網(wǎng)絡(luò)安全事件響應(yīng)小組 （CSIRT） 由處理事件響應(yīng)的人員組成，可能包括內(nèi)部和外部團(tuán)隊(duì),，并且可能因事件的性質(zhì)而異。

　　核心團(tuán)隊(duì)通常是IT或網(wǎng)絡(luò)安全人員,。擴(kuò)展團(tuán)隊(duì)可能包括其他能力，例如公關(guān),、人力資源和法律,。

　　團(tuán)隊(duì)不必全職致力于IR。擁有一個“虛擬”CSIRT,，在需要時(shí)將其他日常工作的人聚集在一起,，更具成本效益。

　　特設(shè) CSIRT 團(tuán)隊(duì)

　　如果要采用這種方法,，至關(guān)重要的是對 CSIRT 至關(guān)重要的人員能夠在必要時(shí)將安全事件處置優(yōu)先于日常工作,。

　　結(jié)構(gòu)和成員

　　團(tuán)隊(duì)的位置將取決于組織的性質(zhì)?？梢赃x擇“中央”或“分布式”模式,，取決于是否有可能或希望在多個關(guān)鍵位置擁有IR員工。許多組織將擁有一個中央 IR團(tuán)隊(duì)（例如在總部/主要辦公室位置）,，并由其他位置的IT或IR員工提供分布式支持,。

　　角色和職責(zé)

　　網(wǎng)絡(luò)安全事件響應(yīng)小組 （CSIRT） 可能需要多個角色，以確保有效管理和協(xié)調(diào)事件,。

　　屬于以下這些標(biāo)題：

　　政府和執(zhí)法部門

　　高級/行政管理

　　事件經(jīng)理

　　技術(shù)負(fù)責(zé)人/恢復(fù)經(jīng)理

　　危機(jī)管理,、業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)

　　調(diào)查員和分析師,、網(wǎng)絡(luò)安全專家

　　IT和基礎(chǔ)設(shè)施

　　其他部門，包括法律,、公關(guān),、人力資源和客戶服務(wù)

　　事件期間所需的角色

　　下圖詳細(xì)說明了事件期間所需的核心角色。

　　有些人可能扮演多個角色,，但如果要順利處理事件,，則必須說明責(zé)任并在需要時(shí)可用。

　　列出了可選角色,，引入外部團(tuán)隊(duì)和其他業(yè)務(wù)管理功能,。

　　中央?yún)f(xié)調(diào)

　　有一個協(xié)調(diào)的中心點(diǎn)是至關(guān)重要的。承擔(dān)此責(zé)任的人不必是網(wǎng)絡(luò)安全專家,。他們的作用是確保管理,、跟蹤和關(guān)聯(lián)所有行動和發(fā)現(xiàn)，并將事件傳達(dá)給所有利益相關(guān)者,。

　　最好將事件響應(yīng)的某些方面外包——從技術(shù)到公關(guān)和法律支持。但重要的是,，內(nèi)部人員可以監(jiān)督,、建議和做出影響業(yè)務(wù)的決策（根據(jù)專業(yè)供應(yīng)商的建議）。

　　確?？捎眯?/p>

　　始終為“代表”提供服務(wù)——如果關(guān)鍵人物不在時(shí)，他們將提供掩護(hù),。

　　這適用于響應(yīng)團(tuán)隊(duì)和任何供應(yīng)商的所有方面，如果他們只有一個可以執(zhí)行某些任務(wù)的關(guān)鍵人員,。

　　覆蓋時(shí)間和激增支持

　　需要事件響應(yīng)覆蓋的時(shí)間將取決于業(yè)務(wù)性質(zhì)和風(fēng)險(xiǎn)偏好。選擇需要平衡風(fēng)險(xiǎn)和預(yù)算,，因?yàn)檠娱L工作時(shí)間可能會產(chǎn)生大量相關(guān)成本,。

　　在確定承保范圍時(shí)，應(yīng)考慮以下因素：

　　將如何處理從當(dāng)天開始而不能在一夜之間發(fā)生的事件,？

　　是否可以在無法等到下一個工作日的工作時(shí)間之外檢測到事件,？

　　需要什么保障？僅工作日,、延長營業(yè)時(shí)間還是 7*24小時(shí),？

　　有什么風(fēng)險(xiǎn)？是否需要官方的隨叫隨到支持,，或者這樣做的成本是否大于風(fēng)險(xiǎn),？

　　使用供應(yīng)商是否合適？日日跟進(jìn)類型的模型可能嗎,？

　　兼職保險(xiǎn)的實(shí)用性

　　如果僅在緊急事件期間提供擴(kuò)展保險(xiǎn),，則需要考慮實(shí)際情況。例如,，如果租用了辦公樓,，那么在發(fā)生事故時(shí)，該辦公樓是否可以 7*24全天候使用？

