1.1
應急響應(incident response) 或 (Emergency response)
1.2
應急響應工作分為:
1.未雨綢繆->開展風險評估,安全通告預警;
2.盲羊補牢->發現事件,進行系統備份,病毒檢測,后門清理,清楚病毒或后門,隔離,系統恢復,調查追蹤,入侵取證;
1.3
企業網絡安全應急響應所具備的能力:
1. 數據采集,存儲和檢索能力
(1)能對全流量協議進行還原;
(2)能對還原的數據進行存儲;
(3)能對存儲的數據進行快速檢索;
2. 時間發現能力
(1)發現高級可持續性攻擊(Advanced Persitent Threat,APT)攻擊;
(2)能發現web攻擊;
(3)能發現失陷主機
(4)能發現數據泄露;
(5)能發現弱密碼;
(6)能發現主機異常行為;
3. 事件分析能力
(1)能進行多維度關聯分析;
(2)能還原完整殺傷鏈;
(3)能結合具體業務進行深度分析;
4. 事件研判能力
(1)確認攻擊動機及目的;
(2)確定事件影響及范圍;;
(3)確定攻擊者手法;
5. 事件處置能力
(1)能在第一時間恢復業務正常運行;
(2)能對發現的病毒,木馬進行處置;
(3)能對攻擊者所利用的漏洞進行修復;
(4)能對受害機器進行安全加固;
6. 攻擊溯源能力
(1)具備安全大數據能力;
(2)對攻擊路徑還原,追蹤背后組織;
對應急事件的總結:
1. 形成時間處理的最終報告
2. 檢測應急響應過程中存在的問題,重新評估和修改事件響應過程
3. 評估人員在處理上的缺陷,事后進行技術培訓
1.4
