大多数企业都搞错了事件响应的这两个阶段

来源：湖北国菱编辑部 时间：2018-05-08

事件响应是有基准的，准备、识别、限制、清除、恢复、总结经验教训，这6个阶段定义了公司企业以最少的修复时间将网络攻击破坏限制在最小范围的基本操作。

但是，这6个阶段中有些方面是公司企业老弄错了的。最大的漏洞恐怕就是没认识到事件响应是个过程，而不是个事情。另外，限制和清除这两个阶段之间的差异也少有人意识到。很多人都觉得直接跳到清除过程就好了啊，清除掉了不就限制了威胁的破坏了么?

然而，这种想法大错特错。限制阶段的存在是有原因的。通过将威胁限制在某一范围，事件响应团队就有时间对事件进行恰当的排查。这又走回了识别阶段，有些公司就是在这里会有些迷惑与混乱。识别阶段不是入侵检测，而是确定公司所遭遇攻击已经严重到何种程度。

你得找出每一台被感染的设备，如若不然，攻击者就仍然会在公司网络中留下据点。换句话说，限制阶段基本上就是密集监视，对攻击者围追堵截，尽一切努力阻碍其达成最终目标。

大多数事件响应计划中的第二大空白，集中在恢复和经验总结上。事件发生后，大多数公司都集中在打补丁或增加额外的入侵检测防护层上，却忘了问题的根源。

但实际上，退回到最初的几个阶段来衡量某些东西才是真正应该做的。比如，威胁入侵了多长时间你才检测出来？如果每次事件后都不能缩短驻留时间，那只是说明公司的入侵检测存在系统性问题。

事件响应的底线就在于，这是一个循环，而你总是处在经验教训总结这个阶段。所以，这个循环永远不会完结，你不过是又走回识别阶段，在想“别的事件将要发生，我们能找出来吗？”

事件响应成为大多数公司日常安全运营而不是有事时才想起来用用的原因正在于此。

湖北国菱就是一家提供专业的数据中心维护服务，机房承建服务的公司，为荆州及周边地区提供专业化的数据中心（机房）运行维护服务。