安全事件响应计划应该具备七条原则

2. 认清技术的优点和局限性

在诸如RSA大会之类的行业活动展会现场，到处都充斥着一个普遍的市场信息：下一个伟大的技术将会解决你所有面临的问题。但高级威胁防护不等于一个产品，也没有一个孤立的解决方案可以实现。尽管如此，企业技术投资的比重还是高于安全事件响应计划的投资。根据我们福雷斯特安全调查，当一个安全违规事件发生之后，25%的企业增加了用于购买安全违规预防技术的费用，然而只有23%的企业增加了用于安全事件响应计划自身的费用。

3. 建立符合实际的报告和衡量机制

许多企业使用错误的度量机制来测量他们安全事件响应计划的性能。侦查扫描活动不等于安全事件，就像防病毒(AV)定义更新无法测量安全事件响应能力的成功与否一样。有效的安全事件响应团队使用更有意义的业务指标。一旦你已经建立了一个通用的安全事件定义，你就需要测量检测它所用的时间、抑制它扩散所用的时间和补救所用的时间。攻击者进入你的网络后你要花多久时间才能检测到它?一旦检测出来，你要花多久时间才能抑制住攻击者?你要花多久时间才能完成对该安全事件的补救工作?这些测量都是以结果为导向输出的度量机制。当企业提升了员工的技能，部署了新的安全控制措施，这些测量数字就会有所改善。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友