应急响应概述

1.1

应急响应（incident response） 或 （Emergency response）

1.2

应急响应工作分为：

1.未雨绸缪->开展风险评估，安全通告预警；
2.盲羊补牢->发现事件，进行系统备份，病毒检测，后门清理，清楚病毒或后门，隔离，系统恢复，调查追踪，入侵取证；

1.3

企业网络安全应急响应所具备的能力：

1. 数据采集，存储和检索能力
（1）能对全流量协议进行还原；
（2）能对还原的数据进行存储；
（3）能对存储的数据进行快速检索；
2. 时间发现能力
（1）发现高级可持续性攻击（Advanced Persitent Threat,APT）攻击；
（2）能发现web攻击；
（3）能发现失陷主机
（4）能发现数据泄露；
（5）能发现弱密码；
（6）能发现主机异常行为；
3. 事件分析能力
（1）能进行多维度关联分析；
（2）能还原完整杀伤链；
（3）能结合具体业务进行深度分析；
4. 事件研判能力
（1）确认攻击动机及目的；
（2）确定事件影响及范围；；
（3）确定攻击者手法；
5. 事件处置能力
（1）能在第一时间恢复业务正常运行；
（2）能对发现的病毒，木马进行处置；
（3）能对攻击者所利用的漏洞进行修复；
（4）能对受害机器进行安全加固；
6. 攻击溯源能力
（1）具备安全大数据能力；
（2）对攻击路径还原，追踪背后组织；

对应急事件的总结：

1. 形成时间处理的最终报告
2. 检测应急响应过程中存在的问题，重新评估和修改事件响应过程
3. 评估人员在处理上的缺陷，事后进行技术培训

1.4