重大网络安全事件是一种压力极大的情况，需要迅速采取行动来控制和减轻直接影响。但是，一旦尘埃落定，压力有所缓解，组织应该做些什么来从事件中吸取教训并改善其未来的安全态势？

在英国国家网络安全中心 (NCSC) 网站上有一篇很棒的博客文章。 谈到了为什么分享从网络安全事件和“险情”中吸取的教训将有助于每个人进步。接着概述了共享情报的重要性，例如攻击者最初是如何进入网络并在网络中移动的，他们试图实现什么，以及攻击最终是如何结束的。还建议收集为应对攻击而采取的所有网络安全行动的详细信息，包括那些有效的行动（以及那些无效的行动）。

因此，根据我自己的经验，在这里总结了组织在遭受攻击时需要考虑的事情。

事后分析

审查有关攻击的所有可用数据非常重要。分析所使用的攻击媒介，并深入了解此特定事件成功的原因。事后分析活动应深入了解攻击，不仅要了解发生了什么，还要了解事件是如何展开的。检查事件发生的时间、时间表是什么、采取了哪些行动以及由谁采取。换句话说，应该建立事件、对手和活动时间表。这对于组织来说至关重要，以便从流程的角度更好地做好准备并提高效率。这应该是一次彻底的调查，分析票据，查看记录的内容和时间，对一系列事件以及响应效果有高度集中的理解。例如，组织是否花了几分钟、几小时或几天的时间来识别攻击？虽然分析整个事件很有价值，但分解攻击中的单个活动也很重要。

当查看所有这些流程时，如果您发现某项活动需要花费很长时间，请深入研究它并考虑是否可以实现操作的自动化以及数据是否可以更快地丰富和优化。

反馈回路的重要性

除了分析过程之外，还要从数据角度检查事件；任何收集到的信息都应该用于反馈回路，以帮助预防工具更好地发挥作用。

此外，从数据的角度来看，与他人分享团队所学到的知识非常重要，因为这有助于整个行业更好地打击网络犯罪。这种数据共享还意味着您将从其他方获得有关其他潜在事件的信息，这些信息可以帮助团队更充分地准备和强化基础设施，从而尽可能地预防。让其他人审查事件数据也提供了一个外部视角——与事件不太接近的人可能会发现错过的东西。

这有助于在事件发生后让混乱局面恢复秩序，并让您了解其他人的工作如何影响和扩大您自己的工作。这将能够确保事件处理人员、恶意软件研究人员、SOC分析师和调查负责人获得更多控制权，并能够在正确的时间采取正确的措施。

值得学习的知识

事件后分析还能让您确定培训需求和需要改进的领域。例如，是否需要在整个组织内开展更多安全或网络钓鱼意识培训？同样，员工群体需要了解事件的其他方面。这也是为了教育他们为什么要学习这些东西，并培养更注重安全的文化。

未来如何改进应对措施？是否需要进行情报调动，以便找到与该对手相关的事件信息，然后探索他们通常使用的其他策略，以及其中是否已针对组织使用过。

这里有一个关于广度和深度的讨论，思考一下你对这一单一事件的了解有多深，以及针对你的活动有多广泛——你认为的单一事件可能要大得多，这会在事件后评估过程中显现出来。

您还可以考虑威胁搜寻练习和渗透测试，以识别整个组织中类似的风险和漏洞领域。

创造良性共享圈

分享很重要。大多数组织更热衷于从他人那里收集数据，而不是分享自己的数据，但如果你分享，你就会向同行提供信息，并创建一个良性的共享圈，从而增强行业的预防态势。

关键问题是：事件发生后，是否有一个理想的时间范围来进行评估？不幸的是，没有唯一的答案，这实际上取决于您拥有的资源和正在进行的活动量。最终，您希望加速理解、改善协作、加强防御并协调行动，因此理想情况下，您应该将事件审查作为标准方法和流程例程的一部分。这意味着您应该根据您的业务制定自己的内部 SLA 以进行事件后审查。这可能是一天后或几周后，但这里重要的一点是，无论您的响应时间是多少，这都已作为流程的一部分达成一致，并且您会遵守它。最终，它需要及时，不同的公司会根据降低平均检测时间 (MTTD) 和平均响应时间 (MTTR) 来定义及时的含义。

最后我想说的是，事后审查也需要是一个建设性的学习过程，而不是相互指责，否则如果员工认为事情不太对劲，他们就不会站出来，你也不会培养这种学习型安全文化。当今的威胁不断演变，如果我们想领先对手一步，我们就需要分享、参与、合作、响应和学习。