Day-239-CSIRT 团队组建与职责分工

# Day 263: CSIRT 团队组建与职责分工

> 应急响应系列第 3 天 | 预计阅读时间：28 分钟 | 难度：★★★☆☆

---

## 清单 目录

1. [CSIRT 概述](#csirt 概述)
2. [团队组建策略](#团队组建策略)
3. [角色与职责定义](#角色与职责定义)
4. [人员能力要求](#人员能力要求)
5. [协作与沟通机制](#协作与沟通机制)
6. [外包与外部支持](#外包与外部支持)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## CSIRT 概述

### 什么是 CSIRT

**CSIRT（Computer Security Incident Response Team）** 是计算机安全事件响应团队，负责组织内部的安全事件响应工作。

### CSIRT 的核心使命

```
┌─────────────────────────────────────────────────────────────┐
│                    CSIRT 核心使命                            │
│                                                             │
│   ┌───────────┐    ┌───────────┐    ┌───────────┐          │
│   │  预防     │    │  响应     │    │  恢复     │          │
│   │  安全事件 │ ──→│  安全事件 │ ──→│  正常运营 │          │
│   └───────────┘    └───────────┘    └───────────┘          │
│         │                │                │                 │
│         ▼                ▼                ▼                 │
│   风险评估          快速处置          业务连续            │
│   安全加固          损失控制          经验总结            │
│   监测预警          证据保全          能力提升            │
└─────────────────────────────────────────────────────────────┘
```

### CSIRT 的类型

| 类型 | 描述 | 适用场景 |
|------|------|----------|
| **内部 CSIRT** | 组织内部专职团队 | 大型企业、关键基础设施 |
| **虚拟 CSIRT** | 兼职人员组成的团队 | 中小型企业 |
| **外包 CSIRT** | 第三方服务提供商 | 资源有限的组织 |
| **行业 CSIRT** | 行业共享团队 | 行业协会、产业集群 |
| **国家/地区 CERT** | 国家级响应团队 | 国家层面协调 |

### CSIRT 成熟度模型

| 级别 | 名称 | 特征 |
|------|------|------|
| **Level 1** | 初始级 | 临时组建，无固定流程 |
| **Level 2** | 可重复级 | 有基本流程，依赖个人能力 |
| **Level 3** | 已定义级 | 文档化流程，标准化操作 |
| **Level 4** | 已管理级 | 量化管理，持续改进 |
| **Level 5** | 优化级 | 主动优化，业界领先 |

---

## 团队组建策略

### 组建考虑因素

#### 组织规模

| 规模 | 建议团队 | 人员配置 |
|------|----------|----------|
| **小型（<100 人）** | 虚拟团队 | 2-3 人兼职 |
| **中型（100-1000 人）** | 专职 + 兼职 | 3-5 人专职 + 支援人员 |
| **大型（>1000 人）** | 专职 CSIRT | 10+ 人专职团队 |
| **超大型/关键设施** | 7×24 SOC+CSIRT | 20+ 人，三班倒 |

#### 行业特点

| 行业 | 特殊要求 |
|------|----------|
| **金融** | 监管报告要求高，需要合规专家 |
| **医疗** | HIPAA 合规，患者隐私保护 |
| **政府** | 国家安全要求，保密资质 |
| **互联网** | 快速响应，7×24 覆盖 |
| **制造业** | OT/IT 融合，工控安全专家 |

### 团队结构设计

#### 基础结构（小型团队）

```
        CSIRT 负责人
             │
    ┌────────┼────────┐
    │        │        │
    ▼        ▼        ▼
  检测     响应     协调
  分析     处置     沟通
```

#### 标准结构（中型团队）

```
              CSIRT 经理
                   │
    ┌──────────────┼──────────────┐
    │              │              │
    ▼              ▼              ▼
┌─────────┐  ┌─────────┐  ┌─────────┐
│ 检测组  │  │ 响应组  │  │ 支持组  │
│         │  │         │  │         │
│ • 监控  │  │ • 遏制  │  │ • 沟通  │
│ • 分析  │  │ • 根除  │  │ • 法务  │
│ • 情报  │  │ • 恢复  │  │ • 行政  │
└─────────┘  └─────────┘  └─────────┘
```

