運行良好的網絡事件響應團隊(CIRT)可以通過阻止早期入侵轉變成全面的數據泄露事件，來證明網絡安全計劃的最終保障能力。至少，CIRT可以在事情沒有演變得不可收拾之前，將數據泄露的影響降至最低。

盡管當前許多網絡安全組織都部署了早期的網絡事件響應團隊，但是真正實現良好運行的卻并不多。

根據具備災后恢復工作經驗的安全專家表示，由于應急響應(IR)故障，許多事件變得更加糟糕。而且這些故障都是企業反復觸及的一些常見錯誤集。為了幫助企業組織更好地實現應急響應，安全專家總結了top 10失誤點，以及關于如何規避這些錯誤的相關建議。

1. 沒有合適的應急響應計劃

毫無疑問，排在第一的應急響應錯誤就是未能制定適當的計劃，該計劃可以在發生安全事件時有效地指導安全團隊行事。

Digital Guardian網絡安全副總裁Tim Bandos表示：

“時至今日，我仍然看到很多企業并未制定適當的應急響應計劃來應對安全事件。通常來說，這一過程需要雇傭第三方應急響應團隊參與進來，部署代理、收集證據、執行分析等等。這可能會花費很多時間，但是結果一定是值得的。因為要知道，惡意行為者在企業環境中潛伏的越久，他們用于竊取企業信息的時間也就越多。所以，部署適當的計劃，及時發現和阻止攻擊，對于企業而言是具有高投資回報率的事情。”

對于這種情況，安全顧問和第三方響應公司早就察覺到了。可惜，仍然有很多公司沒有準備響應計劃，也沒有遏制和響應策略，甚至也沒有適當的升級計劃。

Kudelski Security首席執行官Andrew Howard表示：

“我們的應急響應小組還發現，客戶對于應對違規行為時所面臨的威脅普遍缺乏了解。造成這種缺乏了解和準備的因素有很多：其中一個就是，許多網絡事件響應程序在創建之初都沒有考慮任何策略，取而代之的是，創建一個團隊并提供一組威脅檢測或威脅情報工具，然后要求他們進行操作。不幸的是，如果沒有驅動整個團隊的理念和計劃，這只會造成一種虛假的安全感。”

2. 無法測試計劃可行性

Beyond Security首席執行官Aviram Jenik表示，如果最大的錯誤是根本不具備應急響應計劃的話，那么緊隨其后的就是永遠不會實際地測試計劃的可行性和有效性。

Jenik表示：

“記住，每個企業都可以制定一份計劃，但是計劃有效性如何，也許只有到直面挑戰的那一天才知曉。為了最大限度地降低攻擊影響，您需要應急響應小組介入，來檢測該計劃的可行性和有效性。”

進行測試的方法有很多種，應該從程序級別，桌面練習以及技術級別(如定期的紅隊練習)進行驗證。此外，安全專家還建議可以使用更高級的預檢和模擬對所有部件進行進一步測試。

Optiv公司威脅管理技術總監Curtis Fechner稱：

“涵蓋單個遵從性驅動方案的基本桌面練習，可能無法提供足夠的維度來驗證該計劃的基本原理是否合理，并切實地支持企業級別的應急響應(IR)可執行計劃。認真對待這項測試以推動持續改進至關重要。”

3. 計劃中暗藏過時細節

定期進行安全測試可以幫助減少另一項常見錯誤：應急響應計劃成為過時品。

Pen Test Partners公司取證顧問Andrew Bassi表示：

“應急響應程序的生命歷程大致是這樣的：編寫完成、擱置、蒙塵、攻擊來襲再匆忙將其挖掘出來。屆時，最初設定的聯系人可能早已離職或者更換他人，而且過程也可能不適用當前環境中所部署的硬件/軟件。”

Bassi建議，雖然不一定每次公司更換平臺時都需要編寫新計劃，但確實需要定期對其進行審查以獲取更新信息。

除此之外，還可以在某些部分(如升級計劃)編寫得足夠通用一些，這樣就不會過時得那么快。比如，工作流應該按部門、職務或角色指定負責的人員或小組，而不是按個人姓名來，以此避免人員流動帶來的問題。總之，所有的人機交互都應該是通用的，但要精確地確定所有權——例如，指定數據隱私官或云安全架構師，而不是John或Sandy。

