应急响应的方法和能力02

已于 2022-02-05 11:56:02 修改
阅读量2k 收藏 4
点赞数
分类专栏: 溯源反制之应急响应 文章标签: 信息安全
于 2021-02-09 13:43:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/113757428
版权

目录

应急响应的方法和能力

1)数据采集、存储和检索能力

2)事件发现能力

3)事件分析能力

4)事件研判能力

5)事件处置能力

6)攻击溯源能力

应急响应的方法和能力

网络安全事件时有发生,其中重大、特别重大的网络安全事件也随时有可能发生。因此,我们必须做好应急准备工作,建立快速、有效的现代化应急协同机制,确保一旦发生网络安全事件,能够快速根据相关信息,进行组织研判,迅速指挥调度相关部门执行应急方案,做好应对,避免造成重大影响和重大损失。机构、企业网络安全应急响应应具备以下能力。

1)数据采集、存储和检索能力

(1)能对全流量数据协议进行还原;

(2)能对还原的数据进行存储;

(3)能对存储的数据快速检索。

2)事件发现能力

(1)能发现高级可持续威胁(Advanced Persistent Threat,APT)攻击;

(2)能发现Web攻击;

(3)能发现数据泄露;

(4)能发现失陷主机;

(5)能发现弱密码及企业通用密码;

(6)能发现主机异常行为。

3)事件分析能力

(1)能进行多维度关联分析;

(2)能还原完整杀伤链;

(3)能结合具体业务进行深度分析。

4)事件研判能力

(1)能确定攻击者的动机及目的;

(2)能确定事件的影响面及影响范围;

(3)能确定攻击者的手法。

5)事件处置能力

(1)能在第一时间恢复业务正常运行;

(2)能对发现的病毒、木马进行处置;

(3)能对攻击者所利用的漏洞进行修复;

(4)能对问题机器进行安全加固。

6)攻击溯源能力

(1)具备安全大数据能力;

