Entry № 950
事后复盘
事后复盘 是什么?
事后复盘事件结束后的无追责评审,用于还原时间线、识别促成因素,并明确下次能预防或更早检测此问题的具体行动。
安全事后复盘是把事件转化为组织学习的结构化回顾。团队根据日志、工单和聊天记录还原时间线,找出做得好的与做得不足的环节,并使用五个为什么、因果映射等技术追踪促成因素。产出是一份书面文档,包含明确负责人的具体行动项:缺失的检测、失效的剧本、工具缺口、培训需求和流程改进。为了真正产生价值,复盘必须无追责,聚焦在系统而非个人,有时间限制,并跟踪行动项闭环,确保改进真正落地,避免同样的失败再次发生。
● 示例
- 01
复盘一次差点发生的勒索软件事件,发现旧 VPN 账户没有启用 MFA。
- 02
记录某条嘈杂告警在三周前被静默,而真实攻击使用了同样的技术。
● 常见问题
事后复盘 是什么?
事件结束后的无追责评审,用于还原时间线、识别促成因素,并明确下次能预防或更早检测此问题的具体行动。 它属于网络安全的 防御与运营 分类。
事后复盘 是什么意思?
事件结束后的无追责评审,用于还原时间线、识别促成因素,并明确下次能预防或更早检测此问题的具体行动。
如何防御 事后复盘?
针对 事后复盘 的防御通常结合技术控制与运营实践,详见上方完整定义。
事后复盘 还有哪些其他名称?
常见的别称包括: 无追责复盘, 经验教训。