4. 缺少自動化的最佳選擇

自動化可以大大提高應急響應程序的效率和效果。其背后的原理是，通過適當的自動化水平，以削減低價值的手動勞作，同時還可以將更適合人工決策的任務交給最精明的分析人員處理，實現了人員效益最大化。

RedSeal的首席技術官Mike Lloyd表示：

“有些組織會因為自動化程度不足，或者應急響應過程遇到困難而最終迷失其中，空留一個響亮的口號。還有一部分組織則適得其反，過度地利用了自動化，完全沒有意識到機器決策仍然存在不足，致其成為攻擊者的攻擊入口。”

5. 在弄不清狀況的情況下工作

為可靠的應急響應實踐奠定的一些最佳基礎，也是實現良好的IT管理和安全管理的解決方案。包括進行一些資產發現和分類等“發現自我”的工作。

要知道，未能解決資產清單或數據分類及管理等方面的問題，將會導致諸多錯誤。不知道自己在保護什么，或者企業最寶貴的東西是什么，在哪里，就很難制定合理的投資者關系策略。

6. 讓威脅行為持續太久

警報優先級和分類是管理分析工作負載的重要組成部分。但是，簡單地根據關鍵高點對操作進行優先級排序，而忽略低級和不明顯的威脅行為，可能會使導致某些異常活動被忽略，直至發生入侵事件才悔之晚矣。

這種僅遵循優先級處理威脅的方法所存在的問題在于，一些低級的威脅可能會在企業網絡中潛伏很久很深，而無法被視為優先事項進行處理。而如果組織可以在流程的較早階段發現并組織該威脅，實際上可以更好地減輕企業組織面臨的風險。

針對該問題，可以通過更平衡的應急響應工具組合以及諸如威脅捕獲之類的積極實踐來解決。

7. 結案太快

采取最快的速度結案，并且不去深究引發問題的根本原因以及惡意活動的相關跡象等問題，可能會導致問題的進一步擴散和惡化，而應急響應團隊很可能只是在跟表面現象做斗爭，而并未將問題扼殺在萌芽狀態。

Sophos托管威脅響應高級總監JJ Thompson表示：

“通過避開需要費時挖掘的關鍵問題，來盡快結案或贏得勝利，通常會導致更廣泛的傳播問題。通常情況下，這些惡意軟件或明顯的入口點都是假定的，但由于技術限制而未經驗證，這可能會導致應急響應團隊、法務人員和行政人員之間產生誤會，從而導致錯誤的違規報告。”

8. 缺乏合作和溝通

無論響應者是在安全運營中心(SOC)還是遠程辦公，成功的應急響應計劃都能使團隊成員緊密協作，并且更高效地合作處理案件。由于新冠疫情持續蔓延，應急響應團隊現在必須采用新的遠程工作策略，這也使得他們投入了更多精力在通信方法和渠道上。通過小組聊天、共享的跟蹤表和團隊電話會議，團隊成員間能夠輕松地共享數據以及相關的事件信息，這些都比以往任何時候都更為重要。

IBM X-Force網絡應急響應團隊的首席技術官Chris Scott表示：

“由于此次全球危機，辦公室內的溝通對話減少了。而一旦溝通和協作中斷，圍繞安全事件的背景信息就會丟失。只有擁有正確的背景信息，人們才有可能做出最佳決策。”

9. 在不設置腳本的情況下執行

僅僅制定總體性和戰略性的應急響應計劃是遠遠不夠的。應急響應團隊還需要針對常見情況制定戰術計劃，以此來節省響應時間和簡化操作流程。

這就是為什么有些安全專家指出，最大的錯誤之一就是在沒有腳本和設定程序的情況下處理事件。

By Light公司首席技術官Ken Jenkins表示：

“企業必須設定團隊將要響應的特定類型的事件，并制定逐步的程序，而這些程序必須確保可以在當下最激烈的攻擊事件中運行。關于這些程序越詳細越好。”

10. 缺乏時間觀念的事件通知

當涉及內部和外部違規通知時，時間就是一切。而企業組織犯下的最大錯誤之一就是過早或過遲地傳達違規通知。

過早溝通會導致無法回答諸多細節問題，或無法為組織和第三方的潛在風險和影響提供更多見解。而過晚溝通又會帶來無法及時發現和處理事件的感覺。