13、网络安全事件响应与漏洞管理全解析

网络安全事件响应与漏洞管理全解析

1 初始阶段规划

初始阶段主要是与关键人员进行规划，目标是与关键人员共同识别问题，并制定和提出解决方案。具体步骤如下：
1. 确定关键人员。
2. 与关键人员一起：
- 绘制威胁情报开发的端到端流程。
- 绘制 IT 帮助台事件工单创建和关闭的端到端流程。
- 定义（如果有）这些流程的交叉点并记录下来。
- 识别并为任何具有挑战性的领域或需要改进的领域提供解决方案：
- 如何在团队之间使用和关联信息？
- 我们应设置哪些关键风险指标（KRI）来了解何时出现问题？
- 如果达到阈值，我们如何相互报告？
- 当达到阈值时，我们如何向主管报告？

涉及的团队包括威胁情报团队、安全意识团队、信息安全监控团队、IT 帮助台团队，还需加入 IT 安全事件响应团队以完善端到端流程。各团队存在的问题如下：
|团队|问题|
| ---- | ---- |
|威胁情报团队|未向 IT 帮助台提供威胁情报，导致对可能事件缺乏认知|
|安全意识团队|威胁情报针对地区开发用于用户教育|
|信息安全监控团队|对用户在事件工单中填写的内容不知情|
|IT 帮助台团队|威胁情报与 IT 事件工单无关联；未收到威胁情报或 IOC 信息|

针对这些问题，可能的解决方案包括：
- 定制威胁情报报告，以配合安全意识倡议和用户培训。
- 全球 IT 帮助台的工单添加可能表明安全问题的必填字段，如位置、时间、日期、潜在攻击向量。
- 连续监控团队监控表明潜在安全问题的工单，根据 X 标准验证信息，将其移交