選單
×
我的 W3Schools 獲取證書 Spaces 教師專用 Plus 獲取證書 Spaces 教師專用 Plus
   ❮   
HTML CSS JAVASCRIPT SQL PYTHON JAVA PHP HOW TO W3.CSS C C++ C# BOOTSTRAP REACT MYSQL JQUERY EXCEL XML DJANGO NUMPY PANDAS NODEJS R TYPESCRIPT ANGULAR GIT POSTGRESQL MONGODB ASP AI GO KOTLIN SASS VUE DSA GEN AI SCIPY AWS CYBERSECURITY DATA SCIENCE
     ❯   

網路安全 事件響應

❮ 上一篇 下一篇 ❯

什麼是事件

事件可以歸類為對我們的計算機系統或網路造成的不良影響、威脅。它意味著損害或有人試圖損害組織。並非所有事件都會由 IRT(“事件響應團隊”)處理,因為它們不一定具有影響,但那些具有影響的事件將召集 IRT 以可預測且高質量的方式處理事件。

IRT 應與組織的業務目標和宗旨緊密結合,並始終努力確保事件的最佳結果。通常這包括減少金錢損失,阻止攻擊者進行橫向移動,並在他們達成目標之前阻止他們。

IRT - 事件響應團隊

IRT 是一個專門處理網路安全事件的團隊。該團隊可以僅由網路安全專家組成,但如果還包括其他分組的資源,則可以極大地協同工作。考慮以下單位如何極大地影響您的團隊在某些情況下的表現

  • 網路安全專家 - 我們都知道他們屬於團隊。
  • 安全運營 - 他們可能對正在發生的事件有深刻的瞭解,並可以提供全域性視角來支援情況。
  • IT 運營
  • 網路運營
  • 開發
  • 法律
  • 人力資源

PICERL - 方法論

PICERL 方法論正式稱為 NIST-SP 800-61 (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf),其中包含一個可應用於事件響應的方法論的概述。

不要將此方法論視為瀑布模型,而應將其視為一個可以前後往返的過程。這對於確保您完全處理發生的事件非常重要。

事件響應的 6 個階段

準備

此階段用於為處理事件響應做準備。IRT 應考慮許多事項以確保他們做好準備。

準備應包括制定操作手冊和程式,這些程式規定了組織應如何應對某些型別的事件。還應預先確定交戰規則:團隊應如何響應?團隊是否應積極嘗試遏制和清除威脅,或者有時是否可以接受監控環境中的威脅,以學習有關例如他們如何入侵、他們是誰以及他們想要什麼等有價值的情報?

團隊還應確保他們擁有進行響應所需的日誌、資訊和訪問許可權。如果團隊無法訪問他們正在響應的系統,或者系統無法準確描述事件,那麼團隊就註定會失敗。

工具和文件應是最新的且安全的。溝通渠道已提前協商好。團隊應確保相關的業務部門和管理者可以持續收到有關影響他們的事件進展的更新。

對團隊和組織支援部分的培訓對於團隊的成功也至關重要。事件響應者可以尋求培訓和認證,團隊可以嘗試影響組織的其他成員,使其不成為威脅的受害者。

識別

透過檢視資料和事件,試圖找出應歸類為事件的事物。這項任務通常分配給 SOC,但 IRT 可以參與此活動,並憑藉其知識嘗試改進識別。

事件通常基於安全相關工具的警報而建立,例如 EDR(“終端檢測和響應”)、IDS/IPS(“入侵檢測/防禦系統”)或 SIEM(“安全資訊和事件管理系統”)。事件也可能由某人告知團隊問題而發生,例如使用者致電團隊,傳送郵件到 IRT 的郵箱,或在事件案例管理系統中提交工單。

識別階段的目標是發現事件並確定其影響和範圍。團隊應問自己的重要問題包括:

  • 被入侵平臺的關鍵性和敏感性如何?
  • 該平臺是否在其他地方使用,這意味著如果不及時採取措施,可能會導致進一步的洩露?
  • 涉及多少使用者和系統?
  • 攻擊者獲得了哪些型別的憑據,以及它們還可以在哪裡被重複使用?

