公司安全事件響應計劃很可能并沒有想象中那么健壯。一份新出爐的調查報告顯示，事件響應計劃的真實效果與安全主管的認知之間存在巨大差距。這項研究表明，安全主管往往對自身安全事件響應能力充滿迷之自信。

[[223659]]

波耐蒙研究所對全球2848名IT及IT安全人員進行了調查研究，發現因為缺乏規范化的事件響應計劃和足夠的預算，公司企業在安全事件響應方面依然倍感棘手。

其《第三次網絡彈性組織年度研究》報告顯示，近一半(48%)的受訪者將其“網絡彈性”評級為“高”或“非常高”，對自身網絡彈性水平充滿自信的人數比例比上一年增加了32%。研究人員對網絡彈性的定義是：預防、檢測與響應能力的整合，管理、緩解網絡攻擊，并從網絡攻擊中恢復到正常運營的能力。

然而，77%的受訪者承認，他們并沒有一個能在公司范圍內一致應用的規范化事件響應計劃。近半數受訪者稱當前響應計劃不太正式，或者根本沒有這種計劃。

這就有點矛盾了。受訪者紛紛表示對自己的網絡彈性信心更足了，但一涉及細節，情況卻不那么樂觀。

良好網絡彈性的組成部分包括技術人才、信息監管操作、正式而全面的事件響應計劃、能解決各類攻擊的技術和產品、重足的資金、來自高級管理層的支持，還有對數據和應用的可見性。

受訪者普遍認為，提高網絡彈性的最主要辦法就是雇傭有經驗的技術人才(61%)，其次是設置良好的信息監管(60%)，然后是擁有夠高的數據資產及應用可見性(57%)。

然而，人才招募依然面臨難以跨越的障礙：無力雇傭和保留技術人才是網絡彈性第二常見的障礙，有56%的受訪者都這么認為。79%的受訪者將擁有資深安全技術人才的重要性視為“高”或“非常高”;與此同時，77%的受訪者將雇傭和留住這些人才的難度定為了“非常高”。

難以雇到并留住安全技術人才的部分原因，在于事件響應專家需要相當寬的知識面，要通曉多種技術集。他們必須什么都知道一點：終端、網絡、操作系統，還有有關惡意軟件的方方面面。

找到人才和留住人才之難，已經是眾所周知的了。擁有事件響應技術的人現在是千金難求。事件響應專家所需的廣泛而稀缺的技術集，更加加劇了這一人才危機。

而網絡彈性的最大障礙，還在于缺乏對網絡安全新技術的投入，比如人工智能和機器學習(60%)。運用了人工智能的工具可以有效緩解“警報疲勞”，讓分析師得以專注在更復雜的任務上。事件響應計劃中的某些關鍵部分，比如檢查終端檢測與響應(EDR)平臺、部署URL監視等等，都可以運用人工智能加以自動化。

事件響應并非一招通吃

有些公司的事件響應計劃相當薄弱，很難說能起到什么作用。有些公司則又在計劃中包含了所有可能的情況，導致響應策略相當臃腫。

• 不同的事件需要不同的響應。DDoS攻擊、勒索軟件攻擊、數字資產被盜等等事件的響應動作各不相同，必須為每種類型的事件創建單獨的響應策略。
• 響應計劃中還要考慮到牽涉的每個人。一個常見的錯誤就是沒有納入第三方，這種情況在響應計劃不成熟的企業中非常普遍。而一旦負責處理公司客戶數據的第三方遭遇安全事件，如果缺乏恰當的響應過程，公司遭遇損失的結局幾乎是注定的。
• 計劃創建好后還需要實踐演練。這一點非常重要。實踐演練和桌面推演過程可以讓安全團隊成員充分理解各自的角色和職責，為應對數據泄露后的混亂做好準備。