DFIR需求层次与关键安全控制

在规划如何提升组织2017年的数字取证与事件响应能力时，不妨参考Matt Swann提出的"事件响应需求层次"模型。该模型借鉴了马斯洛需求层次理论，将DFIR能力划分为从基础到高级的九个层级，形成金字塔式进阶结构。

事件响应需求层次

Matt通过Github指出：“事件响应层次描述了组织为保护业务资产必须构建的能力。底层能力是上层能力成功执行的前提条件。”

能力建设可进一步划分为不同阶段，代表组织在发展过程中的成熟度演进。

互联网安全中心关键安全控制v6.1可对应每个层次需求。以下是各层次对应的控制措施与工具示例：

关键控制#1：授权与非授权设备清单
工具推荐：Spiceworks Inventory

关键控制#6：审计日志维护监控与分析
工具推荐：AlienVault OSSIM

关键控制#8：恶意软件防御
工具推荐：OSSEC开源HIDS

关键控制#4：持续漏洞评估与修复
工具推荐：OpenVAS

关键控制#19：事件响应与管理
工具推荐：安全事件响应测试工具

关键控制#5：管理权限受控使用
工具推荐：本地管理员密码解决方案

关键控制#6：审计日志分析
工具推荐：GRR快速响应

关键控制#12：边界防御
工具推荐：Bro网络监控

关键控制#20：渗透测试与红队演练
工具推荐：红蓝对抗工具集

关键控制#19：事件响应协作
工具推荐：MISP威胁情报平台

作者在CIS CSC 6.1电子表格中完成了完整的能力映射，可通过短链接http://bit.ly/CSC-IRH获取。建议组织以此为基础框架，结合自身需求选择适配的控制措施与工具，持续优化安全能力建设。

本文提供的控制措施和工具仅为起点，实际部署需根据具体环境进行调整。欢迎通过社交媒体分享更多实践方案。