菜单
×
我的 W3Schools 获取证书 Spaces 教师专用 Plus 获取证书 Spaces 教师专用 Plus
   ❮   
HTML CSS JAVASCRIPT SQL PYTHON JAVA PHP HOW TO W3.CSS C C++ C# BOOTSTRAP REACT MYSQL JQUERY EXCEL XML DJANGO NUMPY PANDAS NODEJS R TYPESCRIPT ANGULAR GIT POSTGRESQL MONGODB ASP AI GO KOTLIN SASS VUE DSA GEN AI SCIPY AWS CYBERSECURITY DATA SCIENCE
     ❯   

网络安全 事件响应

❮ 上一篇 下一篇 ❯

什么是事件

事件可以归类为对我们的计算机系统或网络造成的不良影响、威胁。它意味着损害或有人试图损害组织。并非所有事件都会由 IRT(“事件响应团队”)处理,因为它们不一定具有影响,但那些具有影响的事件将召集 IRT 以可预测且高质量的方式处理事件。

IRT 应与组织的业务目标和宗旨紧密结合,并始终努力确保事件的最佳结果。通常这包括减少金钱损失,阻止攻击者进行横向移动,并在他们达成目标之前阻止他们。

IRT - 事件响应团队

IRT 是一个专门处理网络安全事件的团队。该团队可以仅由网络安全专家组成,但如果还包括其他分组的资源,则可以极大地协同工作。考虑以下单位如何极大地影响您的团队在某些情况下的表现

  • 网络安全专家 - 我们都知道他们属于团队。
  • 安全运营 - 他们可能对正在发生的事件有深刻的了解,并可以提供全局视角来支持情况。
  • IT 运营
  • 网络运营
  • 开发
  • 法律
  • 人力资源

PICERL - 方法论

PICERL 方法论正式称为 NIST-SP 800-61 (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf),其中包含一个可应用于事件响应的方法论的概述。

不要将此方法论视为瀑布模型,而应将其视为一个可以前后往返的过程。这对于确保您完全处理发生的事件非常重要。

事件响应的 6 个阶段

准备

此阶段用于为处理事件响应做准备。IRT 应考虑许多事项以确保他们做好准备。

准备应包括制定操作手册和程序,这些程序规定了组织应如何应对某些类型的事件。还应预先确定交战规则:团队应如何响应?团队是否应积极尝试遏制和清除威胁,或者有时是否可以接受监控环境中的威胁,以学习有关例如他们如何入侵、他们是谁以及他们想要什么等有价值的情报?

团队还应确保他们拥有进行响应所需的日志、信息和访问权限。如果团队无法访问他们正在响应的系统,或者系统无法准确描述事件,那么团队就注定会失败。

工具和文档应是最新的且安全的。沟通渠道已提前协商好。团队应确保相关的业务部门和管理者可以持续收到有关影响他们的事件进展的更新。

对团队和组织支持部分的培训对于团队的成功也至关重要。事件响应者可以寻求培训和认证,团队可以尝试影响组织的其他成员,使其不成为威胁的受害者。

识别

通过查看数据和事件,试图找出应归类为事件的事物。这项任务通常分配给 SOC,但 IRT 可以参与此活动,并凭借其知识尝试改进识别。

事件通常基于安全相关工具的警报而创建,例如 EDR(“终端检测和响应”)、IDS/IPS(“入侵检测/防御系统”)或 SIEM(“安全信息和事件管理系统”)。事件也可能由某人告知团队问题而发生,例如用户致电团队,发送邮件到 IRT 的邮箱,或在事件案例管理系统中提交工单。

识别阶段的目标是发现事件并确定其影响和范围。团队应问自己的重要问题包括:

  • 被入侵平台的关键性和敏感性如何?
  • 该平台是否在其他地方使用,这意味着如果不及时采取措施,可能会导致进一步的泄露?
  • 涉及多少用户和系统?
  • 攻击者获得了哪些类型的凭据,以及它们还可以在哪里被重复使用?

