什么是事件响应

事件响应是指在发生安全事件（未授权访问、恶意软件感染、信息泄露、拒绝服务攻击等）时，为最大限度减少损害并快速恢复而采取的有组织的应对流程。

NIST SP 800-61（计算机安全事件处理指南）将事件响应分为 4 个阶段：(1) 准备 (Preparation)、(2) 检测与分析 (Detection and Analysis)、(3) 遏制、根除与恢复 (Containment, Eradication, and Recovery)、(4) 事后活动 (Post-Incident Activity)。

安全事件不是"是否会发生"的问题，而是"何时发生"的问题。通过事先制定响应计划、组建 CSIRT、定期开展演练，可以在实际事件发生时冷静而系统地进行应对。

事件响应的 4 个阶段

阶段 1：准备 - 制定事件响应计划、组建 CSIRT、建立联络体系、准备工具、开展培训。准备阶段的充分程度决定了实际事件响应的成败。

阶段 2：检测与分析 - 通过 SIEM 和安全监控工具的告警、用户报告、外部机构通知等途径检测事件。检测后需确定影响范围、判定严重程度、整理时间线。在此阶段从数字取证角度保全证据至关重要。

阶段 3：遏制、根除与恢复 - 防止损害扩大的遏制措施（将感染终端从网络隔离、禁用被入侵的账户）、威胁根除（清除恶意软件、修补漏洞）、系统恢复分阶段实施。

阶段 4：事后活动 - 分析事件根本原因，制定防止再发措施。开展经验教训总结 (Lessons Learned)，将改进反映到响应计划和流程中。

初始响应的重要性与实务要点

事件响应中最关键的是最初的 72 小时。这段时间的应对直接影响损害规模和恢复所需时间。

优先保全证据：急于查明原因而重启系统或删除日志，会导致数字取证所需的证据丢失。请首先获取内存转储、创建磁盘镜像、备份日志。

启动沟通计划：事先确定向谁、何时、报告什么内容。管理层、法务、公关、客户、监管机构等各利益相关方的报告内容和时机各不相同。如果涉及数据泄露，还需注意个人信息保护法和 GDPR 规定的通知期限。

事先确定遏制判断标准：是否将服务器从网络断开、是否停止服务等决策如果在事件发生时从零开始讨论，会浪费宝贵时间。应根据事件严重程度，事先以预案手册的形式定义遏制措施。

事件响应计划的制定与演练

事件响应计划 (Incident Response Plan) 应作为包含以下要素的文档来制定：

事件的定义和分类标准（严重程度等级）
CSIRT 的成员构成和职责分工
升级流程和联系人列表
各类事件的响应预案手册（勒索软件感染、未授权访问、信息泄露等）
外部合作方（执法机关、安全厂商、律师）的联系方式
证据保全程序
公关和客户沟通模板

仅制定计划是不够的。每年至少开展一次桌面推演 (Tabletop Exercise)，验证计划的有效性。在演练中，基于假设的事件场景实际走一遍响应流程，找出计划的不足和改进点。

将演练中发现的问题及时反映到计划中，通过 PDCA 循环持续提升响应能力。

常见误解

部署了安全产品就不需要事件响应计划: 安全产品有助于检测和防御攻击，但无法实现 100% 的防护。如果没有明确规定在产品未能阻止事件时谁该做什么的响应计划，应对将变得临时且混乱，损害也会扩大。
发生事件后应首先重启系统: 重启会导致内存中的证据（运行中的进程、网络连接信息、恶意软件痕迹）丢失。请先保全取证调查所需的证据，然后再进行遏制和恢复。

事件响应