應急響應概述

1.1

應急響應（incident response） 或 （Emergency response）

1.2

應急響應工做分爲：

1.未雨綢繆->開展風險評估，安全通告預警；
2.盲羊補牢->發現事件，進行系統備份，病毒檢測，後門清理，清楚病毒或後門，隔離，系統恢復，調查追蹤，入侵取證；

1.3

企業網絡安全應急響應所具有的能力：

1. 數據採集，存儲和檢索能力
（1）能對全流量協議進行還原；
（2）能對還原的數據進行存儲；
（3）能對存儲的數據進行快速檢索；
2. 時間發現能力
（1）發現高級可持續性攻擊（Advanced Persitent Threat,APT）攻擊；
（2）能發現web攻擊；
（3）能發現失陷主機
（4）能發現數據泄露；
（5）能發現弱密碼；
（6）能發現主機異常行爲；
3. 事件分析能力
（1）能進行多維度關聯分析；
（2）能還原完整殺傷鏈；
（3）能結合具體業務進行深度分析；
4. 事件研判能力
（1）確認攻擊動機及目的；
（2）肯定事件影響及範圍；；
（3）肯定攻擊者手法；
5. 事件處置能力
（1）能在第一時間恢復業務正常運行；
（2）能對發現的病毒，木馬進行處置；
（3）能對攻擊者所利用的漏洞進行修復；
（4）能對受害機器進行安全加固；
6. 攻擊溯源能力
（1）具有安全大數據能力；
（2）對攻擊路徑還原，追蹤背後組織；

對應急事件的總結：

1. 造成時間處理的最終報告
2. 檢測應急響應過程當中存在的問題，從新評估和修改事件響應過程
3. 評估人員在處理上的缺陷，過後進行技術培訓

1.4