ISO/IEC 27035-3:2020 — 事件管理 — 响应与运行

事件管理的运行阶段是准备与现实相遇的时刻。ISO/IEC 27035-3:2020 为事件响应
的检测、分析、遏制、根除和恢复阶段提供了详细的程序性指南。该标准是
27035 系列的操作核心，将战略计划转化为安全团队在实时事件中执行的战术行动。

时间是在事件响应过程中最关键的资源。根据行业数据，平均驻留时间仍以天或
周计算。ISO/IEC 27035-3 提供了压缩这一时间线并最小化损害的结构化方法。

事件检测与初步评估

有效检测需要多层策略。标准涵盖了来自多种来源的检测：自动化安全控制、
用户报告、外部威胁情报源和第三方通知。每个检测来源必须有定义的初步
分诊程序——确定事件是误报、非恶意异常还是需要升级的真实安全事件。

初步评估是检测与全面响应之间的桥梁。ISO/IEC 27035-3 定义了结构化
的分诊流程，评估技术范围、业务影响和紧迫性。评估结果进入决策矩阵，
确定事件严重级别、响应团队组成和升级路径。

严重级别	定义	响应时限	团队组成
低	孤立事件，无数据泄露，业务影响低	1 个工作日内	L1 分析师
中	范围有限，可能轻微数据泄露	4 小时内	L2 分析师 + 团队领导
高	重大数据泄露，关键系统受影响	1 小时内	完整事件团队 + 管理层
严重	持续的活跃威胁，可能违反监管要求	立即（15 分钟）	完整团队 + 高管 + 法务 + 公关

定义明确的分诊标准可防止两个常见问题：告警疲劳和”狼来了”效应。

遏制、根除与恢复策略

标准提出了一种在速度与法证保全之间取得平衡的结构化遏制方法。短期遏制
旨在阻止即时威胁扩散。长期遏制在规划根除活动的同时应用更持久的措施。

根除是消除事件的根源。这可能涉及移除恶意软件、修补漏洞、撤销受损凭据
或从已知良好的镜像重建受影响的系统。标准强调根除必须彻底——部分根除会
导致重新感染或持续存在。恢复涉及以分阶段方式恢复正常运营，并进行仔细
监控以确保威胁在恢复生产流量之前已被完全消除。标准建议使用正式的
“恢复运营”检查清单和签核流程。

在实际操作中，遏制策略的选择需要权衡多个因素：业务中断成本、取证价值
保留、威胁扩散速度以及可用资源限制。标准建议为常见场景预定义遏制策略，
以便在紧急情况下快速决策。例如，对于勒索软件事件，立即隔离受影响网段
是标准做法；而对于数据泄露事件，则可能需要更谨慎的方法以保留证据。
标准还强调与内部法律团队和外部监管机构保持沟通的重要性，确保遏制行动
不会妨碍后续的法律程序或监管调查。恢复阶段则需分步骤进行，从最关键的
业务系统开始，逐步恢复至满负荷运行状态。

一个常见的操作错误是在完成彻底的法证分析和根除之前匆忙进入恢复阶段。
这可能在环境中留下后门或持续威胁，导致重复事件。

事件后评审与经验教训

事件后阶段是组织捕获从事件中获得的知识并将其转化为改进防御态势的环节。
ISO/IEC 27035-3 推荐结构化的事件后评审流程，涵盖：发生了什么、哪些做得好、
哪些出了问题、哪些可以改进以及需要哪些变更以防止再次发生。评审应生成
包含可操作建议、责任人和目标完成日期的正式报告。

标准还强调了事件指标聚合的价值。通过分析跨多个事件的模式，组织可以
识别系统性弱点并优先安排改进计划。向管理层报告趋势分析结果强化了
持续投资于事件管理能力的商业论证。

常见问题

问：应该在何时开始遏制与完成评估后再行动？
答：在活跃威胁场景下，立即遏制优先。标准支持并行活动——一个团队启动
遏制，另一个团队继续评估。决定取决于威胁的性质和速度。

问：法证证据收集如何融入响应？
答：法证考虑因素必须从一开始就融入响应程序。标准建议在可能的情况下
通过遏制行动保全证据。组织应有预定义的监管链程序。

问：勒索软件事件的推荐处理方法是什么？
答：标准建议作为政策不支付赎金。响应应侧重于遏制、证据保全、与执法
部门合作、激活基于备份的恢复程序，以及根据监管义务与利益相关者沟通。

问：云原生事件应如何处理？
答：云事件需要特殊考虑：临时资源可能使取证复杂化、共担责任模型影响
响应边界、基于 API 的攻击需要不同的检测和遏制方法。标准建议使用
云特定的剧本并预先建立与云服务提供商的协调程序。

事件检测与初步评估

遏制、根除与恢复策略

事件后评审与经验教训

常见问题

发表回复取消回复

Trending now