2.1.1　实施事件响应流程的原因

在深入学习流程本身的更多详细内容之前，了解使用的术语以及将IR用作增强安全态势一环时的最终目标是什么，这一点很重要。我们用一个虚构的公司来说明为什么这很重要。

图2-1是一个事件的时间线[2]，用来引导服务台升级问题并启动事件响应流程。

图2-1　导致问题升级和启动事件响应流程的事件时间线

表2-1列出了上述场景每个步骤中的一些注意事项。

表2-1　导致问题升级和启动事件响应流程中的注意事项

虽然前面的场景还有很大的改进空间，但这家虚构的公司有着世界上许多其他公司都没有的东西：事件响应本身。如果没有适当的事件响应流程，技术支持专业人员会将精力集中在与基础设施相关的问题上，从而耗尽他们的故障排除努力。安全态势较好的公司，都会有相应的事件响应流程。还将确保遵守以下准则：

·所有IT人员都应接受培训，了解如何处理安全事件。

·应对所有用户进行培训，使其了解有关安全的核心基础知识，以便更安全地完成其工作，这将有助于避免感染。

·服务台系统和事件响应小组之间应该集成以实现数据共享。

上述场景可能会有一些变化，会带来不同挑战，这些挑战也需要克服。一种变化是如果在步骤6中没有发现攻陷指示器（Indicator of Compromise，IoC）。在这种情况下，服务台可以轻松地继续对问题进行故障排除。如果在某个时候“事情”又开始正常工作了呢？这有可能吗？是的，这是很有可能的！找不到IoC并不意味着环境是干净的；现在你需要改变策略，开始寻找攻击指示器（Indicator of Attack，IoA），这需要寻找能够表明攻击者意图的证据。在调查时，可能会发现许多IoA，它们可能会也可能不会导致IoC。关键是了解IoA将使你更好地了解攻击是如何执行的，以及如何对其进行防范。

当攻击者渗透到网络中时，他们通常希望保持隐形，从一台主机横向移动到另一台主机，危害多个系统，并试图通过攻陷具有管理权限的账户来提升权限。这就是为什么不仅在网络中要有好的传感器，在主机本身中也要有。有了好的传感器，不仅可以快速检测到攻击，还可以识别可能导致迫在眉睫的违规威胁的潜在场景[3]。

除了刚才提到的所有因素外，有些公司很快就会意识到，必须要有事件响应流程，以符合所处行业的相关规定。例如，2002年颁布的联邦信息安全管理法案（Federal Information Security Management Act，FISMA）要求联邦机构制定检测、报告和响应安全事件的程序。