事后复盘
事后复盘 是什么?
事后复盘事件结束后的无追责评审,用于还原时间线、识别促成因素,并明确下次能预防或更早检测此问题的具体行动。
安全事后复盘是把事件转化为组织学习的结构化回顾。团队根据日志、工单和聊天记录还原时间线,找出做得好的与做得不足的环节,并使用五个为什么、因果映射等技术追踪促成因素。产出是一份书面文档,包含明确负责人的具体行动项:缺失的检测、失效的剧本、工具缺口、培训需求和流程改进。为了真正产生价值,复盘必须无追责,聚焦在系统而非个人,有时间限制,并跟踪行动项闭环,确保改进真正落地,避免同样的失败再次发生。
● 示例
- 01
复盘一次差点发生的勒索软件事件,发现旧 VPN 账户没有启用 MFA。
- 02
记录某条嘈杂告警在三周前被静默,而真实攻击使用了同样的技术。
● 常见问题
事后复盘 是什么?
事件结束后的无追责评审,用于还原时间线、识别促成因素,并明确下次能预防或更早检测此问题的具体行动。 它属于网络安全的 防御与运营 分类。
事后复盘 是什么意思?
事件结束后的无追责评审,用于还原时间线、识别促成因素,并明确下次能预防或更早检测此问题的具体行动。
事后复盘 是如何工作的?
安全事后复盘是把事件转化为组织学习的结构化回顾。团队根据日志、工单和聊天记录还原时间线,找出做得好的与做得不足的环节,并使用五个为什么、因果映射等技术追踪促成因素。产出是一份书面文档,包含明确负责人的具体行动项:缺失的检测、失效的剧本、工具缺口、培训需求和流程改进。为了真正产生价值,复盘必须无追责,聚焦在系统而非个人,有时间限制,并跟踪行动项闭环,确保改进真正落地,避免同样的失败再次发生。
如何防御 事后复盘?
针对 事后复盘 的防御通常结合技术控制与运营实践,详见上方完整定义。
事后复盘 还有哪些其他名称?
常见的别称包括: 无追责复盘, 经验教训。
● 相关术语
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- forensics-ir№ 525
事件响应计划
经过批准的书面剧本,规定组织如何对网络安全事件进行准备、检测、遏制、根除、恢复并总结教训。
- defense-ops№ 999
安全剧本
为特定告警或事件类型而准备的可重复执行的书面流程,告诉响应人员按何种顺序做什么。
- forensics-ir№ 1127
桌面演练
以讨论为主的模拟演练,相关方按既定情景推演假想的网络事件,检验计划、角色、决策与沟通。
- defense-ops№ 660
MTTC(平均遏制时间)
从检测到安全事件到威胁不再能够扩散、外泄数据或造成进一步损害的状态之间的平均时间。