应急响应体系:
是指突发重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。
应急响应的描述:
客户主机或网络正遭到攻击或发现入侵成功的痕迹,而又无法解决和追查来源,安全服务商根据客户的要求以最快的速度赶到现场,协助客户解决问题,查找后门,保存证据和追查来源。
应急响应的目的:
以最快速度恢复系统的保密性、完整性、可用性、阻止和减小安全事件带来的影响
IRT应急响应组:
一个或更多的个人组成的团队快速执行和处理与安全有关的事件的任务
什么是安全事件:
安全事件则是指影响一个系统正常工作的情况,破坏被入侵丢失攻击等。
为什么成立应急响应组
容易协调响应工作
提高专业知识
提高效率
提高先期主动防御能力
更加适合于满足机构的需要
提高联络功能
提高处理制度障碍方面的能力
应急响应六阶段
1.准备preparation:在事件真正发生前为事件响应做好相应的准备 如漏洞扫描 打补丁 资源准备(冗余的设备)
2.检测detection:试用恰当的办法来确认系统或网络中是否出现了恶意代码,网络攻击,目录文件存在被篡改等异常现象。
3.遏制containment:证据保留的需要 解决方案的期限 服务可用性
4.根除eradication:找到根源 ,彻底清除
5.恢复recovery
6.跟踪follow-up(写报告)