使用最终的“管理层事件响应”演示模板向管理层报告

安全事故时有发生。这不是“如果”的问题，而是“何时”的问题有一些安全产品和程序是为了优化IR流程而实施的，因此从“安全专业人员”的角度来看，事情都得到了妥善处理。

然而，许多在处理事故方面表现出色的安全专业人士发现，与管理层有效沟通正在进行的流程是一项更具挑战性的任务。

有点意外—；管理层通常不懂安全，也不真正关心security pro掌握的位和字节。Cynet通过管理层的IR报告PPT模板解决了这一差距，为CISO和CIO提供了一个清晰直观的工具来报告正在进行的IR过程及其结论。

IR for Management模板使CISO和CIO能够与管理层关心的两个关键点进行沟通—；确保事件得到控制，并清楚地了解影响和根本原因。

控制是IR过程的一个关键方面，在这个意义上，在任何给定的时刻，处理的内容、已知的内容和需要补救的内容以及需要进一步调查的内容都是完全透明的，以揭示攻击中未知的部分。

管理层不考虑特洛伊木马、漏洞利用和横向移动，而是考虑业务生产力—；停机、工时、敏感数据丢失。

将攻击路线的高级描述映射到造成的损害，对于获得管理层的理解和参与至关重要，尤其是在IR过程需要额外支出的情况下。

该模板遵循SANS\NIST IR框架，包括以下阶段：

识别

毫无疑问，攻击者的存在已被检测到。检测是在内部进行还是由第三方进行的，攻击的成熟程度（就其在杀伤链上的进展而言），估计的风险是多少，以及是否会利用内部资源采取以下步骤，或者是否需要聘请服务提供商？

遏制

在进一步调查之前立即停止出血的急救、攻击根本原因、离线实体的数量（端点、服务器、用户帐户）、当前状态以及后续步骤。

根除

全面清理所有恶意基础设施和活动，完整报告攻击路线和假设目标，总体业务影响（工时、丢失的数据、监管影响以及不同环境下的其他影响）

恢复

端点、服务器、应用程序、云工作负载和数据的恢复率。

经验教训

攻击的促成因素是什么（缺乏足够的安全技术、不安全的工作人员做法等），以及如何修复这些因素，以及在IR流程时间线的前几个阶段进行反思，寻找需要保留和改进的内容。

当然，在安全事件中不存在一刀切的情况。例如，在某些情况下，识别和遏制几乎立即同时进行，而在其他情况下，遏制可能需要更长时间，需要多次介绍其临时状态。这就是为什么模板是模块化的，可以轻松地调整到任何变体。

与管理层的沟通不是一件好事，而是IR流程本身的一个关键部分。向管理层提交最终的IR报告PPT模板使所有努力在其组织中执行专业和高效IR流程的人都能让他们的管理层清楚地了解他们的努力和结果。