@Niki
1年前 提问
1个回答

事件响应过程被分为几个阶段

安全侠
1年前
官方采纳

事件响应过程被分为以下六个阶段:

  • 准备:这是IRP的最重要阶段,它涉及定义上述所有元素CSIRT,资产以及被认为是事件的范围。它还包括对资源进行培训,甚至执行试验、桌面练习和模拟攻击,以查看一切是否都按照预期工作。准备阶段成功的关键是在宣布事件时避免组织中的任何混乱。

  • 身份证明:此阶段涉及两个关键活动。一种是导致事件宣布的初步调查。这个阶段只涉及团队的一部分:决策者和提供情报的技术资源。请注意,潜在事件的报告也可能来自外部来源,例如,来自您的客户、合作伙伴,甚至是执法部门,因此通信人员也可能参与其中。在此阶段声明事件,如果是这样,则需要进行详细的调查,以了解哪些资产可能受到事件的影响,并且必须在接下来的阶段中涉及到这些资产。例如,如果攻击者破坏了您的web应用程序,您必须确定这是否会影响已连接的服务器,甚至整个网络。注意,在完成识别之后,您的沟通和法律/法规遵循资源应该已经开始执行它们的任务了。

  • 遏制:一旦技术资源清楚地确定了事件的性质和范围,您就必须确定必须遏制哪些资产。遏制是绝对必要的,即使您试图尽快消除威胁,也不能跳过此阶段。如果没有遏制,攻击者可能仍在与您的团队并行工作,并继续传播到其他当前不受影响的系统。遏制是指将受影响的资产与未受影响的资产隔离。但是,通常不会使它们脱机(即使是暂时的),因为这可能会使根除更加困难。遏制阶段以决定安全地隔离受影响的资产并切断攻击者的身份结束。

  • 消除:在包含了受影响的资产之后,您的技术资源将开始消除事件的后果。这意味着,例如,删除恶意软件,修复漏洞,从安全备份中还原系统等。消除阶段的最后一个决定是,消除事件的所有技术后果并保护系统。

  • 恢复:现在必须将受保护的系统重新联机,重新连接到其他资产,并且所有技术和业务流程都应恢复正常。恢复阶段以整个技术基础结构以及事件发生之前的正常运行为结束。请注意,恢复阶段还涉及通过您的通讯和法律/合规资源完成工作。此阶段的最终结果是让您的决策者将事件宣布为已结束,并使团队成员恢复到常规活动。

  • 经验教训:事件关闭后不必立即执行此活动。事件发生后的某个时间,重组事件响应团队(尤其是所有决策者)的关键资源,并分析事件的处理情况是很有用的。结果,该过程可能返回到准备阶段,以在团队中投入更多资源,轮班职责,或者如果不是所有团队成员都表现得很好,则提供额外的培训。