当应急响应人员看着他们每天的麻烦事，然后想到他们过去数月，甚至数年处理过的事故，他们往往会发现一些反复的问题。无论这些响应人员在一个组织工作，还是在一个供应商工作，都会有这样的发现，从而帮助许多不同的组织应对网络安全事故。大部分基础的响应问题和解决方案在不同的行业和运营环境都是类似的。

　　以下是五个典型的响应人员希望一般CISO能够优化的事情。这些事情能让日常繁务简化，从而让响应团队更加高效。CISO都很聪明，也会注意到响应人员心愿清单上大部分事情，但他们同样有一个更大的蓝图要去优先处理——比如预算和平衡。

不能再用老旧的备份模式了

　　在勒索病毒横行的时代，备份的重要性再一次被提及。业务依赖备份在灾后还原系统或者设施，同样也能帮助企业在一次对整个企业系统遭到毁灭性加密攻击的时候进行复原。

　　如今的备份需要足够强大，同时有大容量。它们同样需要能够在有被验证的稳定性上，恢复大量不同类型的系统；同时，组织也需要知道备份方案能够快速实现这些目标。仅仅有好的备份文件和恢复系统是不够的，组织需要一个扎实的、经过测试的计划，对系统进行重建。这个计划包括了有序地将各种系统重新上线，以及在各类困难的场景下如何实现。

不要放置完了就忘

　　许多事故失去控制并非是因为组织缺乏正确的工具或者系统对其进行检测和响应，而是因为这些工具被没有被适当配置，或者并未被准确地赋予它们应该被设计进行地工作。

　　这可以理解，毕竟没有一个安全团队里的人想成为几十个安全产品中一个产品的专属“保姆”。“放完就忘”听上去很吸引人，毕竟无论是CISO还是一个SOC分析师，都有其他事情要做：有一堆审计在等着处理，业务人员正在做一些奇怪的事情——包括一些不明智的事情，同时攻击夜以继日地骚扰着系统。

　　但是，还是需要有人不时地查看一下所有的安全产品。及时的事件响应需要理解在环境中发生的奇怪事情，但是如果团队总是从相同的情况开始查找就会相当困难。团队需要尽可能多地查看各种事情。

响应演练有多种形式

　　有一个事件响应计划很关键，但是团队如果想要掌握在问题发生时及时响应的能力，就需要演练。许多相关人员在一起的桌面联系——包括从技术人员到PR到法务，会很有效。

　　但是让这些大佬们经常聚到一起——哪怕是在一个电话会议上，都要花不少代价，因此CISO们需要在培养组织响应能力的“肌肉记忆”上发挥创造力。这可以是通过小型反复的演练，让不同组别的人一起锻炼不同的技术；或者可以简单的进行推送学习，比如“每日不良习惯”，让人们不时地进行想象练习。

对于日志

　　对组织来说，最受挫的一件事，莫过于在响应系统上花了大量的资金，或者投入了一支紧急响应团队，结果却发现他们啥都做不了，因为他们没有足够的数据。

　　确实，没有一个CISO会像一个专业响应人员一样收集日志。能达成这个目标的解决方案往往十分昂贵，然后能储存海量的数据，时间长到能让银行破产。这里的重点，是安全管理者们需要下意识地去考虑，哪里以及如何将两个重要的日志维度——覆盖面和留存时间，结合到一起。同样，他们也需要对这些数据有着创造性的获取方式，比如通过像运营团队这样的IT团队获取数据。

问题总会回到失窃凭证

　　如果你仔细查看过现在许多的安全事故，你会发现绝大部分都会回到一个问题上：失窃的凭证。多因子验证正在发展，减少用户的使用困难，同时给攻击者增加麻烦。威胁份子经常在意识到组织启用了多因子验证以后，将其移除自己的自动化扫描以及凭证扫描名单中。多因子验证很有用，可以在响应人员需要处理安全事故之前就将其排除。

数世点评

　　网络安全这个行业有着大量不同的职位，而不同的职位看问题的视角，权衡问题时考虑的因素，都有着很大的区别。安全团队，尤其是响应团队的人员关注的是如何发现和解决问题；而CISO的视角则需要从更高的企业维度思考企业的运作与成本等问题——这是一个天然需要磨合的过程。CISO们如果深入接触安全团队里的分析师、响应人员等，就能更好地平衡组织内部的安全关系。

参考阅读

CISO向谁汇报重要吗？

CISO们到底需要从安全厂商处获得什么？

CISO们不得不考虑的问题：我们的安全投入是否足够？