反面模式（anti-pattern）在軟件工程大量存在，主要是指在應用實踐中經常出現但又低效或是有待優化的設計模式，以及那些不能很好解決問題的低效方法。通過對反面模式進行研究和分析，可以幫助開發者在系統研發時主動規避，防止產品在實際交付中出現問題。

　　網絡安全事件響應是企業正在不斷探索和完善的一個新領域，在此過程中，一些組織嚴重依賴于模式化、經驗化的傳統處置流程，卻往往忽略了其中存在的很多反面模式。為了幫助企業提升網絡安全事件相應效率，本文收集整理了安全事件響應中經常會遇到、應當避免使用的一些常見反面模式。通過對這些反面模式的分析總結，能夠讓安全人員從錯誤或者失敗中學習提高，避免類似問題再次發生。

　　反面模式1：將事件通報安全團隊的每個人

　　每當檢測到安全事件發生時舊立刻通報所有安全人員并不是很好的應急響應做法，除非滿足以下兩個條件時：

　　組織中的安全團隊規模較小，可以快速通報，并且需要團隊所有能力協同工作；

　　安全事件非常嚴重，讓所有人都參與進來是更好的選擇；

　　當企業安全團隊規模不斷擴大時，全面通報安全事件的做法可能并不理想，因為最終會通知到一些與事件無關的人。這可能會加重安全告警疲勞，當安全人員的專注力總是被無關事務干擾時，很多嚴重的安全事件反而會忽略。

　　優化方案：

　　建立“隨叫隨到”的值班制度，并設置有針對性的告警策略，這樣可以幫助企業有效地分配處置任務并防止事件警報疲勞。

　　反面模式2：頻繁進行處置信息同步

　　事件響應者在處理突發安全事件時，往往希望一線處置人員不斷更新事件動態。當然，更新是有好處的，因為這樣可以讓更多人充分了解情況，從而可能提供更多的建議和方案。然而，在處理很多重大安全事件時，團隊如果被迫更多地關注于發送更新動態，就會無法集中精力解決事件，這可能會影響到事件處置的過程和效果。

　　優化方案：

　　指派專人負責處理溝通事宜和動態更新，及時向團隊同步最新的進展情況。

　　反面模式3：處置決策需要充分的討論

　　有一種觀點認為，在處置重大安全事件決策時，需要經過充分討論才能保障措施的正確性，因此過程中充斥著混亂和恐慌都是正常的。但實踐表明，這種認知并不正確。當很多人共同應對一起事件時，需要高度協同合作并讓每個人都與所采取的行動保持同步是非常關鍵的。混亂和恐慌會使情況惡化，應該通過明確的角色和責任來避免。

　　優化方案：

　　安全團隊應該有一個決策領導人，負責決策并授權可能影響結果的更改。響應團隊還可以使用線上會議平臺來確保有效的溝通，防止混亂和恐慌。

　　反面模式4：事件發生后才開始評估危害性

　　在事件發生后才分析事件的嚴重性無疑是在浪費處置的時間。這段時間應該用來全力解決事件。企業應該為各種可能的安全事件提前定義出明確的嚴重性級別，因為事件響應、計劃和決策都需要依據其嚴重性來開展。理想狀態下，規則應該是技術驅動的、清晰的和自動化的，每個事件都應該有預先定義好的嚴重級別。

　　優化方案：

　　定期進行事件響應培訓和桌面推演，以幫助團隊了解如何更好地處理緊急安全事件。

　　反面模式5：沒有事件響應關聯機制

　　當企業缺乏將安全事件與正確的響應者聯系起來的機制時，他們就無法在事件發生后第一事件通知到正確的響應者。為了尋找正確的處置人，企業可能會耽誤寶貴的事件處置時間。除此之外，當涉及多個團隊協作時，也可能出現無法通知到正確響應者的情況。每個團隊都要有一個可識別的、可隨時聯系到的人，這一點對安全事件處置很重要。

　　優化方案：

　　提前制定一個清晰、運行良好的響應機制，確保可以將事件警報及時通報給正確的響應者，以確保信息傳送和處置工作順利進行。

　　反面模式6：事后分析不足

　　事后分析對于安全事件響應非常重要，因為它可以幫助企業從已經發生的安全事件中學習，并計劃未來的行動。如果沒有事后分析，企業將無法認識到什么是有效的，以及可以改進的地方。

　　導致事后分析失敗的原因有很多：

　　有些團隊經常因為截止日期和意外事件而倍感壓力。因此，一旦事件解決，就忽視了進行事后分析；

　　有時事后分析會變成互相指責和責任追究，只有當所有成員開誠布公地討論問題時，才會有好的事后分析結果；

　　在某些情況下，企業進行事后分析只是因為流程需要，而不是為了尋找真正的答案。

　　優化方案：

　　將安全事件的事后分析納入事件響應過程的一部分，并且必須得到所有人的重視。

　　反面模式7：固化的處置策略和流程

　　企業會在一些歷史的處置實踐中形成思維定勢，并依賴于延續這些固化的處置策略和流程。然而，很多時候安全事件的發生難以預測，固化的解決方法往往無法有效發揮作用。擁有靈活的策略和流程可以幫助企業適應不斷變化的處置需求，并在需要時找到正確、合適的解決方案。

　　優化方案：

　　企業應該嘗試不斷應對安全風險的發展變化。另外，不要害怕做出改變。盡管一些流程上的改變會在短期內影響事件處置進程，但從長遠來看會帶來更快、更好的結果。

　　反面模式8：分工職責混亂

　　突發的安全事件往往會讓安全團隊措手不及，安全人員會在不知情的狀態下承擔多個角色，這樣只會進一步加劇混亂局面。在處置過程種的高壓狀態下，安全人員被期望迅速開展行動。但是，由于團隊分工職責混亂，誰也不知道自己需要做什么，這會讓情況變得更糟。

　　優化方案：

　　為安全團隊提前定義正確的角色和責任，如果出現改變應及時更新同步信息，讓團隊所有成員都知道。

　　參考鏈接：https://dzone.com/articles/anti-patterns-in-incident-response-that-you-should