1.1
应急响应(incident response) 或 (Emergency response)
1.2
应急响应工作分为:
1.未雨绸缪->开展风险评估,安全通告预警;
2.盲羊补牢->发现事件,进行系统备份,病毒检测,后门清理,清楚病毒或后门,隔离,系统恢复,调查追踪,入侵取证;
1.3
企业网络安全应急响应所具备的能力:
1. 数据采集,存储和检索能力
(1)能对全流量协议进行还原;
(2)能对还原的数据进行存储;
(3)能对存储的数据进行快速检索;
2. 时间发现能力
(1)发现高级可持续性攻击(Advanced Persitent Threat,APT)攻击;
(2)能发现web攻击;
(3)能发现失陷主机
(4)能发现数据泄露;
(5)能发现弱密码;
(6)能发现主机异常行为;
3. 事件分析能力
(1)能进行多维度关联分析;
(2)能还原完整杀伤链;
(3)能结合具体业务进行深度分析;
4. 事件研判能力
(1)确认攻击动机及目的;
(2)确定事件影响及范围;;
(3)确定攻击者手法;
5. 事件处置能力
(1)能在第一时间恢复业务正常运行;
(2)能对发现的病毒,木马进行处置;
(3)能对攻击者所利用的漏洞进行修复;
(4)能对受害机器进行安全加固;
6. 攻击溯源能力
(1)具备安全大数据能力;
(2)对攻击路径还原,追踪背后组织;
对应急事件的总结:
1. 形成时间处理的最终报告
2. 检测应急响应过程中存在的问题,重新评估和修改事件响应过程
3. 评估人员在处理上的缺陷,事后进行技术培训
1.4
