应急响应的方法和能力

2021年5月6日 8点热度 0条评论 来源: 战神/calmness

目录

应急响应的方法和能力

1)数据采集、存储和检索能力

2)事件发现能力

3)事件分析能力

4)事件研判能力

5)事件处置能力

6)攻击溯源能力

应急响应的方法和能力

网络安全事件时有发生,其中重大、特别重大的网络安全事件也随时有可能发生。因此,我们必须做好应急准备工作,建立快速、有效的现代化应急协同机制,确保一旦发生网络安全事件,能够快速根据相关信息,进行组织研判,迅速指挥调度相关部门执行应急方案,做好应对,避免造成重大影响和重大损失。机构、企业网络安全应急响应应具备以下能力。

1)数据采集、存储和检索能力

(1)能对全流量数据协议进行还原;

(2)能对还原的数据进行存储;

(3)能对存储的数据快速检索。

2)事件发现能力

(1)能发现高级可持续威胁(Advanced Persistent Threat,APT)攻击;

(2)能发现Web攻击;

(3)能发现数据泄露;

(4)能发现失陷主机;

(5)能发现弱密码及企业通用密码;

(6)能发现主机异常行为。

3)事件分析能力

(1)能进行多维度关联分析;

(2)能还原完整杀伤链;

(3)能结合具体业务进行深度分析。

4)事件研判能力

(1)能确定攻击者的动机及目的;

(2)能确定事件的影响面及影响范围;

(3)能确定攻击者的手法。

5)事件处置能力

(1)能在第一时间恢复业务正常运行;

(2)能对发现的病毒、木马进行处置;

(3)能对攻击者所利用的漏洞进行修复;

(4)能对问题机器进行安全加固。

6)攻击溯源能力

(1)具备安全大数据能力;

(2)能根据已有线索(IP地址、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。

    原文作者:战神/calmness
    原文地址: https://blog.csdn.net/weixin_43650289/article/details/113757428
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系管理员进行删除。