(2)能根据已有线索(IP地址、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。

战神/calmness
关注
专栏目录
网络安全事件应急响应实战二
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
应急响应技巧
ranuy阮的博客
04-16 663
了解事件 发生时间-事件类型(挖矿、勒索)-受影响系统的情况(运行什么服务、端口) 询问客户或运维人员发现异常事件的具体时间以及影响范围。及时隔离防止继续感染影响范围扩大 事件主机需要了解的情况 主机是windows/linux OA系统/邮件系统/财务系统/web官网等,业务系统是否可关停 是否有弱口令,远程管理端口是否开放 都开放了哪些端口,有什么应用服务,开发的服务是否存在漏洞分析 是否做了...
【网络安全】处理应急响应的简单方法
你在看屏幕的同时,屏幕也在注视着你
11-15 4481
处理应急响应的简单方法
技战法丨攻防演练防御——纵深、联动、诱捕(可搬运、可cv)
最新发布
m0_62783065的博客
08-04 982
技战法丨攻防演练防御——纵深、联动、诱捕(可搬运、可cv)
应急响应一:基本流程技能
weixin_43145589的博客
12-01 2923
本篇目的是为了复习应急响应基本流程技能,将从Windows和Linux展开,方式可能不全面,只是记录了自己用的。 1.Windows 1.1系统信息查看 msinfo32 可以查看系统软硬件、组件资源信息 systeminfo 比如系统创建时间、补丁情况等等,毕竟方便 1.2账户信息查看 net user 但是这里无法查看到影子账户、隐藏账户等 lusrmgr.msc 这里可以查看隐藏账户 查看注册表SAM-比对值 regdite打开注册表,按照下图路径查看,将administr
企业中的安全应急响应处理办法
anquanniu的博客
09-06 1023
学习安全应急响应都学什么呢? 安全知识基础的掌握、应急工作中需要借助哪些第三方辅助工具?如何通过常见的安全应急事件的案例分析、甲乙方在安全工作的应急流程及服务体系建设的角度分析等提高自己的应急响应理解呢, 以上内容主要是关于安全应急响应五个方面的分享: 1、通过大的安全应急事件了解安全应急响应的重要性,以及安全应急响应在甲方、乙方安全公司重要性,通过了解安全应急响应的流程,提高自己在工作中需...
应急响应-PDCERF 方法03
战神/calmness的博客
02-09 6736
PDCERF方法最早于1987年提出,该方法应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的,明确响应顺序和过程。但是,PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中,不一定严格存在这6个阶段,也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 1)准备阶段 准备阶段以预防为主。主要工作涉及识别机构、企业的风险..
如何提升网络安全应急响应与事件处置能力
不忘初心,护天下安全!
07-19 2161
应急响应,是指一个组织为应对各种意外事件的发生所做的准备,以及在时间发生之后所采取的措施,以减少突发事件造成的损失。在网络安全领域中,常常要面临各种突发的网络攻击,如漏洞利用、病毒攻击、钓鱼攻击等,如何快速恢复系统或服务,彻底清除攻击带来的负面影响,成为应急响应的首要任务。为迅速提升网络安全应急响应与事件处置能力,团队应迅速积累相关工具、知识与流程,包含事前预防、事中处置和事后报告等方方面面。......
如何做好网络安全应急响应工作?常见应急响应流程_网络安全日常应急响应怎么做
xiaoganbuaiuk的博客
04-25 1673
这是我自己对于应急响应归纳出来的方法论,一个笼统的、抽象的概念,包含思路和方法应急响应的最终目标是保护客户的核心资产,所有行为必须围绕:保护、避害、不损害来进行。在现在愈加复杂的攻击下,上述的常见场景一般会出现复合情况,需要应急人员根据经验去进行。应急人员应有自己的方法论,对不同攻击的威胁建模,拥有威胁情报分析能力,结合工具的辅助进行现场响应与远程支撑。工具和排查点大同小异,提升方法在于应急人员的是否熟悉该种攻击,利用特征和行为去排查更节省时间。
02-安全应急响应中心之威胁情报探索1
08-03
安全应急响应中心是网络安全领域的重要组成部分,它们负责处理和应对各种网络安全威胁,包括漏洞报告和威胁情报的收集与分析。威胁情报是关于潜在攻击者的行为、工具、技术和意图的信息,对于预防和减轻网络安全事件...
网络安全应急响应有哪些相关知识?
oldboysecurity的博客
12-18 3801
网络安全学习过程中,应急响应是什么?应急响应体系的要素有哪些?应急响应的对象是什么?应急响应的主要意义是什么?应急响应的工作流程是怎样的?是每个网络安全工程师都需要了解的问题。 什么是应急响应? “应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 网络安全应急响应体系的要素: (一)综合分析与汇聚能力 网络安全领域的应急保障,有其自身较为明显的特点,其对象灵活多变、信息
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 005-网络安全应急技术与实践(黑客入侵技术)
时光隧道
02-06 7万+
WHOIS查询是一种用于确定域名或IP地址的所有者和注册信息的公共数据库查询服务。使用WHOIS查询,您可以查找域名的注册商、注册日期、到期日期、域名所有者的联系信息以及域名服务器等相关信息。WHOIS协议通常使用TCP端口43进行通信。请注意,由于WHOIS是公开数据库,因此某些敏感信息(例如个人联系信息)可能会被隐藏或保护,以保护个人隐私。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 006-网络安全应急技术与实践(自查技术)
热门推荐
时光隧道
02-06 7万+
网络安全应急技术与实践是指在网络安全事件发生时,及时、有效地采取应对措施,限制损失并恢复正常运行的能力。自查技术是指通过对系统进行主动扫描和检测,发现并修复潜在的安全漏洞和风险。以下内容属于固定流程,来源于书本整理。
突发事件快速响应系统介绍
GIS大奔
01-03 2652
应急管理可以分为常态化和非常态化管理,GIS作为应急管理中重要的辅助决策手段之一,已经在实际的应用中得到很好的体现,下面通过“突发事件快速响应系统”介绍GIS在应急管理是如何发挥作用的。 1.突发事件定位:   2.通过专业模型分析事件影响范围: 3.分析受事件影响范围内的相关设施: 4.分析受事件影响人口: 5.生产事件影响结果和处置建议方案: 6.调用交警摄像
如何做好网络安全应急响应工作?常见应急响应流程
Y525698136的博客
05-24 1458
这是我自己对于应急响应归纳出来的方法论,一个笼统的、抽象的概念,包含思路和方法
应急响应04(文件分析-文件时间属性分析)
qq_45300786的博客
02-27 234
刚刚创建好的时候,创建时间、修改时间、访问时间都一样的 修改后,只有修改时间会变,其他时间都不变 如果修改时间早于创建时间就有很大问题
科技云报道:事件响应,安全能力的关键一环
科技云报道
09-02 1047
安全事件响应:保持网络弹性的关键步骤
响应能力总结--Android
max1198的博客
08-31 1450
应用的性能不仅仅在乎于速度,也要让用户真正感觉到快才行。例如,显得更快的方法有,应用可以延迟创建对象,直到需要时才创建,称为推迟初始化的技术。 下面的类是大多数Android 应用的基石: 在这些类中要特别注意的是所有的onSomething()方法,它们由主线程调用,比如onStart()和onFocusChanged()。主线程也称为UI线程,可以说应用就在其中运行。在主线程中运行
程序员必看:如何处理突发的程序故障?
人邮异步社区
01-21 947
在互联网公司中,大家常提到的是用代码“改变世界”的开发人员。其实,产品上线和维护,除了开发,还有一个岗位也肩负着重要责任。 他们随时待命,遇到系统故障要立马解决,还要为项目上线、维护、更新等重大事情提供IT资源,让产品能如期运转。 他们就是运维工程师,就像急诊科医生一样,总是临危受命,抢救项目于水火。 但这种临危不乱,快速解决问题的技能并非人人都会的。在未来,IT岗位越来越需要综合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值