应急响应
概念:
“应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件发生前所做的准备, 以及在意外事件发生后所采取的措施。
计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。
作用和意义:
第一、未雨绸缪,即在事件发生前事先做好准备,比如安全合规、风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
应急响应原理—事件级别
应急响应原理—响应流程(PDCERF)
1.准备阶段
应急团队建设
应急方案制定
渗透测试评估
安全基线检查
2.检测阶段
判断事件类型
判断事件级别
确定应急方案
3.抑制阶段
阻断:IP地址、网络连接、危险主机…
关闭:可疑进程、可疑服务…
删除:违规账号、危险文件…
4.根除阶段
增强:安全策略、全网监控…
修复:应急漏洞、系统漏洞、补丁更新…
还原:操作系统、业务系统…
5.恢复阶段
恢复业务系统
恢复用户数据
恢复网络通信
6.总结阶段
事件会议总结
响应报告输出
相应工作优化