如果需要響應事件,團隊將進入下一階段:遏制。

遏制

遏制應努力阻止攻擊者的行動並防止進一步的損害。此步驟應確保組織不會遭受任何進一步的損失,並確保攻擊者無法實現其目標。

IRT 應儘快考慮是否應進行備份和映象。備份和映象對於儲存證據很有用。此過程應嘗試安全地獲取

  • 涉及的硬碟驅動器的副本,用於檔案取證
  • 涉及系統的記憶體副本,用於記憶體取證

IRT 可以採取許多措施來阻止攻擊者,這很大程度上取決於所討論的事件

  • 在防火牆中阻止攻擊者
  • 斷開與受感染系統的網路連線
  • 將系統下線
  • 更改密碼
  • 請求 ISP(“網際網路服務提供商”)或其他合作伙伴幫助阻止攻擊者

遏制階段執行的行動旨在快速終止攻擊者,以便 IRT 可以進入根除階段。

根除

如果遏制已正確執行,IRT 可以進入根除階段,有時稱為修復階段。在此階段,目標是移除攻擊者的痕跡。

有一些快速的選項可以確保根除,例如

  • 從已知良好的備份中恢復
  • 重建服務

如果在遏制過程中實施了更改和配置,請記住恢復或重建可能會撤銷這些更改,並且需要重新應用它們。然而,有時 IRT 必須手動嘗試移除攻擊者留下的痕跡。

恢復

恢復正常執行是 IRT 的目標狀態。這可能需要業務部門的驗收測試。理想情況下,我們會新增具有事件資訊的監控解決方案。我們希望發現攻擊者是否突然返回,例如因為我們未能移除根除過程中的痕跡。

經驗教訓

最後一個階段涉及我們從事件中吸取教訓。事件肯定會帶來許多教訓,例如

  • IRT 是否擁有高效工作所需的知識、工具和訪問許可權?
  • 是否有缺失的日誌本可以使 IRT 的工作更輕鬆、更快捷?
  • 是否有任何流程可以改進,以防止未來發生類似事件?

經驗教訓階段通常會完成一份報告,該報告詳細說明了事件期間發生的所有事情的執行摘要和概述。


❮ 上一篇 下一篇 ❯
PLUS
空格
獲取證書
面向教師
面向企業
聯絡我們
×

聯絡銷售

如果您想將 W3Schools 服務用於教育機構、團隊或企業,請傳送電子郵件給我們
sales@w3schools.com

報告錯誤

如果您想報告錯誤,或想提出建議,請傳送電子郵件給我們
help@w3schools.com

熱門教程
HTML 教程
CSS 教程
JavaScript 教程
操作方法教程
SQL 教程
Python 教程
W3.CSS 教程
Bootstrap 教程
PHP 教程
Java 教程
C++ 教程
jQuery 教程
熱門參考
HTML 參考
CSS 參考
JavaScript 參考
SQL 參考
Python 參考
W3.CSS 參考
Bootstrap 參考
PHP 參考
HTML 顏色
Java 參考
Angular 參考
jQuery 參考
熱門示例
HTML 示例
CSS 示例
JavaScript 示例
操作方法示例
SQL 示例
Python 示例
W3.CSS 示例
Bootstrap 示例
PHP 示例
Java 示例
XML 示例
jQuery 示例
獲取證書
 HTML 證書
CSS 證書
JavaScript 證書
前端證書
SQL 證書
Python 證書
PHP 證書
jQuery 證書
Java 證書
C++ 證書
C# 證書
XML 證書
論壇 關於 學院
W3Schools 經過最佳化,旨在方便學習和培訓。示例可能經過簡化,以提高閱讀和學習體驗。
教程、參考資料和示例會不斷審查,以避免錯誤,但我們無法保證所有內容的完全正確性。
使用 W3Schools 即表示您已閱讀並接受我們的使用條款Cookie 和隱私政策

版權所有 1999-2024 Refsnes Data。保留所有權利。W3Schools 由 W3.CSS 提供支援