12月8日，国家网信办起草发布了《网络安全事件报告管理办法（征求意见稿）》（以下简称“征求意见稿”）。征求意见稿里规定，运营者在发生网络安全事件时，应当及时启动应急预案进行处置。按照《网络安全事件分级指南》，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。

关注上报时效性与内容完整度

    这版《征求意见稿》有两点值得关注：
    第一，在发生网络安全事件时应当及时启动应急预案进行处置，并强调了1小时的上报时限要求。此次《征求意见稿》明确规定，依照网络安全事件分级，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。
    第二，根据1小时汇报和24小时的补报时限，对上报内容有不同细粒度的要求。客观要求企业具备完善的应急响应能力，能对安全事件进行完整的响应处置和分析溯源。
    如此规定的内在逻辑是，如果1小时内企业做不到上报全部信息，也要求1小时内必须上报一部分关键内容，事实上，如果运营的平台方如果覆盖了相应安全能力，最好能一次性上报所有信息。
    1小时内应该报告信息中应包含事件发现或发生时间、地点、事件类型、已造成的影响和危害，已采取的措施及效果信息。对勒索软件攻击事件，还应当包括要求支付赎金的金额、方式、日期等。
    对于1小时内不能判定事发原因、影响或趋势等的，应于24小时内补报的信息包括：事态发展趋势及可能进一步造成的影响和危害；初步分析的事件原因；进一步调查分析所需的线索，包括可能的攻击者信息、攻击路径、存在的漏洞等；拟进一步采取的应对措施以及请求支援事项；事件现场的保护情况等。

    网络和系统为关键信息基础设施涉及国计民生，一旦发生重大网络安全问题，产生的影响将十分重大，网络安全事件又有很强的时效性。

    那么，平台运营方如何能在1小时内发现和上报信息，并且在符合规定的情况下尽可能快速掌握和上报所有信息？

  1. 提升MTTD和MTTR，尽早消除安全隐患

    依据威胁情报等相关产品和服务实现尽快发现、监测、处置和上报。

    首先要能快速、及时发现，其次能“定位和判断”这是一起较大、重大或特别重大网络安全事件，并能尽快作出处置。
    面对《征求意见稿》对上报的高时效性要求，企业需要投入更多资源进行安全运营建设。微步认为，情报应贯穿安全运营全流程，使用专业、全面、及时、精准的威胁情报相关产品，实现快速发现、阻断和分析。
    随着网络威胁的数量和复杂性不断增长，构建基于威胁情报网络安全主动防御体系，实现高效化安全运营势在必行。外部威胁情报服务提供商基于全方位的情报感知、多维度的融合分析，在帮助企业实现动态精准的网络安全威胁应对中发挥着越来越重要的作用。
    将威胁情报用于安全运营，可以全面、快速地了解攻击全貌，为安全运营决策提供专业、科学的依据，提升对安全事件的分析研判能力和处置的效率。
    微步作为全方位的网络威胁发现和检测厂商，依托威胁情报技术，大数据和AI技术，可以帮助运营者第一时间掌握基本情况，判断事件级别，可结合预警发现、检测处置的核心能力，包括对历史数据的分析判断，实现对网络安全事件的“一键式”上报，帮助运营者进行精准溯源分析和消除安全隐患，对涉及APT、Web漏洞利用攻击成功的重大威胁事件，微步MDR服务可实现10分钟内响应。 

    目前，已有数百个威胁情报实战案例使用微步的解决方案，涉及多个国家级大型平台等。

    2. 完善应急预案+实战化演练

    能在1小时内发现、24小时内梳理安全事件的详细逻辑，功夫往往是下在日常安全运营建设中。优化应急预案，进行实战化演练至关重要。

    优化“事后”处理和汇报机制，意味着企业需在管理制度和流程上增加上报监管的要求，以及基于事件分级分类和相应的上报要求，结合业务属性、数据敏感性等实际情况，逐项完善应急预案。
    微步建议，企业和机构应基于新的应急预案，开展更加场景化、实战化的应急演练，验证应急预案的落地性，锤炼安全团队的协作流程。
    此外，该《征求意见稿》中强调了遭遇勒索攻击后上报流程，鉴于目前攻击者对关于国计民生的国家基础设施的“瞄准”，微步建议，涉及的相关单位，除了精准检测和发现威胁，还应打有准备之战——提前进行勒索攻击演练。
    不久前，微步在某大型银行进行了实战化的勒索攻击演练。微步红队负责人建议，通过勒索演练落地调优各分支机构到总部的应急上报机制，有效满足监管合规要求。

    同时，除了勒索攻击演练，也可以考虑通过红队评估对整体防护体系进行摸底，知道“哪里强”“哪里弱”，为后续安全建设和预算申请提供科学依据。