NIST网络安全框架-响应

在上周的邮件中，我们讨论了NIST网络安全框架的第三个类别——检测. 本周我们将讨论第四个类别——回应.

与Protect一样，response的总体思路似乎非常明确. 你有入侵事件，你要做出相应的反应. 根据NIST, 响应类别包括针对检测到的网络安全事件采取行动的适当活动. 响应函数支持控制潜在网络安全事件的影响.

以下是NIST给出的具体信息:

应变计划(RS).RP):响应过程和程序得到执行和维护, 确保及时响应发现的网络安全事件.

通信(RS.CO):响应活动与内部和外部利益相关者协调, 适当的, 包括来自执法机构的外部支持.

分析(RS.AN):进行分析以确保适当的响应和支持恢复活动.

缓解(RS.MI):执行活动是为了防止事件的扩展, 减轻其影响, 解决这个问题.

以下是NIST的一些具体例子:

• 确保在事件发生期间和之后执行响应计划流程
• 管理活动期间和之后与涉众的沟通, 执法, 以及适当的外部利益相关者
• 进行分析，以确保有效的反应和支持恢复活动，包括法医分析, 并确定事件的影响
• 执行缓解活动是为了防止事件扩展并解决事件
• 组织通过整合从当前和以前的检测/响应活动中吸取的经验教训来实施改进

这在纸面上听起来很简单, 但在发现的最激烈时刻, 事情可能会变得相当混乱. 完成这里列出的步骤，并创建一个事件响应计划，该计划准确地概述将发生的事情, 谁会收到通知, 采取什么样的控制和补救措施，可以为肯定会造成压力的局势带来急需的清晰度和重点. 在任何事情发生之前制定这个计划将帮助你在最坏的情况发生时快速有效地做出反应.

下周的公告将讨论第5类-恢复.

如果你还不知道事故响应计划是什么样子的，请了解一下. 如果你有一个计划，回顾一下它，如果它是在一年前回顾的.

如果你想在NIST CSF的旅程中获得一些帮助, CSI提供一项服务，指导您完成整个过程，并提供编写文档的工具. 如果您和您的IT主管想了解更多，或者想安排时间与CSI的一位知识渊博的工程师就NIST CSF进行更深入的讨论, 请与Lisa MacDougall联系 lmacdougall@bionvision.com 或拨打845.897.9480.