應急響應概述

1.1

應急響應(incident response) 或 (Emergency response)web

1.2

應急響應工做分爲:

1.未雨綢繆->開展風險評估,安全通告預警;
2.盲羊補牢->發現事件,進行系統備份,病毒檢測,後門清理,清楚病毒或後門,隔離,系統恢復,調查追蹤,入侵取證;

1.3

企業網絡安全應急響應所具有的能力:

1. 數據採集,存儲和檢索能力
(1)能對全流量協議進行還原;
(2)能對還原的數據進行存儲;
(3)能對存儲的數據進行快速檢索;
2. 時間發現能力
(1)發現高級可持續性攻擊(Advanced Persitent Threat,APT)攻擊;
(2)能發現web攻擊;
(3)能發現失陷主機
(4)能發現數據泄露;
(5)能發現弱密碼;
(6)能發現主機異常行爲;
3. 事件分析能力
(1)能進行多維度關聯分析;
(2)能還原完整殺傷鏈;
(3)能結合具體業務進行深度分析;
4. 事件研判能力
(1)確認攻擊動機及目的;
(2)肯定事件影響及範圍;;
(3)肯定攻擊者手法;
5. 事件處置能力
(1)能在第一時間恢復業務正常運行;
(2)能對發現的病毒,木馬進行處置;
(3)能對攻擊者所利用的漏洞進行修復;
(4)能對受害機器進行安全加固;
6. 攻擊溯源能力
(1)具有安全大數據能力;
(2)對攻擊路徑還原,追蹤背後組織;

對應急事件的總結:

1. 造成時間處理的最終報告
2. 檢測應急響應過程當中存在的問題,從新評估和修改事件響應過程
3. 評估人員在處理上的缺陷,過後進行技術培訓

1.4

相關文章
相關標籤/搜索