　　員工可能需要食物和住宿,，以及產(chǎn)生人工成本,。如果工作時(shí)間特別長，或者如果事件持續(xù)很長時(shí)間,，可能還需要設(shè)計(jì)安排一種輪班工作模式,。意味著可能需要不止一個內(nèi)部人員能夠勝任每個關(guān)鍵角色協(xié)調(diào)響應(yīng)。

　　供應(yīng)商注意事項(xiàng)

　　應(yīng)該審查所有供應(yīng)商,，以確定在事件發(fā)生期間可能需要誰的支持,。

　　這可以是從基礎(chǔ)設(shè)施和云托管到外部公關(guān)公司的任何內(nèi)容。與供應(yīng)商合作,，確保他們能夠在需要時(shí)提供支持,。根據(jù)合同，即使是工作時(shí)間的支持也可能受到供應(yīng)商的限制,。

　　團(tuán)隊(duì)技能和經(jīng)驗(yàn)

　　CSIRT所需的技能和經(jīng)驗(yàn)將根據(jù)的業(yè)務(wù)性質(zhì)以及決定在內(nèi)部構(gòu)建多少IR能力而有所不同,。但是，有些做法可以使任何組織受益,。

　　保持安全意識

　　利用威脅源以及最新的網(wǎng)絡(luò)安全新聞和事件報(bào)告,，可以提高一般安全意識和知識，還可以提醒當(dāng)前對部門和組織的威脅,。

　　確保執(zhí)行團(tuán)隊(duì)了解威脅及其在事件中可能扮演的角色,。特別是，應(yīng)該明確他們可能需要做出的關(guān)鍵決策,，當(dāng)然前提通常信息有限的,。

　　鍛煉

　　找出差距并磨練反應(yīng)的最佳方法之一是根據(jù)現(xiàn)實(shí)生活場景進(jìn)行演練。外部專家推動這些演練有很大的好處,，可以提供全新的視角并提供公正的建議,，將有助于最大限度地從這些事件中獲益。

　　演練的范圍可以從深入的技術(shù)/戰(zhàn)術(shù)到戰(zhàn)略和管理級別的響應(yīng),。非常值得在各個級別進(jìn)行演練,，以確保企業(yè)的各個方面都了解他們在發(fā)生事故時(shí)的角色和責(zé)任。

　　任何練習(xí)的關(guān)鍵,，無論是內(nèi)部運(yùn)行還是由外部供應(yīng)商運(yùn)行,，都需要記錄和分配經(jīng)驗(yàn)教訓(xùn)，以推動整個組織的改進(jìn),。

　　訓(xùn)練

　　為關(guān)鍵員工提供特定培訓(xùn)可以顯著提高組織對網(wǎng)絡(luò)事件的準(zhǔn)備程度,。該領(lǐng)域有專門的培訓(xùn)課程,，許多提供商將能夠根據(jù)組織業(yè)務(wù)需求提供定制的培訓(xùn)和簡報(bào)會,。

　　1基本的：對于目標(biāo)不明確且大多數(shù)響應(yīng)都是外包的組織 -  使用 網(wǎng)絡(luò)事件/意識簡報(bào)來加深理解

　　2改進(jìn)：對于那些需要提高內(nèi)部能力的人，可以考慮將一般 網(wǎng)絡(luò)調(diào)查 和/或事件管理培訓(xùn)作為起點(diǎn)

　　3先進(jìn)的：對于打算在內(nèi)部構(gòu)建完整 IR 功能的人員,，可以學(xué)習(xí)一系列課程,，包括取證和入侵分析（針對主機(jī)和網(wǎng)絡(luò)）以及惡意軟件分析,。對技術(shù)恢復(fù)負(fù)責(zé)人或首席調(diào)查員的特定培訓(xùn)將有助于培養(yǎng)發(fā)現(xiàn)和處理復(fù)雜、復(fù)雜事件的能力,。

　　執(zhí)行意識

　　在執(zhí)行層面建立意識和經(jīng)驗(yàn)與在技術(shù)層面建立意識和經(jīng)驗(yàn)同樣重要,，因?yàn)檫@些角色需要做出緊急的關(guān)鍵決策。

　　考慮誰將能夠承擔(dān)某些關(guān)鍵角色（例如響應(yīng)期間的事件經(jīng)理）以及誰將被要求做出關(guān)鍵決策也很重要,。

　　確保在關(guān)鍵員工不在的情況下或在長時(shí)間的事件響應(yīng)期間需要休息時(shí)任命代表也很重要,。