#### 完整结构（大型团队）

```
                      CSIRT 总监
                           │
    ┌──────────┬───────────┼───────────┬──────────┐
    │          │           │           │          │
    ▼          ▼           ▼           ▼          ▼
┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐
│ 运营组  │ │ 分析组  │ │ 响应组  │ │ 情报组  │ │ 管理组  │
│         │ │         │ │         │ │         │ │         │
│ • SOC   │ │ • 取证  │ │ • 遏制  │ │ • 威胁  │ │ • 规划  │
│ • 监控  │ │ • 逆向  │ │ • 根除  │ │   情报  │ │ • 预算  │
│ • 告警  │ │ • 恶意  │ │ • 恢复  │ │ • 研究  │ │ • 培训  │
│ • 值班  │ │   代码  │ │ • 加固  │ │ • 共享  │ │ • 合规  │
└─────────┘ └─────────┘ └─────────┘ └─────────┘ └─────────┘
```

### 人员配置建议

#### 核心岗位最低配置

| 岗位 | 最低人数 | 关键技能 |
|------|----------|----------|
| **团队负责人** | 1 | 管理、沟通、决策 |
| **安全分析师** | 2 | 日志分析、威胁检测 |
| **事件响应工程师** | 2 | 系统管理、网络、脚本 |
| **取证专家** | 1 | 取证工具、法律合规 |

#### 理想配置（大型团队）

| 岗位 | 人数 | 班次 |
|------|------|------|
| 团队负责人 | 1 | 日常 |
| 副负责人 | 1 | 日常 |
| 高级分析师 | 3 | 日常 |
| 分析师 | 6 | 三班倒 |
| 响应工程师 | 6 | 三班倒 |
| 取证专家 | 2 | 日常 |
| 威胁情报分析师 | 2 | 日常 |
| 协调员 | 1 | 日常 |

