SEC10-BP08 建立从事件中吸取经验教训的框架

PDFRSS

实现经验教训总结框架和根本原因分析能力不仅能够有助于提高事件响应能力，还有助于防止事件再次发生。通过从每次事件中吸取教训，您可以避免重复同样的错误、泄露或错误配置，这不仅可以改善您的安全态势，还可以最大限度地减少因可预防的情况而损失的时间。

在未建立这种最佳实践的情况下暴露的风险等级：中

实施指导

重要的是要实现一个经验教训总结框架，大体上确立并实现以下几点：

• 何时总结经验教训？

• 总结经验教训的过程涉及什么？

• 如何总结经验教训？

• 谁参与了这个过程，具体情况如何？

• 如何确定需要改进的领域？

• 如何确保有效跟踪和实施改进措施？

该框架不应关注或指责个人，而应侧重于改进工具和流程。

实施步骤

除了前面列出的大体上的成果外，重要的是要确保提出正确的问题，以便从流程中获得最大价值（可以带来切实可行的改进的信息）。请考虑以下问题，以便于您启动经验教训讨论：

• 发生了什么事件？

• 何时首次发现该事件？

• 是如何发现的？

• 哪些系统针对该活动发出了警报？

• 涉及哪些系统、服务和数据？

• 具体发生了什么？

• 哪些地方做得好？

• 哪些地方做得不好？

• 哪些流程或程序出现问题或未能扩展以应对事件？

• 以下方面有哪些地方有待改进：

  • 人员

    • 需要联系的人是否真的可以联系上，联系名单是否是最新名单？

    • 相应人员是否缺少有效应对和调查事件所需的培训或能力？

    • 相应的资源是否已就绪并随时可用？

  • 流程

    • 是否遵循了流程和程序？

    • 是否针对这种事件记录并提供了流程和程序？

    • 是否缺少必要的流程和程序？

    • 响应人员是否能够及时获得所需的信息来处理问题？

  • 技术

    • 现有警报系统是否能有效识别活动并发出警报？

    • 我们如何将检测时间缩短 50%？

    • 现有警报是否需要改进，或者是否需要针对这种事件设置新的警报？

    • 现有工具是否允许对事件进行有效调查（搜索/分析）？

    • 怎样才能更快地识别这种事件？

    • 如何防止这种事件再次发生？

    • 谁是改进计划的负责人，如何检验改进计划的执行情况？

    • 实施和测试额外监控或预防性控制机制和流程的时间表是怎样的？

此列表并非详尽无遗，但旨在作为一个起点，确定组织和业务需求是什么，以及如何分析这些需求，以便最有效地从事件中吸取经验教训，并不断改进您的安全态势。最重要的是，该列表开始将经验教训作为事件响应流程、文档和利益相关方期望的标准组成部分。

资源

相关文档：

• 《AWS Security Incident Response Guide》– Establish a framework for learning from incidents

• NCSC CAF 指南：总结经验教训