日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

安全團隊必須能夠盡快阻止威脅并恢復正常運營，這就是網(wǎng)絡安全團隊不僅要有正確的工具，還要了解如何有效地應對事件的原因，這一點至關重要，可以自定義諸如事件響應模板之類的資源，以定義具有角色和職責、流程和行動項核對清單的計劃。

創(chuàng)新互聯(lián)專注于樺川企業(yè)網(wǎng)站建設,成都響應式網(wǎng)站建設,商城網(wǎng)站建設。樺川網(wǎng)站建設公司,為樺川等地區(qū)提供建站服務。全流程按需定制，專業(yè)設計，全程項目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務

但準備工作不能止步于此，團隊必須不斷進行培訓，以適應威脅的快速發(fā)展，必須利用每一次安全事件作為教育機會，幫助企業(yè)更好地為未來的事件做好準備，甚至預防。

SANS研究所定義了一個框架，包括成功的網(wǎng)絡安全事件響應的六個步驟。

• 準備工作
• 身份識別
• 遏制
• 根除
• 追回
• 吸取的教訓

雖然這些階段遵循邏輯流程，但你可能需要返回到流程中的前一個階段，以重復第一次錯誤或不完全完成的特定步驟。

是的，這會減慢速度，但更重要的是徹底完成每個階段，而不是試圖節(jié)省時間加快步驟。

1、準備工作

目標：讓你的團隊做好高效處理事件的準備

有權訪問你的系統(tǒng)的每個人都需要為事件做好準備，而不僅僅是事件響應團隊。大多數(shù)網(wǎng)絡安全漏洞都應歸咎于人為錯誤。因此，網(wǎng)絡安全事件響應的第一步也是最重要的一步是教育人員要尋找什么，利用模板化的事件響應計劃為所有參與者(安全負責人、運營經(jīng)理、幫助臺團隊、身份和訪問經(jīng)理以及審計、合規(guī)性、溝通和管理人員)確定角色和責任，可以確保高效的協(xié)調(diào)。

攻擊者將繼續(xù)發(fā)展他們的社會攻擊和魚叉式網(wǎng)絡釣魚技術，試圖在培訓和認知活動中領先一步。雖然現(xiàn)在大多數(shù)人都知道不理睬一封寫得很糟糕的電子郵件，因為它承諾用一小筆預付款來換取獎勵，但一些目標會成為非工作時間短信的受害者，假裝成他們的老板，請求幫助完成一項緊急的任務。為了適應這些變化，你的內(nèi)部培訓必須定期更新，以反映最新的趨勢和技術。

你的事件響應人員-或安全操作中心(SOC，如果你有的話)-也需要定期培訓，理想情況下是基于實際事件的模擬。高強度的桌面練習可以提高警惕，讓你的團隊有一種體驗真實世界事件的感覺。你可能會發(fā)現(xiàn)，一些團隊成員在熱度很高時表現(xiàn)出色，而其他一些成員則需要額外的培訓和指導。

你準備的另一個部分是勾勒出具體的應對策略，最常見的方法是遏制和根除這一事件，另一種選擇是觀察正在進行的事件，這樣你就可以評估攻擊者的行為并確定他們的目標，前提是這不會造成不可挽回的傷害。

除了培訓和策略，技術在事件應對中發(fā)揮著巨大的作用，日志是一個關鍵組件。簡單地說，日志記錄越多，網(wǎng)絡安全事件響應團隊調(diào)查事件就越容易、越高效。

此外，通過使用具有集中控制的端點檢測和響應(EDR)平臺或擴展檢測和響應(XDR)工具，你可以快速采取防御措施，如隔離計算機、斷開它們與網(wǎng)絡的連接以及大規(guī)模執(zhí)行對抗命令。

網(wǎng)絡安全事件響應需要的其他技術包括虛擬環(huán)境，可以在其中分析日志、文件和其他數(shù)據(jù)，以及足夠的存儲空間來存儲這些信息。你不想在設置虛擬機和分配存儲空間的過程中浪費時間。

最后，你需要一個系統(tǒng)來記錄你對事件的調(diào)查結果，無論是使用電子表格還是專用的網(wǎng)絡安全事件響應文檔工具。你的文檔應包括事件發(fā)生的時間線、受影響的系統(tǒng)和用戶以及你發(fā)現(xiàn)的惡意文件和危害指示器(IOC)(包括當時和追溯的情況)。

