@秒灵儿
1年前 提问
1个回答
工业互联网安全应急响应的发展趋势是什么
007bug
1年前
关口前移,应急小时化,防患于未然应急响应要前移,即在事前做好充分准备,抓住危机发生的关键因素和触发点,进行预防和预警,才能有效地消除矛盾、控制危机。应急管理的重点是危机发生之后的处置,进行24小时监测预警。发生安全事件后,达到重大事件“分钟级”的应急处置,“小时级”的恢复处理。只有依靠第三方和外界力量,才能更好地防御安全威胁。应急响应工作的前移,或成为应对未来大规模网络安全突发事件的最佳解决方案。
网络安全应急响应应具备以下能力:
数据采集、存储和检索能力:能对全流量数据协议进行还原;能对还原的数据进行存储;能对存储的数据快速检索。
事件发现能力:能发现APT攻击;能发现Web攻击;能发现数据泄露;能发现失陷主机;能发现弱口令及企业通用口令;能发现主机异常行为。
事件分析能力:能进行多维度关联分析;能还原完整杀伤链;能结合具体业务进行深度分析。
事件研判能力:能确定攻击者的动机及目的;能确定事件的影响面及影响范围;能确定攻击者的手法。
事件处置能力:能第一时间恢复业务正常运行;能对发现的病毒、木马进行处置;能对攻击者所利用的漏洞进行修复;能对问题机器进行安全加固。
攻击溯源能力:具备安全大数据相关能力;能根据已有线索(IP、样本等)对攻击者的攻击路径、攻击手法及背后组织进行还原。