目录
应急响应的方法和能力
网络安全事件时有发生,其中重大、特别重大的网络安全事件也随时有可能发生。因此,我们必须做好应急准备工作,建立快速、有效的现代化应急协同机制,确保一旦发生网络安全事件,能够快速根据相关信息,进行组织研判,迅速指挥调度相关部门执行应急方案,做好应对,避免造成重大影响和重大损失。机构、企业网络安全应急响应应具备以下能力。
1)数据采集、存储和检索能力
(1)能对全流量数据协议进行还原;
(2)能对还原的数据进行存储;
(3)能对存储的数据快速检索。
2)事件发现能力
(1)能发现高级可持续威胁(Advanced Persistent Threat,APT)攻击;
(2)能发现Web攻击;
(3)能发现数据泄露;
(4)能发现失陷主机;
(5)能发现弱密码及企业通用密码;
(6)能发现主机异常行为。
3)事件分析能力
(1)能进行多维度关联分析;
(2)能还原完整杀伤链;
(3)能结合具体业务进行深度分析。
4)事件研判能力
(1)能确定攻击者的动机及目的;
(2)能确定事件的影响面及影响范围;
(3)能确定攻击者的手法。
5)事件处置能力
(1)能在第一时间恢复业务正常运行;
(2)能对发现的病毒、木马进行处置;
(3)能对攻击者所利用的漏洞进行修复;
(4)能对问题机器进行安全加固。
6)攻击溯源能力
(1)具备安全大数据能力;
(2)能根据已有线索(IP地址、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。