3、网络安全事件响应：从准备到执行

网络安全事件响应：从准备到执行

一、内部协作与支持

1.1 法律合规与沟通

在面临合规审计或诉讼要求提供旧日志数据时，要确保法律团队了解数据的使用场景，而非让他们来决定如何使用数据。这样能帮助法律团队基于现有情况判断操作是否可接受，而非从头制定政策。获得批准后，要将法律声明记录在可访问和可参考的位置。例如，可创建一个专门的文档库，将相关声明分类存储，方便后续查阅。

1.2 产品安全与开发团队支持

如果组织开发软件或硬件，就可能面临安全漏洞。这些漏洞可能通过外部通知、事件调查或渗透测试发现。有专门的产品安全团队时，应与开发团队建立直接关系，以明确安全修复的要求并确定开发、测试和部署的优先级。若没有该团队，则需与开发组织建立关系，自行构建处理产品漏洞的流程。
同时，计算机安全事件响应团队（CSIRT）在发现漏洞时可提供以下价值：
- 扫描受影响产品以确定风险。
- 查看是否有日志证据显示在漏洞披露前存在被攻击迹象。
- 在产品安全团队部署补丁前，创建检测漏洞滥用的操作手册条目。
此外，若缺乏强大的集中日志记录基础设施或明确的日志记录政策，可能需直接联系开发团队获取调查证据。在此之前，要了解请求调查支持数据的流程，如通过服务台工单、错误提交或电子邮件等方式。

1.3 外部合作组织

与组织外部建立良好关系，能提升事件响应团队的能力和专业知识，还能促进最佳实践的分享。以下是一些需要合作的组织：
|合作组织|合作内容|
| ---- | ---- |
|互联网服务提供商（ISPs）和其他网络同行|在分布式拒绝服务（DDoS）攻击时，与上游提供