@哈哈鱼
1年前 提问
1个回答

应急响应概念是什么

一颗小胡椒
1年前

网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对。在发生确切的网络安全事件时,应急响应实施人员应及时采取行动,限制事件扩散和影响的范围,防范潜在的损失与破坏。实施人员应协助检查所有受影响的系统,提出基于安全事件的整体解决方案,并协助追查事件来源。

应急响应中应该关注以下指标:

  • MTTD平均检测时间:MTTD是指从系统故障到检测或告警所需的平均时间,例如某系统在12:00发生故障,但直到12:10才有人注意到或被提醒,那么此时MTTD是10分钟。

  • MTTA平均确认时间:MTTA是指从系统产生告警到人员开始注意并处理的平均时间,例如安全组件在12:10检测并发送告警后,应急响应人员在12:15开始处理该事件。那么此时MTTA是5分钟。

  • MTTI平均调查时间:MTTI是指从确认一个安全事件到开始调查其原因和解决方案的平均时间,例如某安全运营人员在12:15开始处理告警并在12:30完成初步分析及拟定止损方案。那么此时MTTI是15分钟。

  • MTTC平均遏制时间:MTTC是指安全团队找到威胁者并阻止他们进一步进入你的系统和网络所需的时间,例如自安全事件在12:10被检测到后,应急响应人员在12:45成功遏制了攻击者的利用方式并阻断了通讯隧道,有效地防止攻击者进行下一步入侵。

  • MTTR平均响应时间:是指从第一次收到警报时起,直到产品或系统从故障中恢复所需的平均时间,例如一周内有10次停电,修复系统花费了4个小时。四个小时是240分钟。240除以10是24。这意味着在这种情况下,修复的平均时间是24分钟。