---

## 角色与职责定义

### 核心角色矩阵

#### CSIRT 负责人（Team Leader）

**职责**：
- 制定 CSIRT 战略和年度计划
- 管理预算和资源
- 重大事件决策和升级
- 对外沟通和协调
- 团队建设和人员发展

**技能要求**：
- 5 年以上安全经验
- 2 年以上管理经验
- 优秀的沟通和决策能力
- 熟悉行业法规和标准

**权限**：
- 启动应急响应流程
- 调配团队资源
- 批准对外沟通内容
- 决定事件升级

#### 安全分析师（Security Analyst）

**职责**：
- 监控安全告警和日志
- 初步分析和验证事件
- 事件分类和分级
- 编写分析报告
- 维护检测规则

**技能要求**：
- 熟悉 SIEM、IDS/IPS
- 日志分析能力
- 网络协议知识
- 脚本能力（Python/PowerShell）

**权限**：
- 访问安全日志和工具
- 启动初步调查
- 建议事件分级

#### 事件响应工程师（Incident Responder）

**职责**：
- 执行遏制和根除措施
- 系统恢复和加固
- 现场取证和数据收集
- 编写技术报告
- 维护响应工具

**技能要求**：
- 系统管理（Windows/Linux）
- 网络配置和故障排除
- 熟悉取证工具
- 脚本和自动化能力

**权限**：
- 执行系统级操作
- 隔离受影响系统
- 访问取证工具

#### 取证专家（Forensics Specialist）

**职责**：
- 数字取证和数据恢复
- 证据链管理
- 恶意代码分析
- 编写取证报告
- 法律程序支持

**技能要求**：
- 取证工具（Volatility、FTK、EnCase）
- 文件系统知识
- 内存分析
- 法律合规知识

**权限**：
- 访问取证实验室
- 管理证据存储
- 签署取证报告

#### 协调员（Coordinator）

**职责**：
- 内外部沟通协调
- 会议组织和记录
- 文档管理和归档
- 培训和演练组织
- 行政支持

**技能要求**：
- 优秀的沟通能力
- 文档编写能力
- 项目管理能力
- 熟悉组织流程

**权限**：
- 召集应急会议
- 访问联系人清单
- 发送官方通知

### RACI 矩阵示例

| 活动 | 负责人 | 批准人 | 咨询人 | 知情人 |
|------|--------|--------|--------|--------|
| 事件检测 | 分析师 | - | - | 负责人 |
| 事件分级 | 分析师 | 负责人 | - | 团队 |
| 遏制决策 | 负责人 | CISO | 法务 | 团队 |
| 取证操作 | 取证专家 | 负责人 | - | 团队 |
| 对外沟通 | 协调员 | 负责人 | 法务/PR | 管理层 |
| 系统恢复 | 响应工程师 | 负责人 | IT 运维 | 业务部门 |
| 事件报告 | 分析师 | 负责人 | - | 管理层 |
| 流程改进 | 负责人 | CISO | 团队 | 相关部门 |

### 值班安排

#### 7×24 覆盖方案

```
早班 (08:00-16:00)：
- 分析师 × 2
- 响应工程师 × 1

中班 (16:00-24:00)：
- 分析师 × 1
- 响应工程师 × 1

夜班 (00:00-08:00)：
- 分析师 × 1（远程 on-call）

周末/节假日：
- 远程 on-call 轮换
```

#### On-call 机制

| 级别 | 响应时间 | 人员 |
|------|----------|------|
| **一级 on-call** | 15 分钟内响应 | 值班分析师 |
| **二级 on-call** | 30 分钟内响应 | 响应工程师 |
| **三级 on-call** | 1 小时内响应 | 团队负责人 |

---

## 人员能力要求

### 技术能力框架

#### 基础知识

| 领域 | 具体要求 |
|------|----------|
| **网络** | TCP/IP、路由交换、防火墙、DNS、HTTP/HTTPS |
| **系统** | Windows/Linux 系统管理、Active Directory |
| **安全** | 常见攻击手法、漏洞原理、防护技术 |
| **日志** | 系统日志、应用日志、安全设备日志格式 |

#### 专业技能

| 岗位 | 核心技能 |
|------|----------|
| **分析师** | SIEM 使用、日志分析、威胁检测、告警调优 |
| **响应工程师** | 系统加固、网络隔离、脚本编写、自动化工具 |
| **取证专家** | 取证工具、证据链、内存分析、恶意代码分析 |
| **情报分析师** | 威胁情报平台、TTP 分析、IOC 管理、情报共享 |

### 软技能要求

| 技能 | 重要性 | 说明 |
|------|--------|------|
| **沟通能力** | ★★★★★ | 跨部门沟通、对外沟通、报告编写 |
| **团队协作** | ★★★★★ | 应急响应需要多人协作 |
| **压力管理** | ★★★★★ | 高压环境下保持冷静 |
| **问题解决** | ★★★★☆ | 快速定位和解决问题 |
| **学习能力** | ★★★★☆ | 持续学习新技术和新威胁 |
| **时间管理** | ★★★★☆ | 多任务并行处理 |

### 认证建议

| 认证 | 适用岗位 | 难度 |
|------|----------|------|
| **GCIH** | 分析师、响应工程师 | 中 |
| **GCFA** | 取证专家、分析师 | 高 |
| **GREM** | 恶意代码分析师 | 高 |
| **CISSP** | 负责人、高级分析师 | 高 |
| **CompTIA Security+** | 入门级 | 低 |
| **CEH** | 响应工程师 | 中 |

### 培训路径

```
入门级 (0-2 年)：
├── 基础安全培训
├── 网络协议深入
├── 系统管理培训
└── Security+ 认证

中级 (2-5 年)：
├── 事件响应专业培训
├── 取证技术培训
├── 恶意代码分析
└── GCIH/GCFA 认证

高级 (5 年+)：
├── 威胁情报分析
├── APT 攻击研究
├── 团队管理培训
└── CISSP/管理认证
```

