应急响应—应急响应、应急响应事件、网络应急响应
一、应急响应
1、什么是应急响应
应急响应( Incident Response/ Emergency Response )通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障(这里的系统包括主机范畴内的问题,也包括网络范畴内的问题)、组织内部或外部的人、计算机病毒或蠕虫等。
2、应急响应周期
应急响应生命周期:准备、检测、遏制、根除、恢复、追踪
准备阶段:分析资产的风险、组建管理 人员团队、风险加固、保障资源储备、技术支持资源库
检测阶段:日常运维监控、事件判断、事件上报
事件等级判定:一般事件、较大事件、重大事件、特别重大事件
事件类型:恶意程序事件、网络攻击事件、Web攻击事件、业务安全事件
恶意程序事件包括:计算机病毒事件、特洛伊木马事件 、勒索软件、蠕虫事件、僵尸网络程序、挖矿程序等等
网络攻击事件包括:拒绝服务攻击事件、漏洞攻击事件、网络钓鱼事件、后门攻击事件、网络扫描窃听事件、干扰事件
WEB攻击事件包括:WebShell、网页挂马事件、网页篡改事件、网页暗链事件
业务安全事件包括:薅羊毛事件、数据泄漏事件、权限泄漏事件
遏制阶段:
(1)控制事件蔓延
1)采取有效的措施防止事件的进一步扩大。
2)尽可能减少负面影响。