將關鍵業務系統和數據進行備份是防止嚴重網絡攻擊后果的主動安全措施，但即使組織已經使用了可靠的備份工具或服務，它也可能會在網絡攻擊中受到影響。企業不能等到攻擊發生時才發現備份機制已經失效，這樣將會非常的被動。企業應該在安全可控的環境下測試備份機制的有效性和健壯性，可以采用道德黑客攻擊方法，針對保存敏感數據的系統發動攻擊。
　　沒有組織想在網絡安全事件發生時才被動響應，因此許多企業都已經制定了安全事件響應的策略和計劃，盡量減小攻擊事件造成的影響。然而，但隨著網絡威脅形勢的不斷變化，很多錯誤的做法可能會破壞響應計劃的有效執行，并使組織的系統暴露在更多威脅的面前。以下是企業在制定網絡安全事件響應計劃時最常見的10個錯誤：

　　01響應流程過于繁瑣

　　在一些企業的網絡安全事件響應計劃中，包含了復雜的響應流程和策略，而在危急關頭，安全人員往往沒有最好的狀態來執行復雜的響應流程，也不利于團隊集中精力解決事件，反而會影響到事件處置的時間和效果。只有在網絡安全攻擊事件發生的危急關頭，企業才需要真正啟動事件響應計劃，而在爭分奪秒的情況下，簡單直觀的事件處置流程會更容易落實，還節省時間。

　　02指揮鏈不清晰

　　網絡安全事件響應計劃并不會自動執行，需要由明確分工的人和團隊來執行。當很多人共同應對一起事件時，企業需要按照指揮鏈為人員分配角色和職責。高度協同合作并讓每個人都與所采取的行動保持同步是非常關鍵的。

　　很多企業組織可能已在事件響應計劃中設計了所有必要的程序，但是如果統籌規劃好這些步驟的執行順序和啟動條件，實際能起到的作用就會非常有限。企業應該通過明確的角色和責任來避免，提前做好安排，才能在緊急情況下迅速響應。

　　03沒有確立優先級

　　優先解決那些可能危及系統的問題有助于創建更安全的數字環境，但如果將響應資源浪費在那些可能的影子事件上，只會適得其反。大量實踐表明，后果嚴重的網絡安全事件必然會發生，所以組織需要能夠根據事件的影響來確定響應優先級，不然就會產生事件疲勞，嚴重威脅發生時卻無力解決。

　　但是事實上，很多企業在安全事件響應時，還是在隨機選擇優先處理的事件，并且沒有建立可量化的優先級評估指標。在網絡安全事件響應時，最關鍵的威脅數據應該得到最大程度的重視和關注，企業要根據事件與數據情報的綜合分析為事件響應確定優先級。

　　04使用通用的響應計劃

　　目前的市場上，有很多通用型的網絡安全事件響應計劃，并宣稱可以幫助企業節省事件響應的時間和資源投入，但事實恰恰相反。這些通用型事件響應計劃對企業的幫助非常有限，有時甚至會適得其反。沒有兩個組織的網絡系統和響應需求是完全一樣的，因此最有效的事件響應計劃是需要按需定制的。組織應當針對自身系統的特定情況，并圍繞自身的能力優勢來構建防御體系。盡管一些知名的網絡安全框架（比如《NIST計算機安全事件處理指南》）提供了標準化的響應流程，但企業應該以此作為參考，根據自身獨特的網絡環境定制事件響應流程。

　　05使用已過時的響應計劃

　　企業會在一些歷史的處置實踐中形成思維定勢，并依賴于延續這些固化的處置策略和流程。然而，很多時候安全事件的發生難以預測，固化的解決方法往往無法有效發揮作用。當企業面對網絡安全危機時，運用已過時的響應策略不會有多大實際的幫助。

　　響應計劃好比系統的支持文檔。系統在不斷發展變化，這需要在安全應對策略中也有所體現。擁有靈活的策略和流程可以幫助企業適應不斷變化的處置需求，并在需要時找到正確、合適的解決方案。

　　06不了解系統安全環境

　　企業只有充分了解目前信息系統的安全環境（包括使用的應用軟件、開放端口和第三方服務等），才能根據系統的真實狀態，定制合適的事件響應計劃，不然既不知道哪里出了問題，也不知道該如何解決問題。

　　這種了解需要基于全面的系統運行態勢觀察和監控，可以通過安裝先進的網絡監控工具來實現。這類工具可以提供有關企業網絡平臺上的安全漏洞、異常行為風險和運營活動等實時數據信息。

　　07缺乏度量指標

　　網絡安全事件響應是一項持續性工作。為了改善響應計劃的效果，企業組織必須不斷衡量自身的安全態勢表現。確定具體指標可以為衡量相應計劃的有效性提供一個參考標準。以事件響應時間為例。響應威脅的速度越快，恢復數據的效果就越好。只有長期跟蹤響應時間，并努力做得更好，才能不斷改善相應計劃中的這個指標。

　　08無效的可執行文檔

　　當重大安全事件發生后的一個常見問題是，安全團隊知道他們的責任是什么，但不確定如何履行這些責任。編寫安全事件響應執行文檔可以為安全團隊提供具體的行動指導，已經成為保證安全事件響應計劃有效落地的標準操作程序（SOP）。但實際的問題是：響應計劃的各種細則是否有效地記入了文檔？文檔內容是否清晰全面？

　　事件響應文檔對于有效執行安全事件響應計劃至關重要。該文檔應該讓每一個參與安全事件響應的成員都易于訪問，并且可以在事件響應混亂期提供指導。編寫文檔切勿模棱兩可，避免使用技術術語。用盡量簡單的話把每一步都講清楚，以便任何人都能踐行。

　　09孤立的安全事件報告

　　隨著數字化轉型的深入，企業中部署的應用系統和安全工具也在隨之激增，這也為企業安全分析師帶來了更多工作負擔，他們必須分散精力處理更多的監控、關聯以及警報響應工作。雖然這些系統都是獨立工作，但其運行中的問題都會影響到組織的整體運作態勢。如果網絡安全響應計劃沒有全面考慮到來自所有系統的數據，就會缺乏完整性。企業應該充分利用先進自動化工具，全面收集各類系統上的所有數據，并將它們存儲在易于訪問和檢索的地方，這樣才能兼顧各個方面的安全風險，確保沒有漏網之魚。

　　10沒有做好備份

　　將關鍵業務系統和數據進行備份是防止嚴重網絡攻擊后果的主動安全措施，但即使組織已經使用了可靠的備份工具或服務，它也可能會在網絡攻擊中受到影響。企業不能等到攻擊發生時才發現備份機制已經失效，這樣將會非常的被動。企業應該在安全可控的環境下測試備份機制的有效性和健壯性，可以采用道德黑客攻擊方法，針對保存敏感數據的系統發動攻擊。

　　參考鏈接：??https://www.makeuseof.com/common-incident-response-plan-mistakes/???