信息來(lái)源：Freebuf

美國(guó)聯(lián)邦能源管理委員會(huì)（FERC）和北美電力可靠性公司（NERC）發(fā)布了一項(xiàng)有關(guān)電力企業(yè)的網(wǎng)絡(luò)事件響應(yīng)和恢復(fù)最佳實(shí)踐的研究。

報(bào)告原文可查看：

https://cms.ferc.gov/sites/default/files/2020-09/FERC%26NERC_CYPRES_Report.pdf

據(jù)悉，該報(bào)告主要基于美國(guó)八家電力公司的專家共享的信息，能夠改善事件響應(yīng)和事件恢復(fù)規(guī)劃，以確保在發(fā)生網(wǎng)絡(luò)安全事件時(shí)電氣系統(tǒng)的可靠性。

一般來(lái)說(shuō)，建立清晰的事件響應(yīng)規(guī)劃是一項(xiàng)復(fù)雜的任務(wù)，同時(shí)要針對(duì)組織的使命、規(guī)模、結(jié)構(gòu)和職能進(jìn)行個(gè)性化設(shè)置，但通常也會(huì)包含以下共同要素：

（1）定義范圍（適用于誰(shuí)，涵蓋了哪些內(nèi)容，以及在什么場(chǎng)景背景下）

（2）定義計(jì)算機(jī)安全事件和攻擊事件、人員角色和職責(zé)、響應(yīng)權(quán)限（例如斷開(kāi)設(shè)備的權(quán)限）、報(bào)告要求，外部通信和信息共享的要求和指南，以及性能評(píng)估的程序。

為了制定出IRR（事件響應(yīng)和恢復(fù)）計(jì)劃的最佳實(shí)踐，可以從幾個(gè)階段循序漸進(jìn)地進(jìn)行。

在準(zhǔn)備階段，必須包括對(duì)人員角色的明確定義，促進(jìn)問(wèn)責(zé)制，并在適當(dāng)?shù)那闆r下授權(quán)人員采取行動(dòng)避免不必要的延誤。同時(shí)，應(yīng)該積極利用技術(shù)和自動(dòng)化工具，并且培養(yǎng)訓(xùn)練有素的人員，不斷提升人員的技能，如需要從過(guò)去的網(wǎng)絡(luò)安全事件/演習(xí)測(cè)試中學(xué)習(xí)經(jīng)驗(yàn)，彌補(bǔ)不足。

在檢測(cè)和分析階段，建議使用安全基準(zhǔn)來(lái)檢測(cè)潛在的網(wǎng)絡(luò)事件，并采用決策樹(shù)或流程圖來(lái)快速評(píng)估是否達(dá)到特定的風(fēng)險(xiǎn)閾值，以及某些情況是否符合安全事件條件。

在遏制和消除階段，組織應(yīng)該對(duì)潛在威脅、潛在影響以及為緩解威脅而部署的對(duì)策有深入的了解，以及分析前一階段做出的決定的影響，如遏制威脅是需要斷開(kāi)外部所有連接，那么就需要徹底了解這類決定的潛在影響。同時(shí)，要考慮到不確定時(shí)長(zhǎng)的事件響應(yīng)對(duì)于企業(yè)資源的影響。

在事后活動(dòng)中，從先前事件中吸取經(jīng)驗(yàn)教訓(xùn)，并進(jìn)行模擬活動(dòng)，以找出內(nèi)部IRR計(jì)劃中明顯的不足之處。

最后，IRR計(jì)劃是應(yīng)對(duì)網(wǎng)絡(luò)威脅的重要策略，可以減輕網(wǎng)絡(luò)攻擊者擁有的自然優(yōu)勢(shì)。當(dāng)響應(yīng)團(tuán)隊(duì)準(zhǔn)備好檢測(cè)、控制并在適當(dāng)時(shí)消除網(wǎng)絡(luò)威脅，才能保證業(yè)務(wù)遭受攻擊的影響最小化。