事故应对

インシデント対応チームの主な構成 

事故应对小组侵害根据特定的情况来调整行动，这是非常重要的。。安全部门最好事先确定负责以下角色的人或组织:

• 事故管理要担当这个主体的角色，需要广泛的专业知识，管理和事故应对的经验。。这个负责人将担任整个项目的经理，负责完成专业任务，收集所有相关利益相关者的信息。。
• 企业事件调查:这是大型企业和小型企业之间非常不同的挑战。。在大型组织中发生大规模侵害时，可以利用团队之间的技术和合作伙伴关系，快速支持整个主机(包括远程主机)的取证，以尽可能快地扩大团队和潜在的范围我们需要让他们找到它们。。
• 技术分析:这是一个需要专业经验的角色，最好在你的团队中配备专门从事恶意软件分析、逻辑分析、事件记录分析、网络分析等特定领域的分析师。。分析师找到的信息也会分享给其他应急小组的工作人员。。
• 事故的范围指定侵权范围是所有事件应对小组都应该确定的非常重要的项目。。在事件处理和调查过程中，侵犯范围可能会发生变化。。特别是当技术分析持续很长一段时间时。。
• 危机管理与沟通组织内外必须共享事故调查结果、范围和可能发生的结果。。一个熟练的危机管理和沟通团队的恰当的沟通是很重要的。侵权和法律相关的通知，员工和受害组织的通知等，有时还包括记者招待会。。
• 有关法务、人事的问题侵害发生时有关监管和合规的问题的时候，重要的是要邀请那些有处理公开条件和执法部门合作经验的人，比如政府官员。。如果团队中没有具备这些专业知识的员工，那么委托法律专家是非常有效的方法。。
• 经营层的决策侵害成为契机，有可能导致组织形象的下降和财务上的损失。。因此，管理层的参与是不可缺少的。。在事件处理和调查的过程中，有时需要做出重要的决定。。在这样重要的时刻，管理层的意见是必要的。。
• 报告和修改:在应对突发事件时，把所有的事情书面化是很重要的。。文档化可以帮助团队了解整个侵权过程。。我们知道攻击者在什么时候做了什么，如何做了什么，侵犯了什么。。同时，为了从侵害中恢复修正与缓和可以针对推荐事项制定详细的应对方案，以便今后遭受类似攻击时采取相应措施。。

インシデント対応計画とは 

在事件应对计划中，明确规定在组织内发生侵害或安全危机时，应该由谁采取怎样的应对措施。。做好应对计划，团队就能立即采取措施，将损失降到最低。。在每一秒都决定胜负的情况下，如果定期进行模拟训练和流程确认，即使发生紧急事态，事故应对负责人也能立即采取行动。。

为了防止组织内突发反应延迟的发生，突发反应负责人需要制定慎重的IR计划，设想各种情况并定期进行演练。。 另外，获得组织的主要相关人员和经营干部的赞同也很重要。通过这个过程，团队能够认识到他们已经具备了能够迅速、高效地行动的支持。。

当安全事故发生时，不仅仅是技术团队需要采取行动。。法务，宣传，安全服务提供商外部的人也要参与进来。。

マネージド型インシデント対応サービスとは 

由外部供应商提供的管理型突发反应服务(MDR)提供辅助，使具有各种成熟度、规模和技能集的任何组织能够适当地防范侵犯并建立管理体系。的目的。。管理服务提供商可以通过以下方法帮助我们解决战略和战术问题。。

• 开发坚固的安全程序:如果你不知道突发事件检测程序是否可以应对组织的所有突发事件，托管式突发事件应对服务可以帮助你加强应对突发事件和侵害的准备。。
• 实施桌上演习通过供应商对威胁的模拟演练来测试内部事件应对团队的能力，从而建立团队应对事件和侵害的体系。。
• 对侵害和违反的准备情况的评价:外部事件应对团队评估环境和安全过程的现状，并揭示可能存在的风险和差距。
• 对侵害的立即修正:如果有可能被侵犯，急需支持，托管型服务提供商会立即做出反应，防止损害进一步恶化。。
• 提供应对突发事件的负责人 reitner按照计划在公司内部团队和供应商团队之间进行协调，建立一旦发生侵害全员都能应对的体制。。很多翻新机支持各种各样的服务，就像上面提到的。。另外，也有关于对应时间的服务等级契约(SLA)的规定。。

再次强调，侵害发生后再采取对策和措施就为时已晚了。。制定一个强有力的突发事件应对计划，并确保与所有利益相关者保持沟通，这是应对最坏情况的最佳对策。。

事後検証 

即使我们成功地应对了突发事件，我们还有很多问题。。公司内的突发事件应对小组，活用从经验中学到的东西，为了重新审视体制而进行事后检讨吧。。

思考成功之处、失败之处、今后需要改善之处、能够迅速行动之处。。经验胜于学习。。尽可能多地从实际事件中吸取教训是很重要的。。

阅读事故应对的详细内容 

应对实践:制定突发事件应对计划(第一部分)

应对实践:制定突发事件应对计划(第二部分)

事件应对的最新信息:最新Rapid7博客文章