有效的事件响应团队的5个特征

如何应对数据泄露很重要。

在当今世界，大多数公司都有记录的政策和技术，可以帮助他们做好应对网络入侵者的准备，但在许多情况下，这些策略是不够的——更多地关注于回答有关事件本身的问题，而不是保护声誉的综合响应、业务，以及最重要的客户。

违规行为可能具有破坏性，而无法有效响应可能会增加更多的自我造成的损失。好消息是，虽然您无法控制自己是否成为违规目标，但您可以控制响应方式以及响应程度。

分析业务趋势的领先组织已经注意到综合响应的重要性。本周早些时候，Forrester 发布了“Forrester Wave™：网络安全事件响应服务，2019 年第一季度”。该报告鼓励客户寻找能够确保及时准备和违规响应的提供商。报告中强调的一些特点包括供应商拥有网络范围能力，可以在发生攻击时培训员工，并提供全面的可交付成果，以在事件发生后提供帮助。

Forrester 评估了 15 家事件响应 (IR) 服务提供商，并根据 11 项标准对他们进行了权衡。这些供应商经过识别、评估、研究、分析和评分。Forrester Wave™ 报告显示了每个提供商如何衡量并帮助安全和风险专业人士做出正确的选择。IBM 在报告中被评为领导者，根据 Forrester Research 的说法，“IBM 是培训和事件准备服务的绝佳选择”，并且“将 X-Force 威胁情报分析师纳入其 IR 团队，以确保在整个调查过程中全面掌握态势感知。”

精英投资者关系团队的5个特征

经验告诉我们，以下是世界一流响应团队的五个主要特征。

1.一切从人开始

我们常说的一句话是：“IR 是一项团队运动。” 对于任何一支球队来说，重要的是要确保每个球员都拥有一套独特的技能，这些技能与其他技能相结合，可以形成一股强大的力量来对抗你的对手。

拥有合适技能的合适团队意味着您可以更快地解决问题，针对挑战制定更有创意的解决方案，并对情况有不同的见解和观点，使您能够从多个角度看待问题。这很重要，因为攻击者通常会组建由技术精湛的人员组成的团队，这些人员本身代表不同的经验和观点，因此以类似的方式构建内部团队使您能够快速确定策略并预测下一步行动。

2. 技术精湛，动态分析

当您对技术不了解时，您可以超越自家后院可用的工具，更好地确保您获得实现目标的正确功能。我们了解到，当我们不受特定技术的束缚或仅限于一种分析方法时，我们可以快速改进我们的方法，以快速检测攻击者不断变化的活动。

3. 嵌入式威胁情报能力

对于我们立案的每个案件，我们都会聘请一名情报分析师，他从始至终都参与其中。他们为每个案件带来一致的情报视角，通过利用更大的情报团队的独特见解来增强自己的技能。他们的综合洞察力让我们能够对对手的行动、工具和方法有独特的见解。了解这些方面可以让缓解行动更快、更准确。

4、综合整治

补救有两个重要的重点领域：战术和战略。战术强调从受害者环境中移除攻击者及其访问权限，战略重点是确保相同类型的攻击不会再次成功。它们都很重要，因为快速赶走入侵者并确保您不会受到同类剥削可以让您更安全。

但有一个因素超出了战术和战略的范围：重建因攻击而被破坏的环境。重建环境需要一套精确的技能，通常还需要大量的人力资源，以确保快速、准确地完成重建，并确保您在重建和恢复过程中能够继续运营。

好的从业者共同拥有数千小时从头开始重建遭到破坏的环境的经验。这意味着当客户遭受攻击破坏时，不仅可以帮助其进行修复，还可以在重新重建时保持其业务正常运行。

5. 像战斗一样训练，像训练一样战斗

如果不付诸实践，即使是最好的 IR 计划也是不够的。我们鼓励客户对其 IR 计划进行实战演习（甚至对我们自己的计划进行测试）。虽然桌面练习可以提供丰富的信息，但到目前为止，针对网络漏洞进行培训的最佳方式是通过沉浸式、由讲师指导的靶场体验。

通过将尖端方法与跨脱节安全层的新技术相结合，预计客户将获得消除噪音和识别最关键威胁所需的背景信息，以便他们能够回到最重要的事情：他们的核心业务。