---

## 协作与沟通机制

### 内部协作

#### 与 IT 运维团队

| 场景 | 协作内容 |
|------|----------|
| 事件检测 | 运维提供系统异常信息 |
| 遏制阶段 | 运维执行网络隔离、系统下线 |
| 恢复阶段 | 运维负责系统重建、数据恢复 |
| 日常 | 基线配置、补丁管理、变更管理 |

#### 与开发团队

| 场景 | 协作内容 |
|------|----------|
| 应用安全事件 | 开发协助分析代码漏洞 |
| 漏洞修复 | 开发实施代码修复 |
| 日志接入 | 开发添加安全日志 |
| 安全开发 | 安全培训和代码审计 |

#### 与法务部门

| 场景 | 协作内容 |
|------|----------|
| 数据泄露 | 评估法律风险和报告义务 |
| 证据收集 | 确保取证过程合法 |
| 对外披露 | 审核沟通内容 |
| 执法配合 | 协调执法部门调查 |

#### 与公关/市场部门

| 场景 | 协作内容 |
|------|----------|
| 公众事件 | 制定对外沟通策略 |
| 媒体询问 | 统一回应口径 |
| 客户通知 | 编写客户通知内容 |
| 声誉管理 | 监控舆情和回应 |

### 沟通机制

#### 应急沟通渠道

| 渠道 | 用途 | 特点 |
|------|------|------|
| **应急电话** | 紧急通知 | 最高优先级，确保接通 |
| **即时通讯群** | 日常协调 | 快速、可记录 |
| **邮件** | 正式通知 | 可存档、适合长内容 |
| **工单系统** | 任务跟踪 | 可追踪、可审计 |
| **战情室** | 重大事件 | 集中办公、实时协作 |

#### 沟通模板

**事件启动通知**：
```
【安全事件通知】

事件编号：IR-2024-XXX
事件级别：P2
发现时间：2024-01-15 14:30
影响范围：XX 系统，约 XX 用户

当前状态：已确认，正在遏制

响应团队：
- 负责人：XXX
- 成员：XXX, XXX

下次更新：16:30

请相关人员做好准备。
```

**进展更新通知**：
```
【事件进展更新】IR-2024-XXX

更新时间：16:30

当前状态：遏制完成，正在根除

已完成：
- 受影响系统已隔离
- 恶意账户已禁用
- 外连已阻断

进行中：
- 恶意代码分析
- 系统加固

下一步：
- 预计 18:00 开始恢复
- 预计 20:00 完成恢复

暂无业务影响。
```

### 会议机制

| 会议类型 | 频率 | 参与人 | 目的 |
|----------|------|--------|------|
| **每日站会** | 每日 | 全体团队 | 同步进展、分配任务 |
| **事件复盘** | 事件后 | 相关方 | 总结经验、改进流程 |
| **管理汇报** | 每周/月 | 负责人、管理层 | 汇报状态、获取支持 |
| **培训分享** | 每月 | 全体团队 | 技能提升、知识共享 |
| **演练总结** | 演练后 | 参与方 | 检验流程、发现不足 |

---

## 外包与外部支持

### 外包场景

| 场景 | 建议 |
|------|------|
| 资源不足 | 考虑部分外包（如 7×24 监控） |
| 技能缺口 | 外包专业领域（如取证、逆向） |
| 成本考虑 | 混合模式（核心自建 + 外围外包） |
| 临时需求 | 事件驱动的外包支持 |

### 外包服务类型

| 服务类型 | 内容 | 适用场景 |
|----------|------|----------|
| **托管检测与响应 (MDR)** | 7×24 监控和初步响应 | 缺乏 24 小时覆盖能力 |
| **事件响应保留服务** | 按需应急响应 | 无法维持专职团队 |
| **取证服务** | 专业取证和分析 | 复杂事件、法律程序 |
| **威胁情报服务** | 情报订阅和分析 | 缺乏情报能力 |
| **渗透测试** | 定期安全评估 | 发现潜在漏洞 |

