就“最佳实践”而言，这个问题可能会被高度评价。

但是，对于客户通知或取证调查，可能存在某些行业/合同或法律要求。为了获得最佳响应，您需要针对特定​​事件寻求法律顾问的指导。一般而言，您应该做正确的事并符合您的客户/用户的最大利益，但如果您正在经营一家企业，您可能必须在这与您持续经营的愿望之间取得平衡。

NIST SP 800-61：“计算机安全事件处理指南”是一个很好的起点。您可能还想查看SP 800-86：“将取证技术集成到事件响应中的指南”。

还有一些 CERT/SANS/etc 资源：

• 证书出版物（例如，计算机安全事件响应小组手册）
• 商务人士简单指导
• SANS 阅览室：事件处理者手册

法律和行业要求的一些参考资料（美国特定示例）：

• GLBA（金融工业）：FDIC FIL-27-2005 指南，FTC 指南
• HIPAA（医疗保健）：HHS 违反通知规则指南
• PCI（信用卡）：VISA 指南（附加），关于 PCI 违规响应的 SANS 论文（意见/研究）
• 加州违规通知法：法律要求（转至 1798.82. (a)）

国会研究服务处的这份报告还提供了一些美国联邦法律的摘要。本伯克利法律文件也可能对美国联邦法律感兴趣。

我会尽量回答你的问题。

通知客户感染和清理

我不会通知客户，除非您有 SLA 这样做或受合规约束。通常这只会引起商业人士的恐慌。如果丢失了 PII，但它可能符合您的最佳利益。

将外壳/受感染的文件提交给任何安全公司，向任何安全公司报告使用的漏洞的详细信息

您可以将文件提交给 Virus Total (virustotal.com)。这通常分发给 AV 供应商，您可以查看是否已由其他人提交。通常，供应商需要的一切都将在您提交给他们的可执行文件中。

攻击IP地址的调查/报告

您可以向供应商提交 IP 地址的详细信息。根据我的经验，我对 McAfee 很熟悉，他们的信誉引擎是 Trusted Source (trustedsource.org)，您可以向他们提交反馈。

细致的记录保存符合您的最大利益。使用文档来帮助证明和制定有关安全和事件响应的其他策略。当然，这不会是您最后一次被破坏（不是针对您的任何事情，但事实就是如此），但是您可以建立的特定流程将帮助人们保持第一响应者的头脑清晰，并为他们指明方向. 查找事件响应报告的模板以开始此操作。

在我工作过的所有地方（公共部门和 F100 私营部门），事后行动中最有价值的部分是汇报。事后诸葛亮是 20/20，重要的是您和您的团队了解发现的所有细节和症状。您必须使用这些要点来更好地了解您的安全状况和流程以处理此类事件或对服务的影响。这也是审查架构的最佳时机，因为当发生违规行为时，业务决策者将更加宽松。在没有安全事件的情况下，安全性通常被忽视或仅被视为业务费用，而对企业的利润率没有好处。

基本上，您是在询问事件处理最佳实践，但基本上是在您已经处理了事件之后才适用。据我所知，根据您提出的具体问题，对于您的组织在“经验教训”阶段后需要做什么，没有千篇一律的方法。这实际上是您在法律上负责的事情，或者只是愿意/想要做的事情。如果涉及有价值的知识产权，那么这可能会引发大量蠕虫。同样，有些“事情”需要您联系执法部门，无论您喜欢与否。等等。我想每个人都明白这一点。描述事件类型（IP 攻击和盗窃、DoS、恶意软件、骚扰或网络钓鱼等电子邮件内容、间谍活动、未经授权使用等违反政策，非法活动，从偶然的非破坏性到故意破坏性的内部威胁等），确定损害程度，然后联系适当的各方，这些都是在收容阶段应该做的事情。这是帮助您进行分类的资源；CSIRT 案例分类文件

现在，您似乎已经经历了识别、收容、根除和恢复，我假设您已经观察和/或正在仔细观察攻击者的回归？因此，让我们回顾一下标准“按部就班”事件处理的第 6 阶段通常认为的最佳实践。许多组织/人员“没有时间”或懒得真正经历这个阶段，但让我们面对现实吧，攻击者一直在改进，所以你也需要改进。是时候继续前进并犯新的错误了，但这个过程的重点是避免重复同样的旧错误。您现在应该做的是记录发生的事情以及如何改进操作能力，以防止它和类似事件再次发生。一种方法是创建后续报告。理想情况下，您希望在恢复后立即开始处理此报告。SANS 研究所提供了一些您可以在此过程中使用的有用的事件表格。鼓励所有受影响的各方审查您的草稿通常是一种很好的做法。审查报告后，如果可以的话，安排一次“经验教训”会议。理想情况下，这次会议应该在恢复生产后的一两周内举行，而事件在每个人的记忆中仍然是“新鲜的”。一般来说，会议的主要目的是就您的事件报告的执行摘要达成共识。IMO 执行摘要的关键是说明制定有效的事件处理程序的重要性。

此外，调查事件处理的“七大罪”。你可能会发现它很有用。