2、身份識別

目標：檢測你是否被入侵，并收集IOC

有幾種方法可以確定事件已經(jīng)發(fā)生或當前正在進行。

• 內(nèi)部檢測：你的內(nèi)部監(jiān)控團隊或企業(yè)的其他成員可以通過一個或多個安全產(chǎn)品發(fā)出的警報，或在主動的威脅追蹤練習中發(fā)現(xiàn)事件。
• 外部檢測：第三方顧問或托管服務提供商可以使用安全工具或威脅追蹤技術代表你檢測事件，或者，業(yè)務合作伙伴可能會看到指示潛在事件的異常行為。
• 泄露的數(shù)據(jù)：最糟糕的情況是，只有在發(fā)現(xiàn)數(shù)據(jù)從你的環(huán)境中滲出并發(fā)布到互聯(lián)網(wǎng)或暗網(wǎng)網(wǎng)站后，才會知道事件發(fā)生了。如果這樣的數(shù)據(jù)包括敏感的客戶信息，并且在你有時間準備協(xié)調(diào)一致的公開回應之前就泄露給媒體，那么影響就更嚴重了。

如果不警惕警覺疲勞，任何關于身份識別的討論都是不完整的。

如果你的安全產(chǎn)品的檢測設置撥得太高，你將收到太多有關終端和網(wǎng)絡上不重要活動的警報，這是一種讓團隊不知所措的好方法，可能會導致許多被忽視的警報。

相反的情況是，你的設置撥得太低，也同樣有問題，因為你可能會錯過關鍵事件。平衡的安全態(tài)勢將提供恰到好處的警報數(shù)量，這樣你就可以識別值得進一步調(diào)查的事件，而不會感到警報疲勞。你的安全供應商可以幫助你找到適當?shù)钠胶猓硐肭闆r下，還可以自動過濾警報，以便你的團隊能夠?qū)Ｗ⒂谥匾氖虑椤?/p>

在識別階段，你將記錄從警報收集的所有危害指標(IOC)，例如受危害的主機和用戶、惡意文件和進程、新注冊表項等。

一旦你記錄了所有IOC，你將進入遏制階段。

3、遏制

目標：將損害降至最低

遏制既是一種戰(zhàn)略，也是國際關系中的一個明顯步驟。

你將希望建立一種適合你的特定企業(yè)的方法，同時考慮到安全和業(yè)務影響。盡管將設備與網(wǎng)絡隔離或斷開連接可以防止攻擊在整個企業(yè)中傳播，但也可能導致重大的財務損失或其他業(yè)務影響。這些決定應該提前做出，并在你的投資者關系戰(zhàn)略中明確闡述。

遏制可以分為短期和長期兩個步驟，每一個步驟都有獨特的含義。

• 短期：這包括你目前可能采取的措施，比如關閉系統(tǒng)、斷開設備與網(wǎng)絡的連接，以及積極觀察威脅參與者的活動。每一步都有利有弊。
• 長期：最好的情況是讓受感染的系統(tǒng)離線，這樣你就可以安全地進入根除階段。然而，這并不總是可能的，因此你可能需要采取修補、更改密碼、取消特定服務等措施。

在遏制階段，你需要確定域控制器、文件服務器和備份服務器等關鍵設備的優(yōu)先順序，以確保它們不會受到威脅。

此階段的其他步驟包括記錄事件期間包含的資產(chǎn)和威脅，以及根據(jù)設備是否受到攻擊對設備進行分組。如果你不確定，就做最壞的打算。一旦對所有設備進行了分類并滿足你對遏制的定義，此階段就結束了。

額外的一步：調(diào)查

目標：確定誰、什么、何時、何地、為什么、如何

在這個階段，值得注意的是事件響應的另一個重要方面：調(diào)查。

調(diào)查在整個事件響應過程中進行，雖然它本身不是一個階段，但在執(zhí)行每一步時都應該牢記這一點，調(diào)查旨在回答有關哪些系統(tǒng)被訪問以及入侵來源的問題，當事件得到控制后，團隊可以通過從磁盤和內(nèi)存映像以及日志等來源捕獲盡可能多的相關數(shù)據(jù)來促進徹底調(diào)查。

你可能熟悉術語數(shù)字取證和事件響應(DFIR)，但值得注意的是，事件響應取證的目標不同于傳統(tǒng)取證的目標，在信息檢索中，取證的主要目標是幫助盡可能有效地從一個階段進入下一個階段，以便恢復正常的業(yè)務運營。

