美国联邦能源管理委员会(FERC)和北美电力可靠性公司(NERC)发布了一项有关电力企业的网络事件响应和恢复优秀实践的研究。

报告原文可查看：

https://cms.ferc.gov/sites/default/files/2020-09/FERC%26NERC_CYPRES_Report.pdf

据悉，该报告主要基于美国八家电力公司的专家共享的信息，能够改善事件响应和事件恢复规划，以确保在发生网络安全事件时电气系统的可靠性。

一般来说，建立清晰的事件响应规划是一项复杂的任务，同时要针对组织的使命、规模、结构和职能进行个性化设置，但通常也会包含以下共同要素：

• 定义范围(适用于谁，涵盖了哪些内容，以及在什么场景背景下)
• 定义计算机安全事件和攻击事件、人员角色和职责、响应权限(例如断开设备的权限)、报告要求，外部通信和信息共享的要求和指南，以及性能评估的程序。

为了制定出IRR(事件响应和恢复)计划的最佳实践，可以从几个阶段循序渐进地进行。

在准备阶段，必须包括对人员角色的明确定义，促进问责制，并在适当的情况下授权人员采取行动避免不必要的延误。同时，应该积极利用技术和自动化工具，并且培养训练有素的人员，不断提升人员的技能，如需要从过去的网络安全事件/演习测试中学习经验，弥补不足。

在检测和分析阶段，建议使用安全基准来检测潜在的网络事件，并采用决策树或流程图来快速评估是否达到特定的风险阈值，以及某些情况是否符合安全事件条件。

在遏制和消除阶段，组织应该对潜在威胁、潜在影响以及为缓解威胁而部署的对策有深入的了解，以及分析前一阶段做出的决定的影响，如遏制威胁是需要断开外部所有连接，那么就需要彻底了解这类决定的潜在影响。同时，要考虑到不确定时长的事件响应对于企业资源的影响。

在事后活动中，从先前事件中吸取经验教训，并进行模拟活动，以找出内部IRR计划中明显的不足之处。

最后，IRR计划是应对网络威胁的重要策略，可以减轻网络攻击者拥有的自然优势。当响应团队准备好检测、控制并在适当时消除网络威胁，才能保证业务遭受攻击的影响最小化。