應急響應(incident response) 或 (Emergency response)web
1.未雨綢繆->開展風險評估,安全通告預警; 2.盲羊補牢->發現事件,進行系統備份,病毒檢測,後門清理,清楚病毒或後門,隔離,系統恢復,調查追蹤,入侵取證;
1. 數據採集,存儲和檢索能力 (1)能對全流量協議進行還原; (2)能對還原的數據進行存儲; (3)能對存儲的數據進行快速檢索; 2. 時間發現能力 (1)發現高級可持續性攻擊(Advanced Persitent Threat,APT)攻擊; (2)能發現web攻擊; (3)能發現失陷主機 (4)能發現數據泄露; (5)能發現弱密碼; (6)能發現主機異常行爲; 3. 事件分析能力 (1)能進行多維度關聯分析; (2)能還原完整殺傷鏈; (3)能結合具體業務進行深度分析; 4. 事件研判能力 (1)確認攻擊動機及目的; (2)肯定事件影響及範圍;; (3)肯定攻擊者手法; 5. 事件處置能力 (1)能在第一時間恢復業務正常運行; (2)能對發現的病毒,木馬進行處置; (3)能對攻擊者所利用的漏洞進行修復; (4)能對受害機器進行安全加固; 6. 攻擊溯源能力 (1)具有安全大數據能力; (2)對攻擊路徑還原,追蹤背後組織;
1. 造成時間處理的最終報告 2. 檢測應急響應過程當中存在的問題,從新評估和修改事件響應過程 3. 評估人員在處理上的缺陷,過後進行技術培訓