數(shù)字取證技術旨在從捕獲的任何證據(jù)中提取盡可能多的有用信息，并將其轉(zhuǎn)化為有用的情報，有助于建立事件的更完整圖景，甚至有助于起訴壞人。

為已發(fā)現(xiàn)的構件添加上下文的數(shù)據(jù)點可能包括攻擊者如何進入網(wǎng)絡或四處移動、訪問或創(chuàng)建了哪些文件、執(zhí)行了哪些進程等。當然，這可能是一個耗時的過程，可能會與事件響應沖突。

值得注意的是，DFIR自這個術語首次被創(chuàng)造以來已經(jīng)發(fā)生了演變。如今，企業(yè)擁有成百上千臺計算機，每臺計算機都有數(shù)百GB甚至數(shù)TB的存儲空間，因此從所有受損計算機捕獲和分析完整磁盤映像的傳統(tǒng)方法已不再實用。

目前的情況需要一種更外科的方法，即捕獲和分析來自每臺受危害機器的特定信息。

4、根除

目標：確保完全消除威脅

遏制階段完成后，你可以轉(zhuǎn)移到根除，這可以通過磁盤清理、恢復到干凈備份或完全磁盤重新映像來處理，清除需要刪除惡意文件以及刪除或修改注冊表項，重新映像意味著重新安裝操作系統(tǒng)。

在采取任何行動之前，事件響應團隊需要參考任何組織策略，例如，要求在發(fā)生惡意軟件攻擊時重新映像特定計算機。

與前面的步驟一樣，文件在根除過程中發(fā)揮了作用。事件響應團隊應仔細記錄在每臺機器上采取的操作，以確保不會遺漏任何內(nèi)容。作為另一項檢查，你可以在根除過程完成后對系統(tǒng)執(zhí)行主動掃描，以查找該威脅的任何證據(jù)。

5、恢復

目標：恢復正常運營

你們所有的努力都引領著我們來到這里!恢復階段是指你可以像往常一樣恢復業(yè)務。在這一點上，確定何時恢復操作是關鍵決策。理想情況下，這可以毫不延遲地進行，但可能需要等待組織的非工作時間或其他靜默期。

再檢查一次，以驗證恢復的系統(tǒng)上是否沒有任何IOC。你還需要確定根本原因是否仍然存在，并實施適當?shù)男迯汀?/p>

現(xiàn)在你已經(jīng)了解了這種類型的事件，你將能夠在未來對其進行監(jiān)控并建立保護性控制。

6、吸取的教訓

目標：記錄所發(fā)生的事情并提高自己的能力

現(xiàn)在事件已經(jīng)過去了，是時候反思事件響應的每個主要步驟并回答關鍵問題了，有很多問題和方面需要提出和審查，下面是幾個例子：

• 識別：在最初的妥協(xié)發(fā)生后，需要多長時間才能檢測到事件?
• 遏制：花了多長時間才控制住事件?
• 根除：根除后，你是否仍發(fā)現(xiàn)惡意軟件或受攻擊的跡象?

探討這些問題將幫助你后退一步，重新考慮基本的問題，比如：我們有正確的工具嗎?我們的員工是否接受了應對事故的適當培訓?

然后循環(huán)返回到準備階段，你可以在此進行必要的改進，例如更新事件響應計劃模板、技術和流程，并為你的員工提供更好的培訓。

確保安全的4個專業(yè)提示

讓我們用4個最后的建議來結束吧，記住：

• 日志越多，調(diào)查就越容易。確保盡可能多地記錄日志，以節(jié)省金錢和時間。
• 通過模擬針對你網(wǎng)絡的攻擊來做好準備。這將揭示你的SOC團隊如何分析警報及其通信能力——這在實際事件中至關重要。
• 人是企業(yè)安全態(tài)勢不可或缺的一部分。你知道95%的網(wǎng)絡入侵都是人為錯誤造成的嗎?這就是定期對終端用戶和安全團隊這兩組人進行培訓很重要的原因。
• 考慮讓專門的第三方事件響應團隊隨叫隨到，他們可以立即介入，幫助你的團隊解決可能無法解決的更困難的事件，這些團隊可能已經(jīng)解決了數(shù)百起事件，他們將擁有事件響應經(jīng)驗和必要的工具，以迅速啟動并加速你的事件響應。

文章標題：加快網(wǎng)絡安全事件響應的六個步驟
分享鏈接：http://m.5511xx.com/article/cohcgsi.html