如果需要响应事件,团队将进入下一阶段:遏制。

遏制

遏制应努力阻止攻击者的行动并防止进一步的损害。此步骤应确保组织不会遭受任何进一步的损失,并确保攻击者无法实现其目标。

IRT 应尽快考虑是否应进行备份和镜像。备份和镜像对于保存证据很有用。此过程应尝试安全地获取

  • 涉及的硬盘驱动器的副本,用于文件取证
  • 涉及系统的内存副本,用于内存取证

IRT 可以采取许多措施来阻止攻击者,这很大程度上取决于所讨论的事件

  • 在防火墙中阻止攻击者
  • 断开与受感染系统的网络连接
  • 将系统下线
  • 更改密码
  • 请求 ISP(“互联网服务提供商”)或其他合作伙伴帮助阻止攻击者

遏制阶段执行的行动旨在快速终止攻击者,以便 IRT 可以进入根除阶段。

根除

如果遏制已正确执行,IRT 可以进入根除阶段,有时称为修复阶段。在此阶段,目标是移除攻击者的痕迹。

有一些快速的选项可以确保根除,例如

  • 从已知良好的备份中恢复
  • 重建服务

如果在遏制过程中实施了更改和配置,请记住恢复或重建可能会撤销这些更改,并且需要重新应用它们。然而,有时 IRT 必须手动尝试移除攻击者留下的痕迹。

恢复

恢复正常运行是 IRT 的目标状态。这可能需要业务部门的验收测试。理想情况下,我们会添加具有事件信息的监控解决方案。我们希望发现攻击者是否突然返回,例如因为我们未能移除根除过程中的痕迹。

经验教训

最后一个阶段涉及我们从事件中吸取教训。事件肯定会带来许多教训,例如

  • IRT 是否拥有高效工作所需的知识、工具和访问权限?
  • 是否有缺失的日志本可以使 IRT 的工作更轻松、更快捷?
  • 是否有任何流程可以改进,以防止未来发生类似事件?

经验教训阶段通常会完成一份报告,该报告详细说明了事件期间发生的所有事情的执行摘要和概述。


❮ 上一篇 下一篇 ❯
PLUS
空格
获取证书
面向教师
面向企业
联系我们
×

联系销售

如果您想将 W3Schools 服务用于教育机构、团队或企业,请发送电子邮件给我们
sales@w3schools.com

报告错误

如果您想报告错误,或想提出建议,请发送电子邮件给我们
help@w3schools.com

热门教程
HTML 教程
CSS 教程
JavaScript 教程
操作方法教程
SQL 教程
Python 教程
W3.CSS 教程
Bootstrap 教程
PHP 教程
Java 教程
C++ 教程
jQuery 教程
热门参考
HTML 参考
CSS 参考
JavaScript 参考
SQL 参考
Python 参考
W3.CSS 参考
Bootstrap 参考
PHP 参考
HTML 颜色
Java 参考
Angular 参考
jQuery 参考
热门示例
HTML 示例
CSS 示例
JavaScript 示例
操作方法示例
SQL 示例
Python 示例
W3.CSS 示例
Bootstrap 示例
PHP 示例
Java 示例
XML 示例
jQuery 示例
获取证书
 HTML 证书
CSS 证书
JavaScript 证书
前端证书
SQL 证书
Python 证书
PHP 证书
jQuery 证书
Java 证书
C++ 证书
C# 证书
XML 证书
论坛 关于 学院
W3Schools 经过优化,旨在方便学习和培训。示例可能经过简化,以提高阅读和学习体验。
教程、参考资料和示例会不断审查,以避免错误,但我们无法保证所有内容的完全正确性。
使用 W3Schools 即表示您已阅读并接受我们的使用条款Cookie 和隐私政策

版权所有 1999-2024 Refsnes Data。保留所有权利。W3Schools 由 W3.CSS 提供支持