### 供应商选择标准

| 标准 | 评估内容 |
|------|----------|
| **资质认证** | ISO 27001、SOC 2、行业认证 |
| **团队能力** | 人员资质、经验、规模 |
| **响应能力** | SLA 承诺、实际表现 |
| **技术能力** | 工具、平台、自动化 |
| **合规性** | 数据保护、隐私合规 |
| **参考案例** | 同行业客户、成功案例 |
| **成本** | 定价模式、总体成本 |

### 外部支持资源

#### 政府/行业资源

| 资源 | 说明 |
|------|------|
| **国家 CERT** | 国家级应急响应协调 |
| **行业 CERT** | 行业特定支持和信息共享 |
| **执法部门** | 网络犯罪调查、执法支持 |
| **监管机构** | 合规指导、事件报告 |

#### 商业资源

| 资源 | 说明 |
|------|------|
| **安全厂商** | 产品支持、威胁情报 |
| **咨询公司** | 专业服务和培训 |
| **律师事务所** | 法律支持和合规咨询 |
| **公关公司** | 危机沟通和声誉管理 |

#### 社区资源

| 资源 | 说明 |
|------|------|
| **FIRST** | 全球事件响应团队联盟 |
| **OWASP** | 应用安全资源和社区 |
| **SANS** | 培训和研究资源 |
| **本地安全社区** | 同行交流和信息共享 |

### 外部协作注意事项

1. **保密协议** - 与所有外部方签署 NDA
2. **数据保护** - 明确数据处理和保护要求
3. **权限界定** - 明确外部人员的访问权限
4. **沟通渠道** - 建立安全的沟通渠道
5. **责任划分** - 明确各方责任和义务

---

## 总结与思考

### 核心要点回顾

1. **CSIRT 是应急响应的组织保障** - 没有团队，流程无法执行

2. **团队结构因组织而异** - 根据规模、行业、资源灵活设计

3. **角色职责必须明确** - RACI 矩阵避免职责不清

4. **能力要求多元化** - 技术能力 + 软技能 + 持续学习

5. **协作机制是关键** - 内部协作 + 外部支持

6. **值班覆盖必须保障** - 7×24 或 on-call 机制

### 深入思考

**问题 1：小团队如何建立有效响应能力？**

小团队的策略：
- 核心能力自建（检测和初步响应）
- 专业领域外包（取证、逆向）
- 充分利用外部资源（供应商、行业 CERT）
- 自动化弥补人力不足

**问题 2：如何保持团队能力？**

能力保持需要：
- 持续培训（内部 + 外部）
- 定期演练（桌面 + 实战）
- 知识管理（文档 + 分享）
- 职业发展（晋升 + 认证支持）

**问题 3：如何衡量团队绩效？**

绩效指标：
- MTTD/MTTR/MTTC
- 事件处理数量和质量
- 演练表现
- 客户/业务部门满意度
- 流程改进数量

### 实战建议

1. **从小做起** - 先建立核心能力，逐步扩展

2. **明确职责** - 编写详细的角色描述和 RACI 矩阵

3. **建立联系** - 提前建立内外部联系人清单

4. **定期演练** - 通过演练检验团队协作能力

5. **持续改进** - 每次事件后复盘团队表现

---

## 参考资料

### 标准文档

- **RFC 2350** - Expectations for Computer Security Incident Response
- **NIST SP 800-61** - Computer Security Incident Handling Guide
- **FIRST CSIRT Framework** - https://www.first.org/standards/frameworks/csirt/

### 学习资源

- **SANS CSIRT Management** - 团队管理培训
- **CERT Division** - https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=505364
- **ENISA CSIRT Guide** - 欧洲网络与信息安全局指南

### 工具资源

- **RTIR** - Request Tracker for Incident Response
- **TheHive** - 开源安全事件响应平台
- **Cortex** - 自动化分析和响应

---

*365 天信息安全技术系列 | Day 263 | CSIRT 团队组建与职责分工*