術(shù)驅(qū)動(dòng)的、清晰的和自動(dòng)化的，每個(gè)事件都應(yīng)該有預(yù)先定義好的嚴(yán)重級別。

　　優(yōu)化方案：

　　定期進(jìn)行事件響應(yīng)培訓(xùn)和桌面推演，以幫助團(tuán)隊(duì)了解如何更好地處理緊急安全事件。

　　反面模式5：沒有事件響應(yīng)關(guān)聯(lián)機(jī)制

　　當(dāng)企業(yè)缺乏將安全事件與正確的響應(yīng)者聯(lián)系起來的機(jī)制時(shí)，他們就無法在事件發(fā)生后第一事件通知到正確的響應(yīng)者。為了尋找正確的處置人，企業(yè)可能會(huì)耽誤寶貴的事件處置時(shí)間。除此之外，當(dāng)涉及多個(gè)團(tuán)隊(duì)協(xié)作時(shí)，也可能出現(xiàn)無法通知到正確響應(yīng)者的情況。每個(gè)團(tuán)隊(duì)都要有一個(gè)可識別的、可隨時(shí)聯(lián)系到的人，這一點(diǎn)對安全事件處置很重要。

　　優(yōu)化方案：

　　提前制定一個(gè)清晰、運(yùn)行良好的響應(yīng)機(jī)制，確保可以將事件警報(bào)及時(shí)通報(bào)給正確的響應(yīng)者，以確保信息傳送和處置工作順利進(jìn)行。

　　反面模式6：事后分析不足

　　事后分析對于安全事件響應(yīng)非常重要，因?yàn)樗梢詭椭髽I(yè)從已經(jīng)發(fā)生的安全事件中學(xué)習(xí)，并計(jì)劃未來的行動(dòng)。如果沒有事后分析，企業(yè)將無法認(rèn)識到什么是有效的，以及可以改進(jìn)的地方。

　　導(dǎo)致事后分析失敗的原因有很多：

　　有些團(tuán)隊(duì)經(jīng)常因?yàn)榻刂谷掌诤鸵馔馐录陡袎毫ΑＲ虼耍坏┦录鉀Q，就忽視了進(jìn)行事后分析；

　　有時(shí)事后分析會(huì)變成互相指責(zé)和責(zé)任追究，只有當(dāng)所有成員開誠布公地討論問題時(shí)，才會(huì)有好的事后分析結(jié)果；

　　在某些情況下，企業(yè)進(jìn)行事后分析只是因?yàn)榱鞒绦枰皇菫榱藢ふ艺嬲拇鸢浮?br />
　　優(yōu)化方案：

　　將安全事件的事后分析納入事件響應(yīng)過程的一部分，并且必須得到所有人的重視。

　　反面模式7：固化的處置策略和流程

　　企業(yè)會(huì)在一些歷史的處置實(shí)踐中形成思維定勢，并依賴于延續(xù)這些固化的處置策略和流程。然而，很多時(shí)候安全事件的發(fā)生難以預(yù)測，固化的解決方法往往無法有效發(fā)揮作用。擁有靈活的策略和流程可以幫助企業(yè)適應(yīng)不斷變化的處置需求，并在需要時(shí)找到正確、合適的解決方案。

　　優(yōu)化方案：

　　企業(yè)應(yīng)該嘗試不斷應(yīng)對安全風(fēng)險(xiǎn)的發(fā)展變化。另外，不要害怕做出改變。盡管一些流程上的改變會(huì)在短期內(nèi)影響事件處置進(jìn)程，但從長遠(yuǎn)來看會(huì)帶來更快、更好的結(jié)果。

　　反面模式8：分工職責(zé)混亂

　　突發(fā)的安全事件往往會(huì)讓安全團(tuán)隊(duì)措手不及，安全人員會(huì)在不知情的狀態(tài)下承擔(dān)多個(gè)角色，這樣只會(huì)進(jìn)一步加劇混亂局面。在處置過程種的高壓狀態(tài)下，安全人員被期望迅速開展行動(dòng)。但是，由于團(tuán)隊(duì)分工職責(zé)混亂，誰也不知道自己需要做什么，這會(huì)讓情況變得更糟。

　　優(yōu)化方案：

　　為安全團(tuán)隊(duì)提前定義正確的角色和責(zé)任，如果出現(xiàn)改變應(yīng)及時(shí)更新同步信息，讓團(tuán)隊(duì)所有成員都知道。

　　參考鏈接：https://dzone.com/articles/anti-patterns-in-incident-response-that-you-should