码迷,mamicode.com
首页 > 其他好文 > 详细

应急响应概述

时间:2021-04-15 12:42:39      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:数据采集   报告   能力   advance   利用   修复   大数据   alt   技术培训   

1.1

应急响应(incident response) 或 (Emergency response)

1.2

应急响应工作分为:

1.未雨绸缪->开展风险评估,安全通告预警;
2.盲羊补牢->发现事件,进行系统备份,病毒检测,后门清理,清楚病毒或后门,隔离,系统恢复,调查追踪,入侵取证;

1.3

企业网络安全应急响应所具备的能力:

1. 数据采集,存储和检索能力
(1)能对全流量协议进行还原;
(2)能对还原的数据进行存储;
(3)能对存储的数据进行快速检索;
2. 时间发现能力
(1)发现高级可持续性攻击(Advanced Persitent Threat,APT)攻击;
(2)能发现web攻击;
(3)能发现失陷主机
(4)能发现数据泄露;
(5)能发现弱密码;
(6)能发现主机异常行为;
3. 事件分析能力
(1)能进行多维度关联分析;
(2)能还原完整杀伤链;
(3)能结合具体业务进行深度分析;
4. 事件研判能力
(1)确认攻击动机及目的;
(2)确定事件影响及范围;;
(3)确定攻击者手法;
5. 事件处置能力
(1)能在第一时间恢复业务正常运行;
(2)能对发现的病毒,木马进行处置;
(3)能对攻击者所利用的漏洞进行修复;
(4)能对受害机器进行安全加固;
6. 攻击溯源能力
(1)具备安全大数据能力;
(2)对攻击路径还原,追踪背后组织;

对应急事件的总结:

1. 形成时间处理的最终报告
2. 检测应急响应过程中存在的问题,重新评估和修改事件响应过程
3. 评估人员在处理上的缺陷,事后进行技术培训

1.4

技术图片

应急响应概述

标签:数据采集   报告   能力   advance   利用   修复   大数据   alt   技术培训   

原文地址:https://www.cnblogs.com/SnowSec/p/14660649.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!