机构、企业网络安全应急响应应具备哪些能力

机构、企业网络安全应急响应应具备以下能力：

数据采集、存储和检索能力

• 能对全流量数据协议进行还原；

• 能对还原的数据进行存储；

• 能对存储的数据快速检索；

事件发现能力

• 能发现高级可持续威胁（Advanced Persistent Threat，APT）攻击；

• 能发现Web攻击；

• 能发现数据泄露；

• 能发现失陷主机；

• 能发现弱密码及企业通用密码；

• 能发现主机异常行为；

事件分析能力

• 能进行多维度关联分析；

• 能还原完整杀伤链；

• 能结合具体业务进行深度分析；

事件研判能力

• 能确定攻击者的动机及目的；

• 能确定事件的影响面及影响范围；

• 能确定攻击者的手法；

事件处置能力

• 能在第一时间恢复业务正常运行；

• 能对发现的病毒、木马进行处置；

• 能对攻击者所利用的漏洞进行修复；

• 能对问题机器进行安全加固；

攻击溯源能力

• 具备安全大数据能力；

• 能根据已有线索（IP地址、样本等）对攻击者的攻击路径、攻击手法及背后组织进行还原；