网络攻击事件响应周期有哪些阶段
网络攻击事件响应周期有以下这些阶段:
预备阶段:预备工作是防御者通过部署新的检测系统、创建和更新签名以及了解系统基线和网络活动来获取先机。这是网络安全架构和安全运营的组合。其中许多步骤超出了安全团队的范围,这里还会涉及网络运维、网络架构设计、系统管理,甚至一线IT支撑服务。
识别阶段:识别阶段是防御者识别攻击者如何影响其环境的阶段。识别阶段始于你意识到网络资源受到了攻击。在事件响应周期的模型中,识别阶段是整个入侵检测阶段,这是个涉及许多细节的复杂话题。在这里显然是合理简化了,因为这个周期的重点是事件响应的端到端流程。这个阶段通常会引发一个事件调查,在开始直接响应之前识别更多关于攻击和攻击者的信息。威胁情报的关键目标之一就是增强识别阶段,提高早期识别攻击者的方法的准确性和数量。
遏制阶段:遏制是一开始尝试减缓攻击者的行为,短平快地控制风险,同时准备更长期的响应。这些短期的响应可能不会使攻击停止,但它们大大降低了攻击者继续实现目标的能力。这些行动应该以迅速而受控的方式进行,以限制对手的反击机会。
消除阶段:消除是中长期的修复努力,意在保持良好状态使攻击者出局(不像遏制阶段的临时措施)。这些行动应该经过深思熟虑,可能需要花费大量的时间和资源进行部署。它们专注于抵御对手未来的大部分攻击计划。
恢复阶段:恢复是回到无事件状态的过程。在某些方面,攻击本身需要的恢复较少,更多的是源自事件响应者采取的行动。例如,如果从用户那里获取受感染系统进行取证分析,则恢复阶段涉及返还或更换用户的系统,以便用户可以继续他的工作。如果整个网络受到入侵,恢复阶段就是铲除攻击者在整个网络上采取的任何行动,这可能是一个漫长的过程。
反思阶段:与许多其他安全和情报周期类似,反思是事件响应周期的最后一个阶段,这里包括抽出时间来评估过去的决策并学习在未来如何改进。管这个阶段很重要,但是反思工作不一定会非常艰巨。其实应该是相反的,一个好的事后行动不需要花费太多时间,也不需要卷入参与事件响应的每个人。