从黑客攻击聊聊事件响应与事件管理( 三 ) _事件响应

事件管理团队?如前文所述，事件管理比事件响应更加“高屋建瓴”，是一整套实践流程和解决方案。它不但需要组织能够管理好安全事件的发展走势，而且可以满足所处环境中日益严苛的数据合规要求。此外，它还能够让各个利益相关方通过规范化的流程，避免同类事件的复发。
常言道：“凡事预则立，不预则废。”事件管理切忌临时抱佛脚。我们应当事先构建好一个“召之即来，来之能战”的团队。在实践中，一些组织会片面地认为安全事件处理只和那些谙熟日常运维的技术大咖有关。但其实，若要真正管理好事件，少不了安全、基础架构与运营(I&O)、以及管理层的调兵遣将与有效沟通。
事件管理指标?如今已是大数据时代，我们担心的不再是得不到必要的数据指标，而是向我们涌来的数据是否有用、是否能够协助我们实施事件管理。以下便是一些常见的指标类别，它们有助于随着事件响应的逐步推进，各方更好地把控安全事件的全局：

各类警告数量：我们可以通过衡量事件警告的不同类型、级别和数量，从宏观上直接了解当前的任务积压。
平均检测时间(Mean time to detect，MTTD)：我们可以用来了解监控工具的事件触发效率，以及运维人员对于事件威胁的敏感程度。
平均确认时间(Mean time to acknowledge，MTTA)：我们既可以用来判定对于事件分类的合理性，又能够获悉响应团队剔除误报的专业程度。
平均解决时间(Mean time to resolve，MTTR)：指从事件响应开始，到业务服务完全恢复所需要的平均时间。它是组织在事件管理能力方面的直接体现。
预算消耗比例。这反映了团队在事先制定响应计划，并申请资源配置方面的规划能力。为了避免出现“时间未半，却已花光预算”的情况，团队应当实时根据该指标，灵活地调整事件处置的策略。

事件管理工具?俗话说：“工欲善其事，必先利其器。”优秀的工具往往能够协助我们进行事件的跟踪、记录、处置、以及最终的绩效考评。在管理事件时，我们通常会用到如下两类工具：

即时通讯工具。在实践中，许多组织都会通过此类工具，方便团队实时地以协同和会诊的方式，去分析事件。各种图文并茂的交流记录，不但为事件的响应和决策过程提供了丰富的第一手资料，而且方便了响应过程的后期复盘。
事件管理工具。除了团队之间的人员沟通，我们也离不开事件从生成时的捕获，到原始信息的转存，以及任务的分派等自动化流转的过程。在实践中，我们常用到的此类工具包括：ServiceNow 和 OnPage 等。响应团队不但可以在 PC 端上使用它们，还能够通过智能手持设备接收到其推送的通知，并通过友好的界面，随时随地参与事件的协同处理。

事件回顾总结?我们常说，没有总结就没有进步。事后分析是事件管理的最后一个环节，也是不可或缺的部分。团队成员可以查阅过往的处置记录，回顾在整个响应过程中，本应该实施、却由于某种原因并未能实现或拖延执行的任务，以及由此导致的失误。据此，我们可以提高组织在如下方面的事件应对能力：

以“左移”的方式提高事故预防能力
减少或消除服务中断的停机时间
改善 MTTD、MTTA、以及 MTTR 等指标
提高相关数据的保存与使用能力
通过频繁广泛的内外部沟通，提供客户的知情能力

与此同时，通过撰写事后分析报告，主要利益相关方不但可以审查、并了解安全事件发生的根本原因，以及下一步相关部门与团队将如何通过整理，来防止此类事件的复发，而且能够督促响应团队不断改进事件的响应流程，优化事件的管理效果，将这些“增量”知识变为“存量”技能。
小结?综上所述，无论事件响应计划、威胁建模、严重性划分、团队处置能力、以及指标与工具的使用，都会是一个需要不断查缺补漏的动态更新过程。无论您是事件响应团队成员，还是事件管理的相关方，都应该练就“不怕事，不避事，善处事”的心态，不要将安全事件视为挫折，而将其看作历练的机会。
作者介绍?陈峻 (Julian Chen)，51CTO 社区编辑，具有十多年的 IT 项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式，分享前沿技术与新知;经常以线上、线下等方式，开展信息安全类培训与授课。